跳到主要內容
網站資安 元伸科技 元伸科技 · · 10 分鐘閱讀

網站被駭怎麼辦?緊急應變 SOP 與事後復原完整指南

網站遭駭客入侵時的緊急應變 SOP,從發現異常、隔離威脅到完整復原的步驟指南,幫助企業主在最短時間內恢復正常營運。

分享
元伸科技 24 年深耕網頁設計、服務超過 3,000 家企業客戶,整理出網站被駭的四步驟應變 SOP:先隔離威脅(下線、改密碼)、保全證據、清除惡意程式並修補漏洞,最後安全復原。實務上最常見的錯誤是「一發現就急著刪檔」,反而破壞鑑識證據。台灣中小企業平均要 45 天才能完全復原,但按照正確順序處理,桃園在地客戶通常一週內就能重新上線。

網站被駭的第一時間:冷靜比什麼都重要

每棟大樓都有火災逃生計畫,但你的網站有「被駭應變計畫」嗎?

老實說,這幾年我們接過不少桃園、龜山、中壢的工廠老闆半夜打電話來,第一句話幾乎都一樣:「網站打不開、Google 一搜出現一堆日文,怎麼辦?」聲音都在抖。發現網站被駭的那一刻,就像半夜聞到煙味一樣令人恐慌——不知道火從哪裡燒起、不知道該先搶救什麼、更不知道該打給誰。然而,就像火災逃生一樣,事先有計畫、臨場能冷靜,才是把損害降到最低的關鍵

根據資安研究機構統計,台灣中小企業網站遭到入侵後,平均需要 45 天才能完全復原。而其中有超過 60% 的企業,是因為在第一時間做出了錯誤的處理決策(例如直接刪除被駭檔案、倉促還原備份卻沒有找到入侵點),反而讓問題更加嚴重。我們實務上觀察到,老闆最常踩的坑就是「網站被駭才知道沒備份」,或是「以為主機商會自動處理」——講白一點,主機商通常只負責伺服器活著,網站裡面的事多半要自己扛。

這篇指南將帶你走過從「發現異常」到「完整復原」的每一個步驟,讓你在危機來臨時,能夠有條不紊地應對。即使你不是技術人員,也能依照這份 SOP 做出正確的初步處理,並在必要時有效地與資安團隊溝通協作。

如何判斷網站是否已被入侵?

在進入應變流程之前,首先要確認你的網站是否真的被駭了。以下是六大類常見的入侵跡象,只要發現其中任何一項,就應該立即提高警覺:

網站被駭的六大常見跡象

1. 首頁或內容頁面被竄改

這是最明顯的跡象。網站首頁出現了不明文字、賭博廣告、色情內容,或是駭客的署名頁面。我們之前接過一個中壢的客戶,網站首頁看起來一切正常,但用手機開就會自動跳轉到博弈站——這種「行動裝置才觸發」的攻擊近兩年特別多,桌機檢查根本看不出來。有些比較隱蔽的攻擊,會在頁面中植入肉眼不易察覺的隱藏連結或 iframe。

2. 搜尋結果出現異常

在 Google 搜尋你的網站時,發現搜尋描述出現日文、簡體中文或其他不明文字。更嚴重的情況是,Google 在搜尋結果中直接標示「這個網站可能已遭入侵」的安全警告。你也可以透過 Google Search Console 的「安全性問題」報告來確認。

3. 流量與使用者行為異常

GA4 數據顯示流量來源突然大幅改變、跳出率異常飆高,或是出現大量來自不明國家的訪問。伺服器的 CPU 和記憶體使用率莫名飆高,也是一個危險信號。

4. 帳號與權限遭到竄改

後台出現了你從未建立的管理員帳號,或是你的管理員密碼突然失效。檢查 FTP、SSH 和資料庫的登入記錄,看看是否有來自不明 IP 的存取。

5. 被列入黑名單或發送垃圾郵件

你的主機 IP 被列入郵件黑名單,導致公司信件無法正常寄出。或是收到客戶反映,他們收到了以你公司名義發送的釣魚郵件。

6. 檔案與程式碼遭到篡改

伺服器上出現了不明的 PHP 或 JavaScript 檔案,特別是包含 base64_decodeevalexec 等可疑函式的程式碼。.htaccess 檔案被竄改,也是常見的入侵手法。

小提醒: 有些入侵行為非常隱蔽,不會留下明顯痕跡。建議定期使用 Sucuri SiteCheckGoogle Safe Browsing 等工具主動掃描你的網站。

緊急應變 SOP:黃金 24 小時處理流程

確認網站被駭之後,接下來的 24 小時是關鍵。以下是我們根據多年網站維護經驗整理出的四階段應變流程:

黃金 24 小時緊急應變 SOP

Step 1:立即隔離(0-1 小時)

目標:阻止傷害繼續擴大

這是最優先、最緊急的步驟。就像消防員到場後的第一件事是阻止火勢蔓延,你要做的是立即切斷駭客的存取管道。實際上,跟客戶聊的時候我們會建議:先深呼吸三秒,再開電腦。慌亂下做的決定,事後通常都要花更多時間補救。

  • 啟用網站維護模式或暫時將網站下線,避免訪客受到惡意程式影響
  • 更換所有管理員密碼,包括 CMS 後台、FTP、SSH、資料庫、主機控制面板
  • 通知主機商,請他們協助檢查伺服器層級的異常活動
  • 通知團隊成員,統一由負責人協調後續處理,避免各自行動造成混亂

千萬不要: 在尚未保全證據前就急著刪除被駭的檔案。這些檔案是後續分析入侵途徑的重要證據。

Step 2:保全證據(1-4 小時)

目標:完整記錄被駭狀態

在清除惡意程式之前,你需要先完整保存「犯罪現場」:

  • 完整備份被駭狀態的網站檔案與資料庫(標記為「被駭備份」,與正常備份分開存放)
  • 下載並保存 access log、error log、FTP log 等伺服器日誌
  • 截圖記錄被竄改的頁面、異常的搜尋結果、可疑的後台操作記錄
  • 記錄發現時間、異常行為描述、已採取的處理步驟

這些資料不僅對後續的漏洞分析是關鍵,若涉及個資外洩或需要法律追訴,也是必要的佐證。

Step 3:清除威脅(4-12 小時)

目標:移除所有惡意程式與後門

這是整個應變流程中技術含量最高的步驟,除非團隊裡有資安背景的工程師,否則不建議自己硬幹——駭客通常會在多處植入後門,沒清乾淨過幾天又會再被駭,反覆鬼打牆。建議直接找有事件處理經驗的團隊接手:

  • 使用掃毒工具(如 Sucuri、Wordfence、ClamAV)全站掃描
  • 逐一檢查近期被修改的檔案,比對乾淨版本找出差異
  • 搜尋並移除所有後門程式(backdoor),駭客通常會在多處植入後門以確保能再次進入
  • 檢查資料庫是否被注入惡意內容,特別是 wp_options(WordPress)或使用者資料表
  • 移除所有不明的管理員帳號和 API 金鑰

Step 4:復原上線(12-24 小時)

目標:安全地恢復對外服務

確認威脅已完全清除後,就可以準備恢復網站上線:

  • 若有乾淨的備份,可以在清除惡意程式後還原至乾淨狀態
  • 在測試環境先行驗證,確認網站功能正常、沒有殘留的惡意程式
  • 恢復對外服務後,持續監控至少 48 小時,觀察是否有再次入侵的跡象
  • 在 Google Search Console 中提交重新審查,請求移除安全警告標示

事後復原:從備份還原到安全強化

緊急應變處理完畢後,接下來的工作同樣重要——確保網站徹底復原,並強化安全防護以避免再次發生。

事後復原五大步驟

還原備份的正確做法

備份還原看起來只是「按一個還原鈕」,實際上有很多眉角,我們看過太多客戶因為直接還原而把好不容易找回來的新訂單蓋掉:

  • 找到最近的乾淨備份——確認該備份的時間點在入侵發生之前。如果無法確定入侵的確切時間,可能需要回溯更早的備份
  • 驗證備份完整性——還原前先確認備份檔案本身沒有被感染
  • 在隔離環境中測試——切勿直接還原到正式環境。先在測試環境中還原,確認一切正常後再上線
  • 保留被駭期間的資料——如果入侵期間有客戶下的訂單或提交的表單,需要手動將這些資料遷移到乾淨的系統中

SEO 損害修復

網站被駭往往會對 SEO 造成嚴重影響,需要積極修復:

  • 在 Google Search Console 中提交安全性問題審查
  • 使用 site:yourdomain.com 在 Google 搜尋,找出並移除所有被注入的垃圾頁面
  • 若有頁面被 Google 標記為惡意,需逐一提交 URL 檢查並請求重新索引
  • 重新提交最新的 Sitemap,幫助搜尋引擎重新爬取正確的內容
  • 監控關鍵字排名的恢復情況,通常需要 2-4 週才能回到被駭前的水準

通知相關方

根據情況,你可能需要通知以下對象:

  • 客戶——特別是如果有個資外洩的疑慮,依照《個人資料保護法》可能有通知義務
  • 合作夥伴——如果你的網站與其他系統有 API 串接,需通知對方檢查是否受到影響
  • 主管機關——若涉及重大個資外洩事件,依法需向主管機關通報

預防勝於治療:降低再次被駭的風險

經歷過一次被駭之後,最重要的是確保不會再發生。以下是從網路層到資料層的四層防護策略:

預防再次被駭的四層防護

第一層:網路防護

  • 啟用 CDN 與 WAF(網站應用程式防火牆)——Cloudflare 是最受歡迎的選擇,免費方案就能提供基本的 DDoS 防護和 WAF
  • 設定地區存取限制,封鎖來自高風險地區的異常流量
  • 啟用 HTTPS,確保資料傳輸加密

第二層:伺服器防護

  • 定期更新作業系統和伺服器軟體(Apache、Nginx、PHP)
  • 使用 SSH 金鑰驗證取代密碼登入,並更改預設的 SSH 連接埠
  • 設定伺服器層級的防火牆規則(iptables 或 CSF)
  • 啟用自動化日誌監控,在偵測到異常存取時即時通知

第三層:應用程式防護

  • 定期更新 CMS、外掛與佈景主題——絕大多數的入侵都是透過已知漏洞發動的
  • 實作輸入驗證與輸出編碼,防止 SQL Injection 和 XSS 攻擊
  • 設定正確的檔案權限(目錄 755、檔案 644),上傳目錄禁止執行 PHP
  • 移除所有不必要的外掛、佈景主題和測試帳號

第四層:資料防護

  • 建立自動備份排程——每日備份資料庫、每週備份完整檔案,並保留至少 30 天的備份歷史
  • 實施異地備份,不要只存放在同一台主機上
  • 所有管理帳號啟用雙因素驗證(2FA)
  • 遵循最小權限原則——每個帳號只給予執行任務所需的最低權限

想深入了解更多網站安全基礎知識,推薦閱讀我們的網站安全防護必備指南中小企業網站資安指南

何時該尋求外部資安團隊協助?

雖然這份指南提供了完整的應變步驟,但以下情況我會建議直接找資安團隊接手,不要硬撐:

  1. 無法確認入侵途徑——如果不知道駭客是怎麼進來的,清除再多惡意程式也只是治標不治本
  2. 涉及客戶個資外洩——需要鑑識分析確認外洩範圍,並協助法律合規程序
  3. 反覆被駭——如果同一網站短期內多次被入侵,代表根本原因還沒解決,繼續清檔案只是浪費時間
  4. 電商或金流網站——涉及線上交易的網站,任何安全問題都可能導致財務損失與法律責任
  5. 缺乏技術人力——如果公司內部沒有 IT 人員,不要勉強自己處理,第一時間找人比較實在

選擇資安服務廠商時,記得確認對方是否有實際的事件處理經驗,而不是只會跑掃描工具開報表。我們實務上的建議是,最好平時就跟你的網站設計公司簽好包含資安監控的維護合約——出事的時候才開始找人、簽約、報帳,網站早就下線一週了。

結語:建立應變計畫,化危機為轉機

老實說,網站被駭從來不是「會不會發生」的問題,而是「什麼時候發生」的問題。沒有任何系統是百分之百安全的,差別在於——有準備的企業能在一週內恢復營運,沒準備的可能拖一個半月,期間還要承擔客戶流失、品牌信譽受損的代價

現在就可以做的幾件事:

  1. 列印這份 SOP,放在團隊都能取得的地方(紙本,因為網站掛掉時你也開不了 PDF)
  2. 確認你有可用的備份,並實際測試還原流程——沒驗證過的備份等於沒備份
  3. 盤點目前的安全防護,參考四層防護模型補強
  4. 指定一位負責人,在事件發生時統一協調

如果你對 客製化網頁設計 的資安規劃有疑問,或想針對現有網站做一次健檢,歡迎跟我們聊聊。

📞 03-366-1000 | 🌐 www.ozchamp.com | 免費諮詢 24hr 回覆

你的網站,AI 看得懂嗎?

免費檢測 25 項 AI-Ready 指標(robots.txt、Schema、llms.txt、SSR、E-E-A-T 等),10 秒知道你的網站對 ChatGPT、Perplexity、Google AI Overview 的友善程度。

相關文章

網站資安
中小企業網站資安入門:5 個最常見的攻擊手法與防禦策略
網站資安 網站資安 中小企業 駭客攻擊 元伸科技 · · 9 分鐘閱讀

中小企業網站資安入門:5 個最常見的攻擊手法與防禦策略

深入解析中小企業網站最常遭遇的 5 大資安攻擊手法,提供具體防禦策略與實用工具建議,幫助企業主建立基礎資安防線。

閱讀更多
網站資安
網站 API 安全防護:防止資料外洩的 7 道防線
網站資安 API安全 網站資安 API防護 元伸科技 · · 9 分鐘閱讀

網站 API 安全防護:防止資料外洩的 7 道防線

解析網站 API 面臨的安全威脅與 7 道防護措施,從身份驗證、速率限制、輸入驗證到日誌監控,幫助企業建立安全可靠的 API 服務架構。

閱讀更多
網站資安
網站備份自動化:零人力維護的資料保全策略
網站資安 網站備份 自動化備份 資料保全 元伸科技 · · 7 分鐘閱讀

網站備份自動化:零人力維護的資料保全策略

從備份排程設計、儲存策略到自動化工具選擇,完整解析網站備份自動化的建置方法,確保企業資料零遺失、快速復原。

閱讀更多