网站公司做的网站被攻击，这词听着就让人头大。半夜惊醒，发现网站打不开，或者满屏都是赌博广告。别急，这篇文就是来救你的。看完能帮你理清思路，知道第一步该找谁，第二步该干嘛，最后怎么防。

先说个真事。上周有个客户半夜给我打电话，声音都在抖。说公司官网被黑了，首页变成了博彩页面。我让他别动，先截图，再录屏。这时候千万别急着去改代码，或者重启服务器。你一动，证据就没了。

很多老板第一反应是骂建站公司。觉得你收钱办事，怎么还给我惹麻烦？其实吧，建站公司和黑客之间，隔着十万八千里。建站公司给你搭了个房子，给了钥匙。但小偷撬锁进来，这锅不能全让盖房子的人背。除非是你用的那个破模板本身就有后门，那是另一回事。

你得先搞清楚，是怎么被黑的。是弱密码？是服务器漏洞？还是插件有安全漏洞？这三者概率最高。我见过太多小老板，密码设成123456，或者admin/admin。这种密码，黑客写个脚本，几秒钟就能撞开。这就好比你家门没锁，还挂着“欢迎光临”的牌子，谁不想进来看看？

如果确实是建站公司提供的系统有漏洞，那他们得负责。但你要拿出证据。比如，这个漏洞是通用的，还是他们定制开发的特有bug？如果是通用组件，比如WordPress的一个旧插件，那可能得大家一起修补。这时候，找建站公司沟通，态度要硬，但证据要足。保留好所有聊天记录，邮件往来，合同条款。

除了找建站公司，你自己也得做点事。第一，备份。对，备份。如果你之前有备份，那就太好了，直接还原到干净版本。如果没有，那就惨了，只能一个个文件排查。第二，改密码。所有后台密码、数据库密码、FTP密码，全部改掉。要用强密码，大小写加数字加符号，别用生日，别用手机号。第三，检查文件。看看有没有多了什么奇怪的文件，比如.php后缀的，名字还很长很乱。这些通常是木马。

还有，别信那些网上说的“一键修复”工具。大多数是智商税，甚至可能把网站搞得更烂。老老实实找专业人士，或者建站公司售后。如果他们推诿，那就找第三方安全公司做渗透测试，看看漏洞在哪。

说到防，这才是重头戏。光修不防，等于没修。换个词，换个姿势，再被黑一次，你心态就崩了。

首先，服务器要稳。别为了省那几十块钱，买个垃圾主机。服务器安全跟不上，网站就是裸奔。其次，WAF（Web应用防火墙）得开。现在的云服务商都有这个功能，开启后能挡掉大部分常见的SQL注入、XSS攻击。一年也就几百块，比被黑后恢复数据的钱便宜多了。

再就是，定期更新。系统更新、插件更新、主题更新。别嫌麻烦，那些更新包里往往包含安全补丁。我有个朋友，网站三年没更新，结果被一个三年前的漏洞黑了，修复花了三千块。要是他每个月花十分钟更新一下，这笔钱就省了。

最后，心态要稳。网站被黑，虽然烦人，但不是世界末日。把它当成一次体检，找出身体的毛病，治好它，以后更健康。别因为一次被黑，就否定整个互联网，或者否定建站公司。行业里确实有坑货，但也有靠谱的人。关键在于，你懂得怎么甄别，怎么维权，怎么自我保护。

如果你现在正头疼这个问题，别自己瞎折腾。先备份，再联系建站公司，同时开启WAF。如果建站公司不管用，再找第三方。记住，速度要快，证据要全。

本文关键词：网站公司做的网站被攻击