🤔 你有沒有遇過?
打開自己公司的網站,卻突然跳出一整片紅色警告畫面:「⚠️ 這個網站可能有害!」
連你自己都被嚇了一跳,更別說客戶、合作夥伴或潛在買家。
明明昨天還能正常開啟,今天卻變成一場災難。
這種情況,其實不是個案。
當 Google 的「安全瀏覽系統(Safe Browsing)」偵測到網站含有惡意程式碼、被駭客入侵、或載入了有風險的第三方資源時,就會自動替網站加上這個紅色警示頁。
換句話說,你的網站此刻已經被 Google 視為「危險區域」。
但別慌~
這篇文章,我會帶你一步步釐清原因、清除問題,並教你如何向 Google 申請「解除有害標示」的復審流程。
只要方法對,網站是可以完全恢復的!
為什麼會被列為有害網站?
被 Google 判定為「有害網站」,通常不是你做錯了什麼,而是網站在你不知情的情況下被利用了。
在實務上,我們整理出三大常見原因:
一、惡意程式碼(Malware / JavaScript Injection)
駭客入侵你的主機或外掛漏洞後,會在頁面中偷偷插入惡意程式碼。
最常見的是:
⚠️ 常見頁尾惡意腳本行為
- 在頁尾
<script>載入陌生網址的 JavaScript。 - 使用 Base64 編碼藏惡意內容(以編碼方式避過簡單掃描)。
- 載入後轉址到釣魚網站或色情站,造成流量及品牌信任損害。
這類問題最容易發生在 外掛版本過舊的 WordPress 網站。
2024 年底,台灣就有多間中小企業官網因為使用過期的 Slider Revolution 外掛,被植入惡意 iframe,造成訪客一開網站就被導向境外釣魚頁,Google 立即標記為「這個網站可能有害」。
二、網站被駭或頁面被竄改
若後台帳號密碼太簡單、FTP 權限未設安全性、或主機未更新 PHP 版本,都可能被入侵。
駭客常會:
⚠️ 常見被攻擊後的惡意變更
- 新增隱藏目錄(例如
/tmp/、/system/),用以存放惡意腳本或臨時上傳檔案。 - 竄改首頁或
sitemap,使搜尋引擎索引到包含惡意連結的頁面,影響 SEO 與品牌信任。 - 插入偽造頁面(例如假登入畫面、假電商頁),誘導使用者輸入帳密或付款資訊以進行釣魚詐騙。
這種狀況最危險,因為 Google 的爬蟲會直接偵測到「被竄改的內容」,即使你自己看起來沒異常,也可能已經中標。
三、第三方服務被污染
這一類是最容易被忽略的。
你可能沒有被駭,但你載入了有問題的外部資源,像是:
⚠️ 第三方資源常見風險
第三方資源能快速加速開發與上線,但同時也可能成為攻擊向量,部署前請務必評估並建立檢核流程:
- 免費的 CDN(外掛、特效庫、外部
<script>/ JS)— 若第三方被入侵或提供惡意版本,網站將直接受影響。 - 廣告或追蹤代碼(例如外部投放服務)— 第三方追蹤腳本可注入額外資源或攔截使用者資料。
- 甚至是被攻擊的圖片主機或短網址服務— 被植入的媒體或短鏈會成為惡意載入點,並破壞品牌信任。
想了解如何避免外部 JS 成為網站漏洞,可參考👉《你以為 CDN 安全?當第三方腳本變成毒藥:SRI + 供應鏈風險揭露》。
2023 年曾有國際知名的 JS CDN jsDelivr 遭植入惡意套件事件,導致大量網站被 Safe Browsing 誤判為「高風險」。
這也是為什麼 Google 官方強調:「網站擁有者必須對所有載入的第三方資源負最終責任。」
如何修復與解除有害標示(5 步驟實戰流程)
發現網站被 Google 判定為有害後,最忌諱的就是「先重建網站」或「直接刪掉整個空間」。
這樣反而會讓問題變得更複雜。
正確的做法,是先確認原因,再一步步排除與復審。以下是我們在處理客戶救站案件時的標準流程:
第 1 步:登入 Google Search Console → 查看安全性報告
進入你的 Google Search Console,左側選單點擊「安全性與人工操作措施」 → 「安全性問題」。
這裡會顯示被判定的類型(如:惡意軟體、釣魚、誤導性內容),以及受影響的網址清單。
🔎 小提醒:
若你有多個屬性(http / https / www / 非 www),要逐一檢查,因為警示只會標示在被偵測到的那一個版本。
第 2 步:備份整站,再進行掃描
在任何清除行動之前,務必先完整備份(包括資料庫與檔案)。
接著使用安全掃描工具檢查:
- Sucuri SiteCheck
- VirusTotal
- 主機端掃毒指令,例如:
clamscan -r /home/youruser/public_html
這一步能協助你確認問題是出在哪個檔案、哪一個外掛或哪個目錄。
第 3 步:清除惡意檔案與程式碼
清除方式依感染情況不同而異:
- 若是被植入惡意 JS,請檢查
/wp-content/uploads/、/themes/、/plugins/目錄下是否有陌生檔案。 - 刪除可疑程式碼(例如
base64_decode、eval、iframe指向陌生網域)。 - 更新 WordPress 核心與所有外掛。
🔧 若網站是靜態 HTML:
建議用 Notepad++ 或 VS Code 的全站搜尋功能找出異常的 <script> 或 iframe。
第 4 步:檢查第三方資源與設定安全標頭
請特別檢查網站是否載入外部 JS、CSS 或圖片來源,若來源域名不是自己擁有的,請暫時移除或改為本機化版本。
同時補上基礎安全設定:
Content-Security-Policy: default-src 'self' X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff
這些標頭可以在伺服器的 .htaccess 或 Nginx 設定中加入,有助於防止跨站腳本攻擊(XSS)與內容注入。
第 5 步:申請 Google 復審
當你確定網站已清除完畢後,回到 Search Console 的「安全性問題」頁面,點擊「請求審查」。
Google 團隊會在數天內重新掃描你的網站。
若未再偵測到惡意內容,紅色警告頁面會自動移除。
🔁 若再次被退件:
不要氣餒,Google 通常會附上具體理由(哪個檔案、哪個 URL 仍有問題),依指示修正即可。
補充說明:
平均解除時間約為 3~7 天。
但若網站同時被駭客留後門(如 .php shell),處理時間可能延長至兩週。
因此建議後續一定要進行伺服器層級掃描與權限重設,避免二次感染。
預防策略:如何避免再次被列入黑名單
解除 Google 的有害警示只是第一步;重點是建立「長期防護、快速監控」的機制。以下是五大預防原則:
定期更新與弱點掃描
- 持續更新 WordPress、外掛、主題與伺服器(PHP、cURL、OpenSSL)。
- 每月至少做一次安全掃描:使用 WPScan、ClamAV 或主機端安全工具。
限制登入與權限管理
- 僅保留必要帳號;多人協作請個別建帳並分層權限。
- 開啟雙重驗證(2FA),降低暴力破解風險。
避免不明外部資源
- 第三方 CDN、外掛與 JS 優先選官方來源,並使用 SRI(integrity) 驗證。
- 來源不明或免費但風險高的資源,避免載入;能本機化就本機化。
HTTPS 與安全標頭
- 啟用 SSL,強制 HTTP → HTTPS。
- 建議加入以下安全標頭:
Content-Security-Policy X-Frame-Options X-Content-Type-Options Referrer-Policy
定期備份與異常監控
- 備份應包含「檔案 + 資料庫」,並存放於異地(如雲端空間)。
- 設置監控與告警:可用 UptimeRobot、Cloudflare 或 Sucuri 防火牆 進行異常偵測。
Google reCAPTCHA 2025 已全面升級為 Enterprise 版本,詳見👉《免費不再!Google reCAPTCHA 宣布改採 Cloud 計費制,未遷移恐被鎖金鑰》
或許你可能也會想知道👉《SSL 憑證是什麼?沒有 SSL 憑證 Google 真的會封鎖你的網站嗎》
小結
網站安全是種「維運文化」。多數事故來自長期忽略更新與缺乏監控。安全與 SEO 並行:被標記為有害會傷排名,更會傷品牌信任。
被 Google 標記不是世界末日
被 Google 標記為「有害網站」的那一刻,確實會讓人心頭一震。
你可能會想:「完了,我的網站是不是毀了?」
但事實上,這種狀況只要處理得當,是能完全恢復的。
重要的是,你必須把這次事件當成一個轉機🌱
這不只是修復漏洞,更是一次讓網站變得更安全、更可靠的契機。
從權限、外掛、資安設定,到每一次更新紀錄,
只要養成「定期檢查」與「風險意識」的習慣,Google 就不會再把你列進黑名單。
所以,下次再看到紅色警示,不要慌。
它只是提醒你:
該是時候,讓網站回到一個能被信任、能被搜尋引擎放心推薦的狀態。
💬 一起讓網站更安全
你曾經遇過網站被駭、被誤判或被列為有害網站的經驗嗎?
也歡迎留言與我分享你的故事,
或告訴我你目前在做哪些安全防護措施。
如果你正面臨這樣的問題,也可以直接聯絡我,
我會告訴你實務上該怎麼一步步救回網站。
