昨晚半夜突然被手机弹窗吓醒，顺手一查后台，心直接凉了半截。我的网站在360搜索里，点进去全变成了赌博和色情页面。那种感觉，就像自家房子被人强行撬开，挂满了乱七八糟的广告，还把你赶了出去。如果你也遇到了“我的网站360搜索被做跳转”这个问题，先别慌，这真不是玄学，是典型的SEO黑帽攻击或者服务器被劫持了。

我干了八年SEO，这种坑踩过不少。第一次遇到时，我急得满嘴起泡，到处问人，结果全是些“重置密码”、“联系百度客服”这种废话。360和百度不一样，它的抓取机制和反作弊逻辑有细微差别，盲目照搬百度的经验，往往治标不治本。今天我就把压箱底的干货掏出来，全是实打实的步骤，希望能帮正在经历痛苦的同行们少走弯路。

第一步，立刻断网隔离，保护现场。

别急着去改代码，先把你服务器的访问日志下载下来。重点看最近24小时内的User-Agent字段和Referer来源。你会发现很多奇怪的IP，或者来自某些境外服务器的频繁请求。这时候，千万别重启服务器，因为内存里的恶意进程可能还没清除，重启后数据就没了。把日志存到本地，这是你后续申诉和排查的关键证据。

第二步，全面排查服务器环境，特别是.htaccess和Nginx配置。

很多新手不知道，黑客不一定能进你的数据库，但能改你的Web服务器配置文件。比如Apache的.htaccess文件，或者Nginx的conf文件。黑客会在里面加几行隐蔽的代码，当检测到来自360搜索引擎爬虫（通常User-Agent包含360Spider）时，就强制301或302跳转到恶意网站。

打开你的配置文件，仔细检查每一行。如果看到类似RewriteCond %{HTTP_USER_AGENT} 360Spider这样的判断语句，后面跟着RewriteRule .* http://evil.com [R=302,L]，那基本就是它了。删掉它，或者把整个配置文件备份后重新生成一份干净的。

第三步，检查网站源码和数据库，清除隐藏后门。

有时候跳转不是服务器层面做的，而是代码里埋了雷。用专业的代码审计工具，或者手动搜索关键词如“eval”、“base64_decode”、“document.write”等。重点看header.php、footer.php这些公共模板文件，以及index.php的开头和结尾。我有个案例，客户网站被植入了一段加密的JS代码，藏在第1000行之后，肉眼根本看不出来。

数据库也要查，看看有没有新增奇怪的表，或者文章表里是否多了大量包含外链的垃圾文章。如果有，立刻清理。

第四步，主动联系360搜索，提交申诉。

这一步很多人忽略了。你以为清除了就完事了？不，360的缓存可能还是旧的。你需要去360搜索站长平台，找到“收录管理”或“投诉中心”。提交你的网站域名，说明情况，附上你清理后的截图和日志证据。

这里有个细节，360的人工审核周期比百度长，大概需要3到7天。期间，你的排名可能会继续下滑，甚至被暂时屏蔽，这是正常的阵痛期。保持耐心，不要频繁提交，否则会被视为恶意刷申诉。

第五步，加固安全，亡羊补牢。

问题解决后，别高兴太早。黑客能进来一次，就能进来第二次。

1. 修改所有密码，包括服务器、数据库、FTP、后台管理员。密码要复杂，最好用密码管理器生成。

2. 开启SSL证书，HTTPS能一定程度上防止中间人攻击。

3. 安装WAF（Web应用防火墙），像云盾、阿里云WAF都不错，能拦截大部分恶意爬虫和SQL注入。

4. 定期备份，而且备份文件不要放在同一台服务器上，最好存在OSS或者本地硬盘。

我见过太多同行，因为一次跳转就放弃了网站，甚至觉得SEO没前途。其实，安全是SEO的基石。没有安全，一切排名都是空中楼阁。这次“我的网站360搜索被做跳转”的经历，虽然痛苦，但也让我对服务器安全有了更深的理解。

最后想说，别怕麻烦。搜索引擎的算法在变，黑产的手段也在升级。唯有保持警惕，定期维护，才能让网站活得久、活得稳。如果你正在经历这些，记住，你不是一个人在战斗。按步骤来，一步步排查，问题总能解决。加油，兄弟们。