哥们，我太懂你这种慌了——公司官网和朋友的站都在一台服务器上，突然出现这种莫名其妙的广告弹窗，还没法稳定复现，换谁都头大。咱们别慌，一步步拆解排查，先从最容易验证的点开始：

毕竟只有你朋友的台式机出问题，其他人设备都正常，先把他那边的可能性排除掉：

• 让他换个浏览器试试（比如从Chrome切到Edge/Firefox），再开隐私模式访问——如果隐私模式下广告消失，那大概率是他浏览器装了恶意扩展、插件，或者本地被搞了恶意软件。
• 检查他的DNS设置：有没有用什么奇怪的第三方DNS？换成公共DNS（比如8.8.8.8）再访问，有些恶意DNS会劫持请求插广告。
• 让他用手机热点连网访问，避开当前的WiFi——排除局域网网关被劫持的可能，比如小区路由器被黑了插广告。

既然不同插件的WP站都出问题，得查服务器层面的共性点：

• 登录Plesk，挨个看每个WP站点根目录的.htaccess文件，有没有陌生的Rewrite规则或者乱加的代码——广告劫持最爱改这个，批量插脚本。
• 去Plesk的「工具与设置」→「Web服务器设置」，看Apache/Nginx的全局配置，有没有新增奇怪的模块或者全局注入规则。
• 用Plesk文件管理器或者SSH登服务器，搜所有WP站点的主题/插件目录里的index.php、header.php、footer.php，看有没有被插陌生的<script>标签（指向奇怪域名的那种）——有些入侵会批量篡改这些公共文件。
• 看服务器系统日志（Plesk「工具与设置」→「日志」→「系统日志」），有没有异常SSH登录、sudo操作记录，或者Web服务器的奇怪请求（比如大量访问不知名PHP文件）。
• 检查Plesk的应用列表，有没有没授权就装的插件/工具，尤其是那种能改网站内容的。

你已经做了安全加固，但还是要确认几个点：

• 所有站点的WP核心、主题、插件是不是都更到最新版了？有些旧版本的核心漏洞会被利用，哪怕插件不一样，核心漏洞是共性的。
• 看每个站点的wp-config.php，有没有被加奇怪的define常量或者陌生代码——比如偷偷加了广告相关的配置。
• 登每个WP后台，看「外观」→「自定义」里有没有乱加的自定义JS，或者「插件」列表里有没有陌生的未授权插件。
• 用Plesk自带的phpMyAdmin打开每个WP数据库，看wp_options表，检查site_url、home这两个值有没有被篡改，有没有新增奇怪的选项存广告脚本。

你用了Plesk和2FA，但还是要打个补丁：

• 看Plesk防火墙规则，有没有开不必要的端口，或者新增陌生的出站规则——有些入侵会让服务器主动连广告服务器。
• 要是开了Plesk的「入侵检测」，去看看有没有检测到异常文件修改或者攻击行为。
• 确认Google Authenticator的2FA是不是只有你自己的设备绑定？有没有其他人的设备绑过？会不会是授权的人不小心泄露了？

要是前面都没找到问题，等你朋友的台式机再出现广告时，让他开浏览器开发者工具（F12）→「网络」标签，过滤JS请求，看广告脚本是从哪加载的：

• 如果是你自己站点域名下的JS，那肯定是服务器端被篡改了；
• 如果是第三方陌生域名，那要么是他客户端被劫持，要么是你服务器端的代码里偷偷引了这个第三方脚本。

另外你也可以在服务器上跑curl -I https://你的站点域名，对比正常设备访问的响应头，看有没有奇怪的跳转或者注入内容。

内容的提问来源于stack exchange，提问作者Jones