仅网站挂马 /或者有恶意代码，不是说证书必吊销。CA 只管证书本身与域名控制权，不直接扫描网站内容。
但风险很高：一旦被浏览器 / 安全厂商 / 监管标记为钓鱼、恶意分发、诈骗站点，CA 可按政策强制吊销证书，且不可逆。

实际会发生什么

短期：证书通常还在，但浏览器可能报 “此网站不安全 / 含恶意软件”，搜索引擎拉黑、WAF 拦截访问。
被举报 / 检测后：安全厂商上报给 CA / 监管，CA 审核后吊销证书，浏览器直接提示 “证书已被吊销”，无法访问。

网站被植入恶意代码，SSL证书风险自查清单

一、先搞懂几个关键点：
普通挂马、被黑插恶意代码，SSL 证书不会自动失效，CA 不会主动扫你网站内容。
只有被判定：钓鱼、木马分发、私钥泄露、域名被劫持滥用，CA 才会吊销证书，吊销后所有浏览器直接打不开网站。
就算证书没被吊销，浏览器、360、腾讯管家、搜索引擎会标记危险网站，拦截访问、降权拉黑。
二、紧急自查 7 步行动：
1. 查 SSL 私钥有没有泄露
看服务器、宝塔、主机后台：证书私钥文件有没有被人下载、外传。
若有私钥泄露痕迹：立刻主动吊销当前证书，重新生成新私钥 + 新证书，别继续用旧的。
私钥没泄露：证书本身安全，暂时不会被吊销。
2. 全盘清理网站恶意代码
删除不明后门、挂马代码、跳转暗链、加密恶意脚本。
检查：首页、模板文件、js、php、html 有没有陌生加密代码、eval、base64 加密片段。
改所有后台密码：宝塔、FTP、网站后台、数据库密码，全部强密码重置。
3. 修复漏洞防二次被黑
程序、模板、插件全部更新到最新版。
关闭无用后台入口、限制后台 IP 访问。
开启宝塔防火墙 / 网站 WAF，拦截注入、挂马、后门上传。
4. 检测证书当前状态
查证书是否已被吊销、冻结、待注销
可以用：SSL 在线检测工具，输入域名看「证书吊销状态」。
状态正常：继续用；显示已吊销：只能重新申请。
5. 查浏览器 & 安全厂商标记
打开谷歌、360 浏览器访问，看是否提示「危险网站、欺诈页面、含恶意软件」。
去腾讯安全、360 安全中心查域名是否被拉黑。
被标记了：清理完代码后，提交安全申诉解除拦截。
6. 检查域名是否被劫持
看解析 DNS 有没有被篡改到陌生 IP。
看服务器是否被篡改默认页面、被泛解析挂广告 / 钓鱼。
被劫持：立刻锁定 DNS、修改域名账号密码、开启域名安全锁。
7. 备案 & 监管排查
国内备案站：恶意代码长期不清理，会被接入商关停、注销备案，连带网站无法访问。
尽快清理干净，避免接入商检测到直接封站。
三、分情况处理方案
仅被插恶意代码，私钥没泄露、证书状态正常
清理木马 + 修漏洞 + 改密码即可，证书不用换，也不会被吊销。
私钥疑似泄露 / 已经被标记钓鱼
立刻吊销旧证书，重新申请新 SSL，同时做安全申诉解封域名。
证书已经被 CA 吊销
无法恢复，只能删除旧证书，重新申请、部署，再申诉解除安全拦截。
四、后续预防（一次性设置好）
开启网站定期木马扫描，宝塔自带每周自动扫。
SSL 私钥严格保密，不发给任何人、不上传网盘。
开启 WAF 防护，禁止未知文件上传、拦截恶意脚本。
域名开启安全锁、DNS 锁定，防止被劫持改解析。

找知识网站 www.zhaozhishi.com 原创的文章欢迎转载
必须注明去处，否则可能追究侵权责任。