微信公眾號被人盜號群發了？

最近一段時間晚上一過零點，時常發生一大堆公眾號被人盜號群發了，而且發送的都是一堆亂七八糟的東西，如下圖：

其實這個問題處理的方法很簡單，先提供快速解決方案，然後再做仔細的解釋，只需以下幾個步驟：

1. 進入微信公眾號後台，修改你的微信公眾號密碼。
2. 點擊設置>安全中心，首先開啟“風險操作提醒”，然後在“風險操作保護”中，將“登錄”，“群發消息”，“修改服務器配置”這幾個風險操作的保護都打開。
3. 點擊開發>基本配置，將AppSecret(應用密鑰)重置。
4. 點擊功能>添加功能插件，點擊“授權管理”，取消不靠譜的第三方授權。

提高微信公眾號後台的安全級別

要提高微信公眾號的後台的安全級別，首先要修改後台的密碼，設置一個強密碼，防止洩露，最好定期修改密碼。

然後設置後台的風險操作保護，開啟微信後台的風險操作提醒，並且將“登錄”，“群發消息”，“修改服務器配置”這幾個風險操作的保護都打開。

但是如此操作就以為不會被人盜號群發，那就太天真了，下面就講講微信公眾平台的第三方的安全問題。

警惕微信公眾平台的第三方

開發模式的第三方

在微信公眾平台網站中創建公眾號、可以使用使用第三方服務通過接口進行自定義回复，自定義菜單，群發消息，用戶管理等操作。

第三方只需要AppID（應用ID）和AppSecret（應用密鑰）就可以獲取用於接口操作的Access Token，如下圖微信機器人的設置：

所以如果你讓別人知道了AppID和AppSecret，那麼他就可以獲取你公眾號的所有權限，可以設置自定義菜單，自定義回复，群發消息，製作卡券等等。所以發生被人盜號群發之後，如果你又是使用開發模式，可以通過重置AppSecret來快速取消開發者的權限。

特別提醒的是，開發模式的第三方，不僅僅是一個系統，也許是一個功能，比如幫你實現定時群發推送功能的微信群發助手就是最好的釣魚工具，輕鬆就獲取你公眾號的AppID和AppSecret。反正記住：不要輕易向陌生人提供你公眾號的AppID和AppSecret。

授權模式的第三方平台服務

但是微信公眾號的能力很多，但是不是所有的第三方都能夠支持，而且最好，並且第三方設置太過繁瑣，所以微信又開通了公眾號第三方平台服務，讓公眾號運營者，在面向垂直行業需求時，可以一鍵授權給公眾號第三方平台，通過第三方平台來完成業務。

微信公眾平台把微信公眾號的權限分成如下12個集：

1. 消息與菜單權限集
2. 用戶管理權限集
3. 帳號管理權限集
4. 網頁授權權限集
5. 微信小店權限集
6. 多客服權限集
7. 業務通知權限集
8. 微信卡券權限集
9. 素材管理權限集
10. 搖一搖周邊權限集
11. 線下門店權限集
12. 微信連WIFI權限集

比如我授權給騰訊風鈴的時候，他就要求以下幾個權限集：

如果你授權的第三方平台含有群發的權限，這個第三方平台就可以群發了，這個時候，如果發生盜號群發的情況，你就可以在微信公眾號後台，點擊功能>添加功能插件，點擊“授權管理”，取消不靠譜的第三方授權。

第三方是如何造成問題的

主要是這幾個原因：

1. 第三方管理不嚴，畢竟安全最大的問題是人的問題，某個管理員洩露了第三方的賬號密碼。
2. 第三方安全工作沒有做好，被黑客撞庫竊取了賬號密碼，就自動獲取了你公眾號的所有權限。
3. 本身就有一些不良的第三方，比如前面提到的幫你實現定時群發推送功能的微信群發助手，如果開發者不是一個好人，就很容易將獲取到你的AppID 和AppSecret 用來幹壞事

那麼這樣是不是不能使用第三方服務了？當然不可能，不然微信公眾號也不會開放，只是在選用第三方服務的時候多留一個心眼，比如：

• 免費的服務，特別是你感覺他無法盈利的服務，盡量不要使用。
• 不要隨便授權第三方平台，即使授權也要看清楚了，要求太多無關權限集的第三方平台也不要使用。
• 盡量使用自建並且開源代碼的第三方，並且請有能力的程序員幫你看看，畢竟各位運行百萬大號的大佬也不缺這點錢。?