2年微信公众号开发者告诉你,为什么你的公众号被人盗号群发了
微信公众号被人盗号群发了?
最近一段时间晚上一过零点,时常发生一大堆公众号被人盗号群发了,而且发送的都是一堆乱七八糟的东西,如下图:
其实这个问题处理的方法很简单,先提供快速解决方案,然后再做仔细的解释,只需以下几个步骤:
- 进入微信公众号后台,修改你的微信公众号密码。
- 点击 设置 > 安全中心,首先开启“风险操作提醒”,然后在“风险操作保护”中,将“登录”,“群发消息”,“修改服务器配置”这几个风险操作的保护都打开。
- 点击 开发 > 基本配置,将 AppSecret(应用密钥) 重置。
- 点击 功能 > 添加功能插件,点击“授权管理”,取消不靠谱的第三方授权。
提高微信公众号后台的安全级别
要提高微信公众号的后台的安全级别,首先要修改后台的密码,设置一个强密码,防止泄露,最好定期修改密码。
然后设置后台的风险操作保护,开启微信后台的风险操作提醒,并且将“登录”,“群发消息”,“修改服务器配置”这几个风险操作的保护都打开。
但是如此操作就以为不会被人盗号群发,那就太天真了,下面就讲讲微信公众平台的第三方的安全问题。
警惕微信公众平台的第三方
开发模式的第三方
在微信公众平台网站中创建公众号、可以使用使用第三方服务通过接口进行自定义回复,自定义菜单,群发消息,用户管理等操作。
第三方只需要 AppID(应用ID)和 AppSecret(应用密钥)就可以获取用于接口操作的 Access Token,如下图微信机器人的设置:
所以如果你让别人知道了 AppID 和 AppSecret,那么他就可以获取你公众号的所有权限,可以设置自定义菜单,自定义回复,群发消息,制作卡券等等。所以发生被人盗号群发之后,如果你又是使用开发模式,可以通过重置 AppSecret 来快速取消开发者的权限。
特别提醒的是,开发模式的第三方,不仅仅是一个系统,也许是一个功能,比如帮你实现定时群发推送功能的微信群发助手就是最好的钓鱼工具,轻松就获取你公众号的 AppID 和 AppSecret。反正记住:不要轻易向陌生人提供你公众号的 AppID 和 AppSecret。
授权模式的第三方平台服务
但是微信公众号的能力很多,但是不是所有的第三方都能够支持,而且最好,并且第三方设置太过繁琐,所以微信又开通了公众号第三方平台服务,让公众号运营者,在面向垂直行业需求时,可以一键授权给公众号第三方平台,通过第三方平台来完成业务。
微信公众平台把微信公众号的权限分成如下12个集:
- 消息与菜单权限集
- 用户管理权限集
- 帐号管理权限集
- 网页授权权限集
- 微信小店权限集
- 多客服权限集
- 业务通知权限集
- 微信卡券权限集
- 素材管理权限集
- 摇一摇周边权限集
- 线下门店权限集
- 微信连WIFI权限集
比如我授权给腾讯风铃的时候,他就要求以下几个权限集:
如果你授权的第三方平台含有群发的权限,这个第三方平台就可以群发了,这个时候,如果发生盗号群发的情况,你就可以在微信公众号后台,点击 功能 > 添加功能插件,点击“授权管理”,取消不靠谱的第三方授权。
第三方是如何造成问题的
主要是这几个原因:
- 第三方管理不严,毕竟安全最大的问题是人的问题,某个管理员泄露了第三方的账号密码。
- 第三方安全工作没有做好,被黑客撞库窃取了账号密码,就自动获取了你公众号的所有权限。
- 本身就有一些不良的第三方,比如前面提到的帮你实现定时群发推送功能的微信群发助手,如果开发者不是一个好人,就很容易将获取到你的 AppID 和 AppSecret 用来干坏事
那么这样是不是不能使用第三方服务了?当然不可能,不然微信公众号也不会开放,只是在选用第三方服务的时候多留一个心眼,比如:
- 免费的服务,特别是你感觉他无法盈利的服务,尽量不要使用。
- 不要随便授权第三方平台,即使授权也要看清楚了,要求太多无关权限集的第三方平台也不要使用。
- 尽量使用自建并且开源代码的第三方,并且请有能力的程序员帮你看看,毕竟各位运行百万大号的大佬也不缺这点钱。 🙂