近期出现的“幽灵群发”事件发引发了大家的关注，很多公众号在没有泄露账号密码的情况下，被调用了群发按钮，并且绕过了管理员和运营者直接群发。

后经过微信官方澄清，盗号者是通过获取公众平台密码（Appsecret）进行群发，直接获取密码无需登陆，随意就能调用接口。

微信官方为避免因密码（Appsecret）泄露对帐号造成损失，平台对调用“获取access_token”接口增加IP白名单校验：只有白名单IP才能生成公众号access_token(https://api.weixin.qq.com/cgi-bin/token?grant_type=client_credential&appid=APPID&secret=APPSECRET )，开启IP白名单不影响使用access_token调用其他接口。由此，即使密码（Appsecret）泄露，盗号者也无法进行群发操作。

开启步骤如下：

1、登录公众平台，进入开发->基本配置页面。

2、点击配置进入IP白名单设置页。

3、填写IP地址列表。

4、管理员扫码确认保存。

5、调用“获取access_token”接口，返回结果。如非白名单IP调用，将返回错误码：40164，可通过wiki查看具体原因。

相关链接：微信小程序使用注意事项总结（一）