首先，当你发现这样做，还被恶意串改，那就可以确定，恶意代码，在模版里某个js文件里隐藏……只要去运行那个代码，就可以实现，自动下载恶意文件到空间，并执行批量串改任务

如果模版里没有现成的代码，那就存放在附件文件夹恶意图片附件……或编辑器里……

如果上述两处都没有，那只有程序漏洞，被利用的可能了……所有根源，还是，程序的安全系数高，没有被利用的机会，才能基本杜绝此类串改风险