对方可以在你评论区 评论内容+输入网站选项时植入XSS木马，并在404.php写入木马

从而获取你的cookie值，对方直接登入你的后台

解决办法
把Typecho升级到1.2.1版本（官方已经解决了这个问题）
如果你已经被植入过XSS了，那你应该检查一下你的数据库了
如果是宝塔用户，那么宝塔有一个数据库每天都自动备份的功能，如果你开了，那就删除当天被植入过的数据库，恢复前一天的数据库，
对方登入你的后台后，点击外观→编辑当前外观，对方也是可以修改你主题文件源代码的，因为你也不知道对方到底改了哪里，所以最好是导入新的主题文件使用
宝塔安装日志清理工具，扫描 全选 清理所有垃圾，
这样一套操作下来基本无后顾之忧了

Typecho-1.2.1 官方下载地址：https://github.com/typecho/typecho/releases/tag/v1.2.1-rc