Die wahren Kosten nicht lizenzierter Plugins

Hinweis: Interessieren Sie sich dafür, wie das Jetpack-Team Malware untersucht, um Ihre Website zu schützen? Dann sind Sie bei uns richtig. Die Imbissbuden sind für alle, aber die zweite Hälfte des Artikels erfordert einige technische Kenntnisse darüber, wie WordPress funktioniert.

Das Erstellen Ihrer neuen Unternehmenswebsite oder Ihres persönlichen Blogs ist wirklich aufregend! Die Auswahl eines schönen Themas, das Ihre Vision widerspiegelt, und die Auswahl der richtigen Plugins, um die beste Benutzererfahrung zu bieten, ist keine leichte Aufgabe, und es wird höchstwahrscheinlich die Kosten für die Einrichtung und den Betrieb dieses Projekts erhöhen. Piraterie-Software kann als einfache Maßnahme zur Kosteneinsparung verlockend sein.

Neben Software wie Windows 10, Microsoft Office oder Adobe Creative Suite finden Sie dort auch gefälschte WordPress-Erweiterungen. Das Herunterladen von Plugins und Themes von Websites, die keine lizenzierten Distributoren sind, erhöht auf lange Sicht nur Ihre Kosten. Lassen Sie mich erklären, warum.

Im Jahr 2018 veröffentlichte die BSA die Global Software Survey, in der sie einige bemerkenswerte Zahlen nennt:

• 37 % der gesamten auf PCs installierten Software ist nicht lizenziert
• Die Kosten für die Behebung von Malware oder Viren, die von Raubkopien installiert wurden, belaufen sich auf fast 360 Milliarden US-Dollar pro Jahr

Einige mögen argumentieren, dass ein raubkopiertes WordPress-Theme oder -Plug-in ihrem Computer keinen Schaden zufügt oder nicht einmal eine Bedrohung für ihre Informationen darstellt, da es auf dem Computer eines anderen ausgeführt wird (auch als Cloud bekannt). Das könnte nicht falscher sein.

Stellen Sie das Verkaufsgespräch in Frage

Viele Softwareentwickler verlassen sich auf andere Unternehmen, um ihre Arbeit zu vertreiben und zu verkaufen. Neben legitimen Verbreitungswegen gibt es Websites für Raubkopien von Software. Sie müssen sich keine Gedanken über Engineering-Code machen, weil sie ihn stehlen, um davon zu profitieren. Sie verbringen ihre Zeit damit, sich auf das Verkaufsgespräch zu konzentrieren, da ihr einziges Ziel darin besteht, Sie dazu zu bringen, ihre Raubkopien herunterzuladen und zu installieren.

Wir empfehlen Ihnen, bei Websites mit vielen Anzeigen und Download-Schaltflächen vorsichtig zu sein, die Sie verwirren und deren Gewinn steigern können, indem sie die Anzahl der Website-Klicks erhöhen. Achten Sie auch auf klare Verstöße gegen die Verteilung, wie im Beispiel im obigen Bild.

Der Deal mit Mephistopheles – Das Kleingedruckte lesen

Aus der deutschen Folklore, Faust, mit dem Ziel, mehr Wissen und Macht zu erlangen, machte einen Deal mit dem Teufel. Ebenso sind Websites, die Raubkopien von WordPress-Erweiterungen anbieten, nicht klar, was sie im Gegenzug erhalten, also gehen Sie das gesamte Risiko ein.

Keine Sorge, wir sind hier, um Ihnen zu helfen, den Deal zu verstehen, den Sie wirklich unterschreiben.

Ich habe dieses Cinematix-Thema von einer zwielichtigen Themenseite heruntergeladen. Mir ist sofort aufgefallen, dass der Inhalt der Datei readme.txt derselbe ist wie in Version 2.3 des Standarddesigns Twenty Seventeen.

Wir raten Ihnen, dies nicht selbst zu tun, aber da wir Sicherheitsexperten sind, habe ich weitergemacht und die Anweisungen befolgt. Ich habe den Verzeichnisnamen von nld_theme_index in cinematix umbenannt. Das fühlte sich völlig unnötig an und war es tatsächlich.

Im Themenbereich meines wp-admin konnte ich sehen, dass das Thema installiert war, aber es schien deaktiviert zu sein, weil es kein Vorschaubild gab. Vielleicht funktioniert es wenn ich es aktiviere?

Nach der Aktivierung bekam ich eine nette kleine Nachricht, dass ich die Software kaufen muss! Sie werden niemals aufgefordert, eine Designlizenz für ein kostenloses Design aus dem WordPress-Verzeichnis zu erwerben. Es gibt viele großartige Premium-Designs, die einen Kauf erfordern, aber normalerweise vor dem Download kommen. Zahlen Sie nicht für Designs, die Sie nicht von dem Entwickler oder Unternehmen heruntergeladen haben, das sie erstellt hat.

Im Namen der Wissenschaft werde ich diese Sperre entfernen und das Cinematix-Design kostenlos verwenden.

Wie vorhergesagt, ist dieses „Cinematix-Thema“ eigentlich nur das kostenlose Open-Source-Thema Twenty Seventeen in Verkleidung. Wir haben dies kommen sehen, indem wir uns zuvor die readme.txt angesehen haben.

Lassen Sie uns in den Code eintauchen und sehen, was wir finden können, aber wo fangen wir an? Das Fake-Theme hat uns bereits einen Hinweis gegeben, als es versuchte, uns davon zu überzeugen, für eine Lizenz zu bezahlen, die wir nicht brauchten. Die Meldung THEMA-LIZENZ UNGÜLTIG, BITTE KAUFEN ist nicht Teil von Twenty Seventeen und kann unser Leitfaden sein, um andere unangenehme Dinge zu finden.

Ich habe diese Nachricht auf /inc/template-tags.php , die auch im ursprünglichen Design vorhanden ist. Der Code ist es jedoch nicht, und er ist unser erster Kompromittierungsindikator für diese Malware.

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');

• SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
• MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

Alles, was dieser Funktion vorausging, war natürlich bösartig und gefährlich; Lass uns mal sehen:

Die erste Funktion dort ( getUserIpAddr() ) ist an sich nicht schlecht, wird aber von activate_nulled_theme() verwendet, um Informationen über die kompromittierte Seite bereitzustellen, wenn man nach Hause telefoniert.

Das erste, was es tut, ist das Hinzufügen des Benutzers wp_rest_api als Administrator zur Site, und hier haben wir unseren zweiten Indikator für Kompromittierung.

Sie versuchen nicht nur, Sie dazu zu bringen, eine Lizenz zu kaufen, die Sie nicht benötigen, sondern sie „telefonieren auch nach Hause“ (eine Gelegenheit für den bösartigen Code, Informationen über Ihre Website mit dem Autor des gefälschten Themas zu teilen). Sie können den Code für phone-home in der Funktion wp-remote_post , wo er so eingestellt ist, dass er die URL, IP-Adresse und Anmeldeinformationen Ihrer Website sendet.

Für diejenigen unter Ihnen, die keine Experten sind, was wir hier sehen, ist, dass der bösartige Code in diesem raubkopierten Thema einen Benutzernamen und ein Passwort an Hacker sendet, damit sie sich auf Ihrer Website anmelden können. Dadurch erhalten sie Zugriff auf private Inhalte, Bestellungen von E-Commerce-Shops und die volle Kontrolle über Ihre Website.

Zusätzlich zu all dem legt es eine Kopie dieses Codes /inc/adminindex.php in wp-includes , wp-admin und wp-content/uploads ab. Können Sie erraten, was diese Datei tut?

Es ist eine Datei-Upload-Hintertür, die dem Angreifer die Adresse Ihrer Website, einen Administratorbenutzer und eine Möglichkeit gibt, zusätzliche Malware einzuschleusen, die er hinzufügen möchte. Dies ist unser letzter Indikator für eine Kompromittierung, obwohl es an dieser Stelle nur das Sahnehäubchen auf dem bösartigen Kuchen ist.

• SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
• MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

Fazit

Die Verwendung von Raubkopien scheint eine einfache Möglichkeit zu sein, Kosten zu senken, aber hinter den Kulissen kann sie Ihrer Website und später Ihnen oder Ihren Besuchern schreckliche Dinge antun. Exploit-Kits, wie unsere Freunde bei MalwareBytes in diesem Beitrag geteilt haben, können Ihrer Website mithilfe dieser Datei-Upload-Hintertür oder des wp_rest_api Benutzers hinzugefügt und verwendet werden, um die Browser aller Besucher anzugreifen.

Wir empfehlen dringend, dass Sie einen Sicherheitsplan für Ihre Website haben, der das Scannen nach schädlichen Dateien und Sicherungen umfasst. Der Kauf Ihrer Software ermöglicht es Entwicklern, ihre Arbeit fortzusetzen, gewährleistet aber vor allem die Sicherheit Ihrer Website und Ihrer Besucher.