Le coût réel des plugins sans licence

Remarque : Souhaitez-vous savoir comment l'équipe Jetpack enquête sur les logiciels malveillants pour protéger votre site ? Alors nous avons ce qu'il vous faut. Les plats à emporter sont pour tout le monde, mais la seconde moitié de l'article nécessite des connaissances techniques sur le fonctionnement de WordPress.

Créer votre nouveau site Web d'entreprise ou votre blog personnel est vraiment excitant! Choisir un joli thème qui mettra en valeur votre vision et sélectionner les plugins appropriés pour offrir la meilleure expérience utilisateur n'est pas une tâche facile, et cela augmentera très probablement le coût de la mise en place de ce projet. Le piratage de logiciels peut être tentant en tant que mesure d'économie facile.

Outre des logiciels comme Windows 10, Microsoft Office ou Adobe Creative Suite, vous trouverez également des extensions WordPress piratées. Le téléchargement de plugins et de thèmes à partir de sites qui ne sont pas des distributeurs agréés ne fera qu'augmenter vos coûts à long terme. Laissez-moi vous expliquer pourquoi.

En 2018, BSA a publié le Global Software Survey, dans lequel il indique quelques chiffres frappants :

• 37 % de tous les logiciels installés sur les ordinateurs personnels sont sans licence
• Le coût de la réparation des logiciels malveillants ou des virus installés à partir de logiciels piratés s'élève à près de 360 ​​milliards de dollars par an

Certains peuvent affirmer qu'un thème ou un plugin WordPress piraté ne fera aucun mal à leur ordinateur, ou ne représente même pas une menace pour leurs informations puisqu'il s'exécute sur l'ordinateur de quelqu'un d'autre (également connu sous le nom de cloud). Cela ne pourrait pas être plus faux.

Questionner l'argumentaire de vente

De nombreux ingénieurs en logiciel comptent sur d'autres sociétés pour distribuer et vendre leur travail. En plus des voies de distribution légitimes, il existe des sites Web de logiciels piratés. Ils n'ont pas à se soucier du code d'ingénierie, car ils le volent pour en tirer profit. Ils passent leur temps à se concentrer sur l'argumentaire de vente, puisque leur seul but est de vous faire télécharger et installer leur logiciel piraté.

Nous vous encourageons à vous méfier de tout site contenant de nombreuses publicités et boutons de téléchargement qui peuvent vous dérouter et augmenter leurs résultats en augmentant le nombre de clics sur leur site. Soyez également à l'affût des violations évidentes de la distribution, comme dans l'exemple de l'image ci-dessus.

L'accord avec Méphistophélès - Lire les petits caractères

Du folklore allemand, Faust, visant à acquérir plus de connaissances et de pouvoir, a conclu un accord avec le diable. De même, les sites qui fournissent des versions piratées d'extensions WordPress ne savent pas exactement ce qu'ils obtiendront en retour, vous prenez donc tous les risques.

Ne vous inquiétez pas, nous sommes là pour vous aider à comprendre l'accord que vous signez réellement.

J'ai téléchargé ce thème Cinematix à partir d'un site de thème louche. Immédiatement, j'ai remarqué que le contenu du fichier readme.txt est le même que celui de la version 2.3 du thème Twenty Seventeen par défaut.

Nous vous conseillons de ne pas le faire vous-même, mais comme nous sommes des professionnels de la sécurité, j'ai suivi les instructions. J'ai renommé le nom du répertoire de nld_theme_index en cinematix . Cela semblait complètement inutile et en fait ça l'était.

Dans la section des thèmes de mon wp-admin, j'ai pu voir que le thème était installé mais il semblait désactivé car il n'y avait pas d'image d'aperçu. Peut-être que si je l'active, cela fonctionnera ?

Après l'activation, j'ai reçu un petit message sympa disant que je dois acheter le logiciel ! Il ne vous sera jamais demandé d'acheter une licence de thème pour un thème gratuit du répertoire WordPress. Il existe de nombreux grands thèmes premium qui nécessitent un achat, mais cela vient généralement avant le téléchargement. Ne payez pas pour des thèmes que vous n'avez pas téléchargés auprès du développeur ou de l'entreprise qui les a créés.

Au nom de la science, je vais supprimer ce verrou et utiliser le thème Cinematix gratuitement.

Comme prévu, ce "thème Cinematix" n'est en fait que le thème gratuit open source Twenty Seventeen déguisé. Nous avons vu cela venir en regardant le fichier readme.txt plus tôt.

Creusons dans le code et voyons ce que nous pouvons trouver, mais par où commencer ? Le faux thème nous a déjà donné un indice lorsqu'il a essayé de nous convaincre de payer pour une licence dont nous n'avions pas besoin. Le message THEME LICENSE INVALID, PLEASE PURCHASE ne fait pas partie de Twenty Seventeen et peut être notre guide pour localiser d'autres trucs désagréables.

J'ai trouvé ce message sur /inc/template-tags.php , qui est également présent sur le thème d'origine. Cependant, le code ne l'est pas, et c'est notre premier indicateur de compromission pour ce malware.

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');

• SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
• MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

Tout ce qui a précédé cette fonction était bien sûr malveillant et dangereux ; nous allons jeter un coup d'oeil:

La première fonction ici ( getUserIpAddr() ) n'est pas mauvaise en elle-même, mais elle est utilisée par activate_nulled_theme() pour fournir des informations sur le site compromis lors d'un appel téléphonique.

La première chose qu'il fait est d'ajouter l'utilisateur wp_rest_api en tant qu'administrateur du site, et nous avons ici notre deuxième indicateur de compromission.

Non seulement ils essaient de vous faire acheter une licence dont vous n'avez pas besoin, mais ils font aussi du "phoning-home" (une opportunité pour le code malveillant de partager des informations sur votre site Web avec l'auteur du faux thème). Vous pouvez voir le code de phone-home dans la fonction wp-remote_post , où il est configuré pour envoyer l'URL, l'adresse IP et les informations d'identification de votre site.

Pour ceux d'entre vous qui ne sont pas des experts, ce que nous voyons ici, c'est que le code malveillant de ce thème piraté va envoyer un nom d'utilisateur et un mot de passe aux pirates afin qu'ils puissent se connecter à votre site. Cela leur donnera accès au contenu privé, aux commandes des boutiques de commerce électronique et leur donnera le contrôle total de votre site Web.

En plus de tout cela, il dépose une copie de ce code /inc/adminindex.php sur wp-includes , wp-admin et wp-content/uploads . Pouvez-vous deviner ce que fait ce fichier ?

Il s'agit d'une porte dérobée de téléchargement de fichiers, donnant à l'attaquant l'adresse de votre site, un utilisateur administrateur et un moyen de déposer tout logiciel malveillant supplémentaire qu'il souhaite ajouter. C'est notre dernier indicateur de compromis, bien qu'à ce stade ce ne soit que la cerise sur le gâteau malveillant.

• SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
• MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

Conclusion

L'utilisation de logiciels piratés peut sembler être un moyen facile de réduire les coûts, mais derrière les rideaux, cela peut faire des choses terribles sur votre site et plus tard sur vous ou vos visiteurs. Les kits d'exploitation, comme nos amis de MalwareBytes l'ont partagé sur ce post, peuvent être ajoutés à votre site en utilisant cette porte dérobée de téléchargement de fichiers ou l'utilisateur wp_rest_api et utilisés pour attaquer les navigateurs de tout visiteur.

Nous vous recommandons vivement d'avoir un plan de sécurité pour votre site qui inclut l'analyse et la sauvegarde des fichiers malveillants. L'achat de votre logiciel permet aux développeurs de poursuivre leur travail, mais surtout, garantit la sécurité de votre site et de vos visiteurs.