Costul real al pluginurilor fără licență

Publicat: 2021-01-19

Notă: sunteți interesat de modul în care echipa Jetpack investighează programele malware pentru a vă proteja site-ul? Atunci vă avem acoperit. Recomandările sunt pentru toată lumea, dar a doua jumătate a articolului necesită anumite cunoștințe tehnice despre cum funcționează WordPress.

Crearea noului site web de afaceri sau blog personal este cu adevărat interesant! Alegerea unei teme frumoase care să vă prezinte viziunea și selectarea pluginurilor potrivite pentru a oferi cea mai bună experiență de utilizator nu este o sarcină ușoară și, cel mai probabil, va crește costul derulării acestui proiect. Software-ul de piratare poate fi tentant ca măsură ușoară de economisire a costurilor.

Pe lângă software precum Windows 10, Microsoft Office sau Adobe Creative Suite, veți găsi și extensii WordPress piratate. Descărcarea de pluginuri și teme de pe site-uri care nu sunt distribuitori licențiați va crește doar costul pe termen lung. Lasă-mă să explic de ce.

În 2018, BSA a publicat Global Software Survey, unde precizează câteva cifre uimitoare:

  • 37% din toate programele instalate pe computerele personale sunt fără licență
  • Costul remedierii malware-ului sau virușilor instalați din software-ul piratat este de aproape 360 ​​de miliarde de dolari pe an

Unii ar putea argumenta că o temă sau un plugin WordPress piratat nu va dăuna computerului lor sau nici măcar nu reprezintă o amenințare pentru informațiile lor, deoarece rulează pe computerul altcuiva (cunoscut și ca cloud). Acest lucru nu ar putea fi mai greșit.

Întrebați argumentul de vânzare

Mulți ingineri de software se bazează pe alte companii pentru a-și distribui și vinde munca. Pe lângă căile de distribuție legitime, există site-uri web de software piratate. Nu trebuie să-și facă griji cu privire la codul de inginerie pentru că îl fură pentru a profita. Ei își petrec timpul concentrându-se pe argumentul de vânzare, deoarece singurul lor scop este să vă facă să descărcați și să instalați software-ul piratat.

Exemplu de anunț cu temă piratată

De ce să plătiți dezvoltatorilor și distribuitorului dacă îl puteți obține gratuit?

Vă încurajăm să fiți atenți la orice site care are o mulțime de reclame și butoane de descărcare care vă pot deruta și vă pot crește profitul prin creșterea clicurilor pe site. De asemenea, fiți atenți la încălcări clare ale distribuției, cum ar fi exemplul din imaginea de mai sus.

Înțelegerea cu Mefistofel – Citirea literei mici

Din folclorul german, Faust, cu scopul de a dobândi mai multe cunoștințe și putere, a făcut o înțelegere cu Diavolul. În mod similar, site-urile care oferă versiuni piratate ale extensiilor WordPress nu sunt clare cu privire la ce vor primi în schimb, așa că vă asumați tot riscul.

Nu vă faceți griji, suntem aici pentru a vă ajuta să înțelegeți înțelegerea pe care o semnați cu adevărat.

Am descărcat această temă Cinematix de pe un site de teme umbrite. Imediat am observat că conținutul fișierului readme.txt este același cu versiunea 2.3 a temei implicite Twenty Seventeen.

Exemplu de cod de temă anulat
Este tema Cinematix sau Twenty Seventeen?

Vă sfătuim să nu faceți acest lucru singur, dar din moment ce suntem profesioniști în securitate, am continuat și am urmat instrucțiunile. Am redenumit numele directorului din nld_theme_index în cinematix . Acest lucru s-a simțit complet inutil și, de fapt, a fost.

În secțiunea de teme din wp-admin-ul meu, am putut vedea că tema a fost instalată, dar părea dezactivată deoarece nu exista nicio imagine de previzualizare. Poate dacă îl activez, atunci va funcționa?

Nicio previzualizare disponibilă, poate este doar o chestiune de activare.

După activare, am primit un mesaj drăguț că trebuie să cumpăr software-ul! Nu vi se va cere niciodată să cumpărați o licență de temă pentru o temă gratuită din directorul WordPress. Există multe teme premium grozave care necesită o achiziție, dar care de obicei vin înainte de descărcare. Nu plătiți pentru teme pe care nu le-ați descărcat de la dezvoltatorul sau compania care le-a creat.

Dar mesajul spunea că este gratuit... Și ce e cu acea greșeală de scriere?

În numele științei, voi elimina această blocare și voi folosi tema Cinematix gratuit.

După cum a fost prezis, această „Temă Cinematix” este de fapt doar tema Twenty Seventeen cu sursă deschisă gratuită, mascată. Am văzut acest lucru venind uitându-ne mai devreme la readme.txt.

Să cercetăm codul și să vedem ce putem găsi, dar de unde începem? Tema falsă ne-a dat deja un indiciu când a încercat să ne convingă să plătim o licență de care nu aveam nevoie. Mesajul LICENȚĂ TEMEI INVALIDĂ, VĂ RUGĂM CUMPĂRĂȚI nu face parte din Twenty Seventeen și poate fi ghidul nostru pentru a găsi alte lucruri neplăcute.

Am găsit acest mesaj pe /inc/template-tags.php , care este prezent și pe tema originală. Cu toate acestea, codul nu este și este primul nostru indicator de compromis pentru acest malware. 

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');
  • SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
  • MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

Tot ceea ce a precedat acea funcție era, desigur, rău intenționat și periculos; Hai să aruncăm o privire:

Prima funcție de acolo ( getUserIpAddr() ) nu este rea de la sine, dar este folosită de activate_nulled_theme() pentru a furniza informații despre site-ul compromis atunci când sunați acasă.

Primul lucru pe care îl face este să adauge utilizatorul wp_rest_api ca administrator pe site și aici avem al doilea indicator de compromis.

Nu numai că încearcă să te determine să cumperi o licență de care nu ai nevoie, dar și „telefonează acasă” (o oportunitate pentru codul rău intenționat de a partaja informații despre site-ul tău cu autorul temei false). Puteți vedea codul pentru phone-home în funcția wp-remote_post , unde este setat să trimită adresa URL a site-ului dvs., adresa IP și acreditările.

Pentru cei dintre voi care citiți care nu sunt experți, ceea ce vedem aici este că codul rău intenționat din această temă piratată va trimite un nume de utilizator și o parolă hackerilor, astfel încât aceștia să se poată conecta la site-ul dvs. Acest lucru le va oferi acces la conținut privat, comenzi de la magazinele de comerț electronic și le va oferi control deplin asupra site-ului dvs.

Pe lângă toate acestea, trimite o copie a acestui cod /inc/adminindex.php în wp-includes , wp-admin și wp-content/uploads . Poți ghici ce face acest fișier?

Este o ușă de încărcare a fișierelor, care oferă atacatorului adresa site-ului dvs., un utilizator administrator și o modalitate de a introduce orice malware suplimentar pe care doresc să îl adauge. Acesta este ultimul nostru indicator de compromis, deși în acest moment este doar cireașa de pe tortul rău intenționat.

  • SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
  • MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

Concluzie

Utilizarea software-ului piratat poate părea o modalitate ușoară de a reduce costurile, dar în spatele perdelei, poate face lucruri groaznice site-ului dvs. și mai târziu dvs. sau vizitatorilor dvs. Seturile de exploatare, așa cum au împărtășit prietenii noștri de la MalwareBytes în această postare, pot fi adăugate pe site-ul dvs. utilizând această ușă secundară de încărcare a fișierelor sau utilizatorul wp_rest_api și utilizate pentru a ataca browserele oricărui vizitator.

Vă recomandăm cu tărie să aveți un plan de securitate pentru site-ul dvs. care să includă scanarea fișierelor rău intenționate și backup-uri. Cumpărarea software-ului dvs. permite dezvoltatorilor să-și continue munca, dar, mai important, vă asigură că site-ul și vizitatorii sunt în siguranță.