Реальная стоимость нелицензионных плагинов

Опубликовано: 2021-01-19

Примечание. Вас интересует, как команда Jetpack исследует вредоносное ПО, чтобы помочь защитить ваш сайт? Тогда мы вас прикроем. Выводы для всех, но вторая половина статьи требует некоторых технических знаний о том, как работает WordPress.

Создание нового бизнес-сайта или личного блога — это действительно увлекательно! Выбор красивой темы, которая продемонстрирует ваше видение, и выбор подходящих плагинов для обеспечения наилучшего взаимодействия с пользователем — непростая задача, и, скорее всего, это увеличит стоимость запуска и работы этого проекта. Пиратское программное обеспечение может быть заманчиво как простая мера экономии.

Помимо программного обеспечения, такого как Windows 10, Microsoft Office или Adobe Creative Suite, вы также найдете пиратские расширения WordPress. Загрузка плагинов и тем с сайтов, которые не являются лицензированными дистрибьюторами, в долгосрочной перспективе только увеличит ваши расходы. Позвольте мне объяснить, почему.

В 2018 году BSA опубликовала Глобальный обзор программного обеспечения, в котором приводится несколько поразительных цифр:

  • 37% всего программного обеспечения, установленного на персональных компьютерах, нелицензионное.
  • Стоимость исправления вредоносных программ или вирусов, установленных из пиратского программного обеспечения, составляет почти 360 миллиардов долларов в год.

Некоторые могут возразить, что пиратская тема или плагин WordPress не причинят вреда их компьютеру или даже не представляют угрозы для их информации, поскольку она работает на чужом компьютере (также известном как облако). Это не может быть более неправильно.

Задайте вопрос о рекламе

Многие разработчики программного обеспечения полагаются на другие компании для распространения и продажи своей работы. Помимо законных каналов распространения, существуют веб-сайты с пиратским программным обеспечением. Им не нужно беспокоиться о инженерном коде, потому что они крадут его, чтобы получить прибыль. Они тратят свое время, сосредотачиваясь на рекламе, поскольку их единственная цель — заставить вас загрузить и установить их пиратское программное обеспечение.

Пример рекламы в пиратской тематике

Зачем платить разработчикам и дистрибьютору, если можно получить бесплатно?

Мы призываем вас быть осторожными с любыми сайтами, на которых много рекламы и кнопок загрузки, которые могут сбить вас с толку и увеличить их прибыль за счет увеличения количества кликов по сайту. Кроме того, следите за явными нарушениями распределения, как в примере на изображении выше.

Сделка с Мефистофелем – Читаем мелкий шрифт

Из немецкого фольклора Фауст, стремясь получить больше знаний и силы, заключил сделку с Дьяволом. Точно так же сайты, которые предоставляют пиратские версии расширений WordPress, не знают, что они получат взамен, поэтому вы берете на себя весь риск.

Не волнуйтесь, мы здесь, чтобы помочь вам понять сделку, которую вы на самом деле подписываете.

Я скачал эту тему Cinematix с теневого тематического сайта. Сразу же я заметил, что содержимое файла readme.txt совпадает с версией 2.3 стандартной темы Twenty Seventeen.

Пример кода темы с нулевым значением
Это тема Cinematix или Twenty Seventeen?

Мы советуем вам не делать этого самостоятельно, но, поскольку мы профессионалы в области безопасности, я пошел дальше и следовал инструкциям. Я переименовал имя каталога с nld_theme_index на cinematix . Это казалось совершенно ненужным, и на самом деле так оно и было.

В разделе тем моего wp-admin я мог видеть, что тема была установлена, но она казалась отключенной, потому что не было изображения для предварительного просмотра. Возможно, если я его активирую, то он будет работать?

Предварительный просмотр недоступен, возможно, это просто вопрос его активации.

После активации я получил приятное маленькое сообщение о том, что я должен приобрести программное обеспечение! Вас никогда не попросят приобрести лицензию на бесплатную тему из каталога WordPress. Есть много отличных тем премиум-класса, которые требуют покупки, но обычно это происходит до загрузки. Не платите за темы, которые вы не скачали у разработчика или компании, создавшей их.

Но в сообщении было сказано, что это бесплатно... А что за опечатка?

Во имя науки я сниму эту блокировку и буду использовать тему Cinematix бесплатно.

Как и предполагалось, эта «Cinematix Theme» на самом деле является просто замаскированной бесплатной темой Twenty Seventeen с открытым исходным кодом. Мы увидели это, просмотрев ранее файл readme.txt.

Давайте углубимся в код и посмотрим, что мы можем найти, но с чего начать? Поддельная тема уже дала нам подсказку, когда пыталась убедить нас заплатить за лицензию, которая нам не нужна. Сообщение THEME LICENSE INVALID, PLEASE PURCHASE не является частью Twenty Seventeen и может помочь нам найти другие неприятные вещи.

Я нашел это сообщение на /inc/template-tags.php , которое также присутствует в оригинальной теме. Однако кода нет, и это наш первый индикатор компрометации для этой вредоносной программы. 

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');
  • SHA1 — f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
  • MD5 — 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

Все, что предшествовало этой функции, было, конечно, злонамеренным и опасным; Давайте взглянем:

Первая функция там ( getUserIpAddr() ) сама по себе неплохая, но она используется activate_nulled_theme() для предоставления информации о скомпрометированном сайте при звонке домой.

Первое, что он делает, — добавляет пользователя wp_rest_api в качестве администратора на сайт, и здесь у нас есть второй индикатор компрометации.

Они не только пытаются заставить вас купить ненужную вам лицензию, но и «звонят домой» (возможность для вредоносного кода поделиться информацией о вашем сайте с автором поддельной темы). Вы можете увидеть код для phone-home в функции wp-remote_post , где он настроен на отправку URL-адреса вашего сайта, IP-адреса и учетных данных.

Для тех из вас, кто не является экспертом, мы видим, что вредоносный код в этой пиратской теме будет отправлять имя пользователя и пароль хакерам, чтобы они могли войти на ваш сайт. Это даст им доступ к частному контенту, заказам из интернет-магазинов и даст им полный контроль над вашим сайтом.

Вдобавок ко всему этому копия этого кода /inc/adminindex.php в wp-includes , wp-admin и wp-content/uploads . Можете ли вы догадаться, что делает этот файл?

Это бэкдор для загрузки файлов, предоставляющий злоумышленнику адрес вашего сайта, пользователя-администратора и способ добавить любое дополнительное вредоносное ПО, которое он хочет добавить. Это наш последний индикатор компрометации, хотя на данный момент это просто вишенка на злонамеренном пироге.

  • SHA1 — 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
  • MD5 — 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

Вывод

Использование пиратского программного обеспечения может показаться простым способом сократить расходы, но за кулисами оно может делать ужасные вещи с вашим сайтом, а затем с вами или вашими посетителями. Наборы эксплойтов, как рассказали в этом посте наши друзья из MalwareBytes, могут быть добавлены на ваш сайт с помощью этого бэкдора File Upload или пользователя wp_rest_api и использоваться для атаки на браузеры любых посетителей.

Мы настоятельно рекомендуем вам иметь план безопасности для вашего сайта, который включает сканирование вредоносных файлов и резервное копирование. Покупка вашего программного обеспечения позволяет разработчикам продолжать свою работу, но, что более важно, обеспечивает безопасность вашего сайта и посетителей.