Lisanssız Eklentilerin Gerçek Maliyeti

Yayınlanan: 2021-01-19

Not: Jetpack ekibinin sitenizi korumaya yardımcı olmak için kötü amaçlı yazılımları nasıl araştırdığıyla ilgileniyor musunuz? O zaman seni koruduk. Çıkarımlar herkes içindir, ancak makalenin ikinci yarısı WordPress'in nasıl çalıştığına dair biraz teknik bilgi gerektiriyor.

Yeni iş web sitenizi veya kişisel blogunuzu oluşturmak gerçekten heyecan verici! Vizyonunuzu sergileyecek güzel bir tema seçmek ve en iyi kullanıcı deneyimini sunmak için uygun eklentileri seçmek kolay bir iş değildir ve büyük olasılıkla bu projeyi çalışır hale getirmenin maliyetini artıracaktır. Korsan yazılım, kolay bir maliyet tasarrufu önlemi olarak cazip gelebilir.

Windows 10, Microsoft Office veya Adobe Creative Suite gibi yazılımların yanı sıra korsan WordPress uzantıları da bulacaksınız. Lisanslı distribütör olmayan sitelerden eklentiler ve temalar indirmek, uzun vadede yalnızca maliyetinizi artıracaktır. Nedenini açıklayayım.

2018'de BSA, bazı çarpıcı rakamların belirtildiği Global Yazılım Anketi'ni yayınladı:

  • Kişisel bilgisayarlara yüklenen tüm yazılımların %37'si lisanssızdır
  • Korsan yazılımlardan yüklenen kötü amaçlı yazılımları veya virüsleri düzeltmenin maliyeti yılda yaklaşık 360 milyar dolardır.

Bazıları, korsan bir WordPress temasının veya eklentisinin bilgisayarlarına zarar vermeyeceğini veya başka birinin bilgisayarında (bulut olarak da bilinir) çalıştığı için bilgileri için bir tehdit oluşturmadığını iddia edebilir. Bu daha yanlış olamazdı.

Satış konuşmasını sorgulayın

Birçok yazılım mühendisi, çalışmalarını dağıtmak ve satmak için diğer şirketlere güvenir. Yasal dağıtım yollarına ek olarak, korsan yazılım web siteleri de vardır. Mühendislik kodu hakkında endişelenmelerine gerek yok çünkü onu kâr etmek için çalıyorlar. Tek amaçları korsan yazılımlarını indirip kurmanızı sağlamak olduğundan, zamanlarını satış konuşmasına odaklanarak geçirirler.

Korsan bir tema reklamı örneği

Ücretsiz olarak alabiliyorsanız neden geliştiricilere ve distribütöre para ödeyesiniz?

Kafanızı karıştırabilecek ve site tıklamalarını artırarak kârlılığını artırabilecek çok sayıda reklam ve indirme düğmesi bulunan herhangi bir siteye karşı dikkatli olmanızı öneririz. Ayrıca, yukarıdaki resimdeki örnekte olduğu gibi açık dağıtım ihlallerine karşı dikkatli olun.

Mephistopheles ile anlaşma – İnce baskıyı okumak

Alman folklorundan daha fazla bilgi ve güç elde etmeyi hedefleyen Faust, Şeytan'la bir anlaşma yaptı. Benzer şekilde, WordPress uzantılarının korsan sürümlerini sağlayan siteler karşılığında ne alacakları konusunda net değildir, bu nedenle tüm riski alırsınız.

Merak etmeyin, gerçekten imzaladığınız anlaşmayı anlamanıza yardımcı olmak için buradayız.

Bu Cinematix Temasını gölgeli bir tema sitesinden indirdim. Hemen benioku.txt dosyasının içeriğinin varsayılan Yirmi Onyedi temasının 2.3 sürümüyle aynı olduğunu fark ettim.

Örnek boş tema kodu
Cinematix mi yoksa Twenty Seventeen teması mı?

Bunu kendi başınıza yapmamanızı tavsiye ederiz, ancak biz güvenlik uzmanları olduğumuz için devam ettim ve talimatları takip ettim. Dizin adını nld_theme_index'ten sinematix olarak değiştirdim. Bu tamamen gereksiz hissettirdi ve aslında öyleydi.

wp-admin'imin temalar bölümünde temanın kurulu olduğunu görebiliyordum ama ön izleme resmi olmadığı için kapalı görünüyordu. Belki etkinleştirirsem işe yarar?

Önizleme yok, belki de sadece onu etkinleştirmekle ilgili.

Aktivasyondan sonra, yazılımı satın almam gerektiğine dair güzel bir mesaj aldım! WordPress dizininden ücretsiz bir tema için asla bir tema lisansı satın almanız istenmez. Satın almayı gerektiren birçok harika premium tema vardır, ancak bunlar genellikle siz indirmeden önce gelir. Geliştiriciden veya onları oluşturan şirketten indirmediğiniz temalar için ödeme yapmayın.

Ama mesaj ücretsiz olduğunu söyledi… Peki bu yazım hatası ne?

Bilim adına bu kilidi kaldıracağım ve Cinematix temasını ücretsiz kullanacağım.

Tahmin edildiği gibi, bu “Cinematix Teması” aslında yalnızca kılık değiştirmiş ücretsiz açık kaynak Twenty Seventeen temasıdır. Bunun geldiğini daha önce readme.txt dosyasına bakarak gördük.

Kodu inceleyelim ve ne bulabileceğimize bakalım, ama nereden başlayacağız? Sahte tema, ihtiyacımız olmayan bir lisans için ödeme yapmamız için bizi ikna etmeye çalıştığında zaten bize bir ipucu verdi. TEMA LİSANSI GEÇERSİZ, LÜTFEN SATIN ALIN mesajı Yirmi Onyedi'nin bir parçası değildir ve diğer kötü şeyleri bulmak için rehberimiz olabilir.

Bu mesajı, orijinal temada da bulunan /inc/template-tags.php buldum. Ancak, kod değil ve bu kötü amaçlı yazılım için ilk Uzlaşma Göstergemiz. 

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');
  • SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
  • MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

Bu işlevden önce gelen her şey elbette kötü niyetli ve tehlikeliydi; Hadi bir bakalım:

Buradaki ilk işlev ( getUserIpAddr() ) kendi başına kötü değildir, ancak eve telefon ederken güvenliği ihlal edilen sitenin bilgilerini sağlamak için activate_nulled_theme() tarafından kullanılır.

Yaptığı ilk şey, wp_rest_api kullanıcısını siteye Yönetici olarak eklemek ve burada ikinci Uzlaşma Göstergemiz var.

Sadece ihtiyacınız olmayan bir lisansı satın almanızı sağlamakla kalmıyorlar, aynı zamanda “eve telefon ediyor” (kötü amaçlı kodun web siteniz hakkında sahte temanın yazarıyla bilgi paylaşması için bir fırsat). Sitenizin URL'sini, IP adresini ve kimlik bilgilerini göndermek üzere ayarlandığı wp-remote_post işlevinde phone-home kodunu görebilirsiniz.

Uzman olmayan okuyanlarınız için burada gördüğümüz şey, bu korsan temadaki kötü amaçlı kodun bilgisayar korsanlarına sitenize giriş yapabilmeleri için bir kullanıcı adı ve şifre göndereceğidir. Bu, onlara özel içeriğe, e-ticaret mağazalarından siparişlere ve web siteniz üzerinde tam kontrole erişmelerini sağlayacaktır.

Tüm bunlara ek olarak, /inc/adminindex.php kodunun bir kopyasını wp-includes , wp-admin ve wp-content/uploads dizinine bırakır. Bu dosyanın ne yaptığını tahmin edebilir misiniz?

Bu, saldırgana sitenizin adresini, bir yönetici kullanıcıyı ve eklemek istedikleri herhangi bir ek kötü amaçlı yazılımı bırakmanın bir yolunu veren bir Dosya Yükleme Arka Kapısıdır. Bu bizim son uzlaşma göstergemiz, ancak bu noktada sadece kötü niyetli pastanın üzerine krema geliyor.

  • SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
  • MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

Çözüm

Korsan yazılım kullanmak maliyetleri düşürmenin kolay bir yolu gibi görünebilir, ancak perde arkasında sitenize ve daha sonra size veya ziyaretçilerinize korkunç şeyler yapıyor olabilir. MalwareBytes'teki arkadaşlarımızın bu gönderide paylaştığı istismar kitleri, bu Dosya Yükleme arka kapısı veya wp_rest_api kullanıcısı kullanılarak sitenize eklenebilir ve herhangi bir ziyaretçinin tarayıcısına saldırmak için kullanılabilir.

Siteniz için kötü amaçlı dosya tarama ve yedekleme içeren bir güvenlik planınızın olmasını önemle tavsiye ederiz. Yazılımınızı satın almak, geliştiricilerin çalışmalarına devam etmelerini sağlar, ancak daha da önemlisi sitenizin ve ziyaretçilerinizin güvende olmasını sağlar.