未授权插件的真实成本

已发表: 2021-01-19

注意:您对 Jetpack 团队如何调查恶意软件以帮助保护您的网站感兴趣吗? 然后我们为您提供保障。 要点适用于每个人,但文章的后半部分确实需要一些有关 WordPress 工作原理的技术知识。

创建新的商业网站或个人博客真的很令人兴奋! 选择一个很好的主题来展示您的愿景并选择合适的插件来提供最佳的用户体验并不是一件容易的事,而且很可能会增加启动和运行该项目的成本。 盗版软件作为一种简单的节省成本的措施可能很诱人。

除了 Windows 10、Microsoft Office 或 Adob​​e Creative Suite 等软件外,您还会发现盗版 WordPress 扩展程序。 从未经许可的分销商的网站下载插件和主题从长远来看只会增加您的成本。 让我解释一下为什么。

2018 年,BSA 发布了全球软件调查,其中列出了一些惊人的数字:

  • 个人电脑上安装的所有软件中有 37% 未经许可
  • 每年修复从盗版软件安装的恶意软件或病毒的成本接近 3600 亿美元

有些人可能会争辩说,盗版 WordPress 主题或插件不会对他们的计算机造成伤害,甚至不会对他们的信息构成威胁,因为它运行在其他人的计算机(也称为云)上。 这再错不过了。

质疑销售宣传

许多软件工程师依赖其他公司来分发和销售他们的工作。 除了合法的分发途径外,还有盗版软件网站。 他们不必担心工程代码,因为他们窃取它来获利。 他们将时间花在推销上,因为他们唯一的目标是让您下载并安装他们的盗版软件。

盗版主题广告示例

如果可以免费获得,为什么还要向开发商和经销商付费?

我们鼓励您对任何有大量广告和下载按钮的网站保持谨慎,这可能会使您感到困惑并通过增加网站点击量来增加他们的底线。 此外,请注意明显违反分布的行为,如上图中的示例。

与梅菲斯特的交易——阅读细则

从德国民间传说中,浮士德为了获得更多的知识和权力,与魔鬼做了交易。 同样,提供盗版 WordPress 扩展的网站也不清楚他们会得到什么回报,所以你要承担所有风险。

别担心,我们在这里帮助您了解您真正签署的交易。

我从一个阴暗的主题网站下载了这个 Cinematix 主题。 我立即注意到 readme.txt 文件的内容与默认的 271 主题的 2.3 版本相同。

示例无效的主题代码
是 Cinematix 还是 27 岁主题?

我们建议您不要自己执行此操作,但由于我们是安全专家,我继续按照说明进行操作。 我将目录名称从nld_theme_index重命名为cinematix 。 这感觉完全没有必要,事实上确实如此。

在我的 wp-admin 的主题部分中,我可以看到主题已安装,但它似乎关闭,因为没有预览图片。 也许如果我激活它,它会起作用吗?

没有可用的预览,也许只是激活它的问题。

激活后,我收到一条不错的小消息,我必须购买该软件! 永远不会要求您从 WordPress 目录购买免费主题的主题许可证。 有许多很棒的高级主题需要购买,但通常是在您下载之前。 不要为不是从开发者或创建它们的公司下载的主题付费。

但是消息说它是免费的……那个错字是怎么回事?

以科学的名义,我将移除此锁并免费使用 Cinematix 主题。

正如预测的那样,这个“Cinematix 主题”实际上只是变相的免费开源 27 岁主题。 我们通过前面的 readme.txt 看到了这一点。

让我们深入研究代码,看看我们能找到什么,但我们从哪里开始呢? 当它试图说服我们支付我们不需要的许可证时,假主题已经给了我们一个提示。 主题许可证无效,请购买消息不是 27 的一部分,可以作为我们定位其他讨厌东西的指南。

我在/inc/template-tags.php上找到了这条消息,它也出现在原始主题中。 但是,代码不是,它是我们针对此恶意软件的第一个危害指标。 

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');
  • SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
  • MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

该功能之前的一切当然都是恶意和危险的。 让我们来看看:

那里的第一个函数( getUserIpAddr() )本身并不坏,但它被activate_nulled_theme()用于在打电话回家时提供受感染站点的信息。

它所做的第一件事是将wp_rest_api用户作为管理员添加到站点,这里我们有第二个妥协指标。

他们不仅试图让您购买不需要的许可证,而且还“打电话回家”(恶意代码有机会与假主题的作者共享有关您网站的信息)。 您可以在wp-remote_post函数中看到 phone-home 的代码,它被设置为发送您网站的 URL、IP 地址和凭据。

对于那些不是专家的读者,我们在这里看到的是,这个盗版主题中的恶意代码将向黑客发送用户名和密码,以便他们可以登录您的网站。 这将使他们能够访问私人内容、电子商务商店的订单,并让他们完全控制您的网站。

除此之外,它还会将此代码/inc/adminindex.php的副本放到wp-includeswp-adminwp-content/uploads中。 你能猜出这个文件是做什么的吗?

它是一个文件上传后门,为攻击者提供您站点的地址、管理员用户,以及一种插入他们想要添加的任何其他恶意软件的方法。 这是我们妥协的最后一个指标,尽管此时它只是锦上添花。

  • SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
  • MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

结论

使用盗版软件似乎是一种降低成本的简单方法,但在幕后,它可能会对您的网站造成可怕的影响,然后对您或您的访问者造成不利影响。 正如我们在 MalwareBytes 的朋友在这篇文章中分享的那样,漏洞利用工具包可以使用此文件上传后门或wp_rest_api用户添加到您的站点,并用于攻击任何访问者的浏览器。

我们强烈建议您为您的站点制定包含恶意文件扫描和备份的安全计划。 购买您的软件可以让开发人员继续他们的工作,但更重要的是,可以确保您的网站和访问者的安全。