未授權插件的真實成本

已發表: 2021-01-19

注意:您對 Jetpack 團隊如何調查惡意軟件以幫助保護您的網站感興趣嗎? 然後我們為您提供保障。 要點適用於每個人,但文章的後半部分確實需要一些有關 WordPress 工作原理的技術知識。

創建新的商業網站或個人博客真的很令人興奮! 選擇一個很好的主題來展示您的願景並選擇合適的插件來提供最佳的用戶體驗並不是一件容易的事,而且很可能會增加啟動和運行該項目的成本。 盜版軟件作為一種簡單的節省成本的措施可能很誘人。

除了 Windows 10、Microsoft Office 或 Adob​​e Creative Suite 等軟件外,您還會發現盜版 WordPress 擴展程序。 從未經許可的分銷商的網站下載插件和主題從長遠來看只會增加您的成本。 讓我解釋一下為什麼。

2018 年,BSA 發布了全球軟件調查,其中列出了一些驚人的數字:

  • 個人電腦上安裝的所有軟件中有 37% 未經許可
  • 每年修復從盜版軟件安裝的惡意軟件或病毒的成本接近 3600 億美元

有些人可能會爭辯說,盜版 WordPress 主題或插件不會對他們的計算機造成傷害,甚至不會對他們的信息構成威脅,因為它運行在其他人的計算機(也稱為雲)上。 這再錯不過了。

質疑銷售宣傳

許多軟件工程師依賴其他公司來分發和銷售他們的工作。 除了合法的分發途徑外,還有盜版軟件網站。 他們不必擔心工程代碼,因為他們竊取它來獲利。 他們將時間花在推銷上,因為他們唯一的目標是讓您下載並安裝他們的盜版軟件。

盜版主題廣告示例

如果可以免費獲得,為什麼還要向開發商和經銷商付費?

我們鼓勵您對任何有大量廣告和下載按鈕的網站保持謹慎,這可能會使您感到困惑並通過增加網站點擊量來增加他們的底線。 此外,請注意明顯違反分佈的行為,如上圖中的示例。

與梅菲斯特的交易——閱讀細則

從德國民間傳說中,浮士德為了獲得更多的知識和權力,與魔鬼做了交易。 同樣,提供盜版 WordPress 擴展的網站也不清楚他們會得到什麼回報,所以你要承擔所有風險。

別擔心,我們在這裡幫助您了解您真正簽署的交易。

我從一個陰暗的主題網站下載了這個 Cinematix 主題。 我立即註意到 readme.txt 文件的內容與默認的 271 主題的 2.3 版本相同。

示例無效的主題代碼
是 Cinematix 還是 27 歲主題?

我們建議您不要自己執行此操作,但由於我們是安全專家,我繼續按照說明進行操作。 我將目錄名稱從nld_theme_index重命名為cinematix 。 這感覺完全沒有必要,事實上確實如此。

在我的 wp-admin 的主題部分中,我可以看到主題已安裝,但它似乎關閉,因為沒有預覽圖片。 也許如果我激活它,它會起作用嗎?

沒有可用的預覽,也許只是激活它的問題。

激活後,我收到一條不錯的小消息,我必須購買該軟件! 永遠不會要求您從 WordPress 目錄購買免費主題的主題許可證。 有許多很棒的高級主題需要購買,但通常是在您下載之前。 不要為不是從開發者或創建它們的公司下載的主題付費。

但是消息說它是免費的……那個錯字是怎麼回事?

以科學的名義,我將移除此鎖並免費使用 Cinematix 主題。

正如預測的那樣,這個“Cinematix 主題”實際上只是變相的免費開源 27 歲主題。 我們通過前面的 readme.txt 看到了這一點。

讓我們深入研究代碼,看看我們能找到什麼,但我們從哪裡開始呢? 當它試圖說服我們支付我們不需要的許可證時,假主題已經給了我們一個提示。 主題許可證無效,請購買消息不是 27 的一部分,可以作為我們定位其他討厭東西的指南。

我在/inc/template-tags.php上找到了這條消息,它也出現在原始主題中。 但是,代碼不是,它是我們針對此惡意軟件的第一個危害指標。 

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');
  • SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
  • MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

該功能之前的一切當然都是惡意和危險的。 讓我們來看看:

那裡的第一個函數( getUserIpAddr() )本身並不壞,但它被activate_nulled_theme()用於在打電話回家時提供受感染站點的信息。

它所做的第一件事是將wp_rest_api用戶作為管理員添加到站點,這裡我們有第二個妥協指標。

他們不僅試圖讓您購買不需要的許可證,而且還“打電話回家”(惡意代碼有機會與假主題的作者共享有關您網站的信息)。 您可以在wp-remote_post函數中看到 phone-home 的代碼,它被設置為發送您網站的 URL、IP 地址和憑據。

對於那些不是專家的讀者,我們在這裡看到的是,這個盜版主題中的惡意代碼將向黑客發送用戶名和密碼,以便他們可以登錄您的網​​站。 這將使他們能夠訪問私人內容、電子商務商店的訂單,並讓他們完全控制您的網站。

除此之外,它還會將此代碼/inc/adminindex.php的副本放到wp-includeswp-adminwp-content/uploads中。 你能猜出這個文件是做什麼的嗎?

它是一個文件上傳後門,為攻擊者提供您網站的地址、管理員用戶,以及一種插入他們想要添加的任何其他惡意軟件的方法。 這是我們妥協的最後一個指標,儘管此時它只是錦上添花。

  • SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
  • MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

結論

使用盜版軟件似乎是一種降低成本的簡單方法,但在幕後,它可能會對您的網站造成可怕的影響,然後對您或您的訪問者造成不利影響。 正如我們在 MalwareBytes 的朋友在這篇文章中分享的那樣,漏洞利用工具包可以使用此文件上傳後門或wp_rest_api用戶添加到您的站點,並用於攻擊任何訪問者的瀏覽器。

我們強烈建議您為您的站點制定包含惡意文件掃描和備份的安全計劃。 購買您的軟件可以讓開發人員繼續他們的工作,但更重要的是,可以確保您的網站和訪問者的安全。