Плагин WordPress Site Builder обвиняют в добавлении «бэкдора» • Продвижение Web 2.0

Широко используемый дополнительный плагин для популярного конструктора сайтов WordPress установил антипиратский скрипт, который по сути отменяет публикацию всех сообщений. Разработчики WordPress недовольны, некоторые называют этот скрипт вредоносным ПО, бэкдором и нарушением закона.

Дополнение BricksUltimate для Bricks Builder

Bricks Site Builder — это платформа для создания сайтов для WordPress, которая завоевала широкую популярность среди веб-разработчиков, которые ссылаются на ее интуитивно понятный интерфейс, CSS на основе классов и чистый, мощный HTML-код, который она генерирует, как на функции, которые есть у многих других сайтов —Exceed Builders. Что особенного в этом конструкторе сайтов, так это то, что он предназначен для разработчиков с продвинутыми навыками и позволяет им создавать практически все, что они хотят, без необходимости бороться со встроенным кодом, который поставляется с типичным перетаскиванием. Конструкторы сайтов предназначены для не-пользователей. . Разработчик.

Одним из преимуществ конструктора сайтов Bricks является наличие сообщества сторонних разработчиков плагинов, которое расширяет возможности Bricks и ускоряет добавление дополнительных функций веб-сайта.

BricksUltimate Addon для Bricks Builder — это сторонний плагин, который позволяет легко добавлять такие функции, как хлебные крошки, анимированные меню, меню-аккордеон, звездные рейтинги и другие интерактивные элементы на странице.

Именно этот плагин вызвал споры в сообществе разработчиков WordPress, добавив антипиратские элементы, которые многие в сообществе WordPress считают «очень плохой практикой», а другие называют «вредоносным ПО».

BricksОкончательные меры по борьбе с пиратством

Судя по всему, спор вызван сценарием, проверяющим наличие действующей лицензии. Неясно, что именно установлено, но, по словам разработчика, исследовавшего код плагина, похоже, установлен скрипт, предназначенный для скрытия всех сообщений на сайте в случае обнаружения пиратской копии плагина (подробнее об этом ниже). ). ).

Разработчик плагина Чинмой Кумар Пол преуменьшил значение спора, написав, что люди «слишком остро реагируют».

ЧИТАТЬ Как легко перевести ваш WordPress с помощью TranslatePress

Постоянный Обсуждение в группе Dynamic WordPress в Facebook. Существует более 60 сообщений о мерах по борьбе с пиратством BricksUltimate, причем подавляющее большинство сообщений возражают против антипиратского сценария.

Типичные реакции в этом обсуждении:

«…сокрытие бэкдора, который читает клиентскую базу данных, само по себе является нарушением доверия и свидетельствует о злом умысле со стороны разработчика».

«Я просто отказываюсь поддерживать или рекомендовать любого разработчика, который считает, что имеет право тайно добавлять вредоносную полезную нагрузку в программное обеспечение. И затем, когда он сталкивается с этим, он защищает это и не видит ничего плохого. Совершенно неприемлемо, и я рад, что сообщество собралось вместе и заявило, что такой подход нельзя терпеть…»

«…сам факт существования кода ужасен. Я бы не разрешил использовать плагин с таким бэкдором ни на одном веб-сайте, не говоря уже о том, чтобы кто-то делал его для клиентского сайта. Для меня это полностью портит плагин!»

«На этого парня и его компанию можно легко пожаловаться и привлечь к ответственности в соответствии с Общим регламентом по защите данных (GDPR) в любой стране ЕС за установку необъявленного «кода наблюдения», который имеет несанкционированный доступ к базам данных, и на самом деле за то, как ведет себя вредоносное ПО! !!!!! это просто невероятно! «

Один из разработчиков сообщества Facebook «Dynamic WordPress» сообщил о своих выводах о том, как работает антипиратский скрипт.

Они объяснили свои результаты:

«Мы с коллегой расследовали это. Признаемся, мы не являемся экспертами по бэкэнду. Наши выводы заключаются в том, что плагин имеет зашифрованный код, который невозможно прочитать человеку без декодирования.

Этот код является дополнительной удаленной проверкой лицензии. Когда это не удается, оказывается, что значения заменяются в базе данных wp->posts, что, по сути, делает все сообщения всех типов нечитаемыми для WordPress.
Не похоже, что они полностью удалены, как предполагалось изначально, но для любого неопытного пользователя они будут отображаться на веб-интерфейсе как удаленные.

Похоже, что это реализовано в версиях 1.5.3+ BU, и поскольку здесь нет сообщений от законных пользователей об этом, я склонен доверять Чинмою, что это вряд ли повлияет на законных пользователей.

Теперь у моей коллеги действительно была пиратская копия плагина, но, к сожалению, она об этом не знала, поскольку она была куплена как легальная версия у третьей стороны».

Ответ от разработчика BricksUltimate:

ЧИТАТЬ Как проверить вашу тему WordPress на соответствие новейшим стандартам

Разработчик плагина Чинмой Кумар Пол. опубликовал ответ в группе BricksUltimate в Facebook.

Они пишут:

«Re: Некоторые программисты обходят лицензионный API с помощью собственного кода. На этом этапе плагин будет активирован и будет работать без сбоев. Мой скрипт просто отслеживает эти сайты и проверяет лицензионный ключ. В случае несоответствия данные будут удалены. Но это не лучшее решение. Я только что проверил.

В следующий раз я улучшу его с помощью другой логики и тестов.

Люди просто слишком остро реагируют.

Я все еще ищу лучшее решение и обновляю коды согласно моему отчету.

…Многие нежелательные пользователи сообщают о проблеме по электронной почте, и я трачу на них свое время. Поэтому я просто пытаюсь найти лучший вариант, чтобы избежать чего-то подобного».

Несколько пользователей BricksUltimate выступили в защиту попытки разработчика плагина дать отпор пользователям с пиратскими копиями плагина. Но на каждое сообщение в защиту разработчика приходилось и другое, выражающее резкое неодобрение.

Разработчики отступают от антипиратских мер

Разработчик, возможно, прочитал комнату и увидел, что этот шаг крайне непопулярен. Они сказали, что изменили курс и приняли меры.

Они настаивали:

«…Я заявил, что изменю нынешний подход на лучший вариант. Люди не понимают концепцию и распространяют слухи тут и там».

Черный доступ может привести к штрафам и тюремному заключению

Wordfence недавно опубликовал статью о бэкдорах, оставленных разработчиками, которые намеренно вмешиваются в работу веб-сайта или повреждают его издателями, которые должны им деньги.

В посте под названием: PSA: Намеренное оставление бэкдоров в вашем коде может привести к штрафам и тюремному заключению Они пишут:

«Одна из основных причин, по которой у веб-разработчика может возникнуть соблазн включить жестко закодированный бэкдор, заключается в том, чтобы гарантировать, что его работа не будет использоваться без оплаты.

…Должно быть ясно, что намеренное повреждение веб-сайта является нарушением закона во многих странах и может привести к штрафу или даже тюремному заключению. В Соединенных Штатах Закон о компьютерном мошенничестве и злоупотреблениях 1986 года (CFAA) четко определяет незаконное использование компьютерных систем. В соответствии с разделом 18 USC § 1030 (e)(8), простой доступ к компьютерной системе с привилегиями или уровнями доступа, превышающими разрешенные, является нарушением закона. Кроме того, умышленное повреждение системы или данных также является уголовным преступлением. Наказания за нарушения CFAA могут включать, помимо крупных штрафов, тюремное заключение на срок от десяти лет и более».

Борьба с пиратством является законной задачей. Однако в сообществе WordPress все немного сложнее, поскольку лицензирование WordPress требует, чтобы все, созданное с помощью WordPress, было выпущено с лицензией с открытым исходным кодом.

ЧИТАТЬ Уязвимость WordPress Popup Maker затрагивает до 700 000 сайтов

Рекомендованное изображение: Shutterstock/Дикушин Дмитрий

Source