Noticias

El complemento WordPress Site Builder acusado de agregar una “puerta trasera”


Un complemento ampliamente utilizado para un popular creador de sitios de WordPress instaló un script antipiratería que esencialmente cancela la publicación de todas las publicaciones. Los desarrolladores de WordPress están furiosos y algunos califican el script de malware, puerta trasera y violación de las leyes.

Complemento BricksUltimate para Bricks Builder

El creador de sitios Bricks es una plataforma de creación de sitios para WordPress que es muy popular entre los desarrolladores web que citan la interfaz de usuario intuitiva, el CSS basado en clases y el código HTML limpio de alto rendimiento que genera como características que destacan sobre muchos otros creadores de sitios. Lo que distingue a este creador de sitios es que está creado para desarrolladores que tienen habilidades avanzadas, lo que les permite crear prácticamente cualquier cosa que quieran sin tener que luchar contra el código integrado creado por los típicos creadores de sitios de arrastrar y soltar que están destinados a no usuarios. desarrolladores.

Un beneficio del creador de sitios Bricks es que existe una comunidad de desarrolladores de complementos externos que amplía el poder de Bricks para que sea más rápido agregar más funciones al sitio web.

BricksUltimate Addon para Bricks Builder es un complemento de terceros que facilita la adición de funciones como rutas de navegación, menús animados, menús de acordeón, clasificaciones de estrellas y otros elementos interactivos en la página.

Es este complemento el que ha generado controversia en la comunidad de desarrolladores de WordPress al agregar elementos antipiratería que muchos en la comunidad de WordPress consideran una “muy mala práctica” y otros se refieren a él como “malware”.

BricksÚltimas medidas antipiratería

Lo que está causando la controversia parece ser un script que busca una licencia válida. No está claro exactamente qué está instalado, pero según un desarrollador que examinó el código del complemento, parece haber un script instalado que está diseñado para ocultar todas las publicaciones en todo el sitio web si detecta una copia pirateada del complemento (más sobre esto a continuación). ).

El desarrollador del complemento, Chinmoy Kumar Paul, minimizó la controversia y escribió que la gente está “exagerando”.

Una discusión en curso en el grupo de Facebook Dynamic WordPress sobre la medida antipiratería BricksUltimate tiene más de 60 publicaciones, y la inmensa mayoría de las publicaciones se oponen al guión antipiratería.

Reacciones típicas en esa discusión:

“…ocultar una puerta trasera que lee la base de datos del cliente es en sí mismo un abuso de confianza y muestra intenciones maliciosas por parte del desarrollador”.

“Simplemente me niego a apoyar o recomendar a cualquier desarrollador que crea que tiene derecho a agregar secretamente una carga maliciosa a un software. Y luego, una vez confrontado, lo defiende y no ve nada malo. Absolutamente inaceptable y me alegro de que la comunidad se haya unido para afirmar que tal enfoque no debe tolerarse…”

“…el hecho de que el código esté ahí es terrible. No permitiría ningún complemento con ese tipo de puerta trasera en ningún sitio, y mucho menos a nadie que lo haga para el sitio de un cliente. ¡Eso me arruina por completo el complemento!

“Este tipo aquí y su compañía podrían ser denunciados y expuestos fácilmente a la Autoridad de Regulación General de Protección de Datos (GDPR) en cualquier país de la UE por inyectar un código de “monitor” no declarado que tiene acceso no autorizado a bases de datos y que en realidad se comporta como malware. !!!!! ¡Es simplemente increíble! “

Uno de los desarrolladores de la comunidad de Facebook de Dynamic WordPress informó sus hallazgos sobre lo que hace el script antipiratería.

Explicaron sus hallazgos:

“Mi colega y yo hemos investigado esto. Por supuesto, no somos expertos en backend. Nuestros hallazgos son que el complemento tiene un código codificado que no es legible por humanos sin decodificarlo.

Ese código es una verificación de licencia remota adicional. Si falla, parece reemplazar los valores en la base de datos wp->posts, esencialmente haciendo que todas las publicaciones de todos los tipos sean ilegibles para WordPress.
No parece eliminarlos por completo como se sospechó al principio, pero sí aparece como eliminado en la interfaz para cualquier usuario no experto.

Esto parece estar implementado en las versiones BU 1.5.3+ y como no hay publicaciones aquí al respecto de usuarios legítimos, tiendo a confiar en Chinmoy en que es muy poco probable que afecte a los usuarios legítimos.

Ahora bien, mi colega tenía una versión pirateada del complemento, pero lamentablemente no lo sabía porque lo compró como una versión legítima a un vendedor externo”.

Respuesta del desarrollador de BricksUltimate:

El desarrollador del complemento, Chinmoy Kumar Paul, publicó una respuesta en el grupo de Facebook BricksUltimate.

Ellos escribieron:

“Re: Algunos programadores omiten la API de licencia con algún código personalizado. En ese momento, el complemento se activa y funciona sin problemas. Mi script simplemente rastrea esos sitios y verifica la clave de licencia. Si no coinciden, se eliminan los datos. Pero no es la mejor solución. Sólo estaba probando.

La próxima vez lo mejoraré con otras lógicas y pruebas.

La gente simplemente está exagerando.

Todavía estoy buscando la mejor solución y actualizando los códigos según mi informe.

…Muchos usuarios no deseados envían el problema por correo electrónico y estoy perdiendo el tiempo con ellos. Así que sólo estoy tratando de encontrar la mejor opción para evitar este tipo de cosas”.

Varios usuarios de BricksUltimate defendieron el intento del desarrollador del complemento de luchar contra los usuarios con copias pirateadas del complemento. Pero por cada publicación que defendía al desarrollador había otras que expresaban una fuerte desaprobación.

El desarrollador da marcha atrás en la medida antipiratería

Es posible que el desarrollador haya leído la sala y haya visto que la medida era muy impopular. Dijeron que habían cambiado de rumbo al tomar medidas.

Insistieron:

“…Dije que cambiaría el enfoque actual con una mejor opción. La gente no entiende el concepto y difunde rumores aquí y allá”.

Las puertas traseras pueden dar lugar a multas y prisión

Wordfence publicó recientemente un artículo sobre puertas traseras dejadas por desarrolladores que interfieren o dañan intencionalmente un sitio web por parte de editores que les deben dinero.

En una publicación titulada: Anuncio de servicio público: Dejar intencionalmente puertas traseras en su código puede generar multas y penas de cárcel, escribieron:

“Una de las principales razones por las que un desarrollador web puede verse tentado a incluir una puerta trasera codificada es para garantizar que su trabajo no se utilice sin pago.

…Lo que debería ser obvio es que dañar intencionalmente un sitio web es una violación de las leyes en muchos países y podría dar lugar a multas o incluso penas de cárcel. En los Estados Unidos, la Ley de Abuso y Fraude Informático de 1986 (CFAA) define claramente el uso ilegal de sistemas informáticos. Según 18 USC § 1030 (e)(8), el simple hecho de acceder a sistemas informáticos de una manera que utilice privilegios o niveles de acceso más altos que los permitidos es una violación de la ley. Además, dañar intencionalmente el sistema o los datos también es un delito. La pena por violar la CFAA puede incluir sentencias de 10 años o más de prisión, además de cuantiosas sanciones económicas”.

La lucha contra la piratería es una cuestión legítima. Pero es un poco más difícil en la comunidad de WordPress porque las licencias de WordPress especifican que todo lo creado con WordPress debe publicarse con una licencia de código abierto.

Imagen destacada de Shutterstock/Dikushin Dmitry

hola@juanrecio.com

Author

hola@juanrecio.com

¡Utiliza la tecnología y la inteligencia artificial en tus proyectos! ¿Quieres saber cómo?