Il componente aggiuntivo WordPress Site Builder aggiunge presumibilmente “Backdoor” per disabilitare i siti Web
Un plug-in aggiuntivo ampiamente utilizzato per un popolare costruttore di siti WordPress ha installato uno script antipirateria che sostanzialmente annulla la pubblicazione di tutti i post. Gli sviluppatori di WordPress sono furiosi e alcuni definiscono lo script un malware, una backdoor e una violazione delle leggi. L'editore del componente aggiuntivo per la creazione del sito ha aggiunto di proposito la backdoor per disturbare i siti Web di coloro che utilizzano versioni piratate del proprio plug-in.
Aggiornato: lo sviluppatore del plugin si scusa
Lo sviluppatore del plugin accusato di aver creato di proposito una backdoor nel suo plugin ha scritto delle scuse pubbliche.
Ha scritto:
“La mia intenzione nell'implementare il codice controverso all'interno del plugin era esclusivamente quella di combattere il problema della pirateria che ho dovuto affrontare. Tuttavia, ora mi rendo conto che questo non era l’approccio giusto. Il mio tentativo di salvaguardare il mio lavoro purtroppo è fallito, causando danni e frustrazione agli utenti legittimi del plugin.”
Aggiornato: nuove informazioni sul plugin Backdoor
UN inviare nel gruppo Facebook dinamico di WordPress (e un corrispondente YouTube video) di Emil Trägårdh condivide i risultati di una revisione che ha fatto delle diverse versioni del plugin che gli sono state inviate.
Emil ha scritto quanto segue riguardo alle sue scoperte (ortografia corretta):
“Alcune persone mi hanno inviato il codice. Ho ricevuto 4 versioni diverse.
1.5.18 (contiene malware)
1.5.19 (modifica: contiene anche malware, ma la sua posizione è stata spostata)
1.5.20 (modifica: contiene anche malware, ma spostato di nuovo)Ho trovato una backdoor persistente che chiama casa ogni tre ore ed esegue qualsiasi comando che riceve direttamente nel database WP.”
Ho comunicato via e-mail con Emil Trägårdh che ha offerto maggiori dettagli sulle sue scoperte.
Ha scritto della sua scoperta:
“È progettato per eseguire qualsiasi comando SQL, ma può essere utilizzato per indirizzare wp_posts. Il comando viene impostato dalla sorgente remota. Quindi il comando può essere modificato in qualsiasi momento.
Nel video mostro DROP TABLE wp_users; Ma può anche essere utilizzato per inserire un nuovo account amministratore ed eseguire PHP.”
Emil ha anche sottolineato l'avvertenza che il codice da lui esaminato è stato fornito da altri affinché lui lo esaminasse, e che non è stato lui stesso a scaricare il codice.
Ha scritto:
“Ho ricevuto il codice sorgente che ho esaminato da terze parti che hanno affermato di aver scaricato il plug-in da fonti ufficiali degli sviluppatori.”
Componente aggiuntivo BricksUltimate per Bricks Builder
Il costruttore di siti Bricks è una piattaforma di creazione di siti per WordPress molto popolare tra gli sviluppatori web che citano l'interfaccia utente intuitiva, il CSS basato su classi e il codice HTML pulito e ad alte prestazioni che genera come funzionalità che si elevano rispetto a molti altri costruttori di siti. Ciò che distingue questo costruttore di siti è che è creato per sviluppatori con competenze avanzate, che consente loro di creare praticamente tutto ciò che desiderano senza dover combattere contro il codice integrato creato dai tipici costruttori di siti drag and drop pensati per non- sviluppatori.
Un vantaggio del costruttore di siti Bricks è che esiste una comunità di sviluppatori di plug-in di terze parti che estende la potenza di Bricks per rendere più veloce l'aggiunta di ulteriori funzionalità al sito web.
BricksUltimate Addon for Bricks Builder è un plug-in di terze parti che semplifica l'aggiunta di funzionalità come breadcrumb, menu animati, menu a fisarmonica, valutazioni a stelle e altri elementi interattivi sulla pagina.
È proprio questo plugin che ha suscitato polemiche nella comunità degli sviluppatori di WordPress aggiungendo elementi antipirateria che molti nella comunità di WordPress ritengono sia una “pessima pratica” e altri la chiamano “malware”.
BricksMisure definitive antipirateria
Ciò che causa la controversia sembra essere uno script che verifica la validità della licenza. Non è chiaro esattamente cosa sia installato, ma secondo uno sviluppatore che ha esaminato il codice del plugin sembra che sia installato uno script progettato per nascondere tutti i post nell'intero sito web se rileva una copia piratata del plugin (maggiori informazioni di seguito ).
Lo sviluppatore del plugin, Chinmoy Kumar Paul, ha minimizzato la controversia, scrivendo che le persone stanno “reagendo in modo eccessivo”.
Un continuo discussione nel gruppo Facebook dinamico di WordPress sulla misura antipirateria BricksUltimate ha oltre 60 post, con la stragrande maggioranza dei post che si oppongono alla sceneggiatura antipirateria.
Reazioni tipiche in quella discussione:
“…nascondere una backdoor che legge il database del client è di per sé una violazione della fiducia e dimostra intenti dannosi da parte dello sviluppatore.”
“Mi rifiuto semplicemente di supportare o raccomandare qualsiasi sviluppatore che pensi di avere il diritto di aggiungere segretamente un payload dannoso a un software. E poi, una volta affrontato lo difende e non vede alcun torto. Assolutamente inaccettabile e sono felice che la comunità si sia unita affermando che un simile approccio non dovrebbe essere tollerato…”
“…il fatto che il codice sia lì è terribile. Non permetterei a nessun plugin con quel tipo di backdoor su nessun sito, per non parlare di chiunque lo faccia per un sito cliente. Questo rovina completamente il plugin per me!”
“Questo tizio qui e la sua azienda potrebbero essere facilmente denunciati ed esposti all'Autorità generale di regolamentazione della protezione dei dati (GDPR) in qualsiasi paese dell'UE per aver iniettato un codice “monitor” non dichiarato che ha un accesso non autorizzato ai DB e in realtà si comporta come un malware! !!!!! è semplicemente incredibile! “
Uno degli sviluppatori della community Facebook di Dynamic WordPress ha riportato le proprie scoperte su ciò che fa lo script antipirateria.
Hanno spiegato i loro risultati:
“Io e il mio collega abbiamo indagato su questo. Certo, non siamo esperti di backend. I nostri risultati sono che il plugin ha un codice codificato che non è leggibile dall'uomo senza decodifica.
Questo codice è un ulteriore controllo della licenza remota. Se fallisce, sembra sostituire i valori nel database wp->posts, rendendo sostanzialmente illeggibili per WordPress tutti i post di tutti i tipi.
Non sembra eliminarli del tutto come inizialmente sospettato, ma appare come eliminato sul frontend per qualsiasi utente non esperto.Questo sembra essere implementato nelle versioni BU 1.5.3+ e poiché non ci sono post qui a riguardo da parte di utenti legittimi, tendo a confidare in Chinmoy che è molto improbabile che influenzi gli utenti legittimi.
Ora, la mia collega aveva effettivamente una versione pirata del plugin, ma purtroppo non ne era a conoscenza perché era stata acquistata come versione legittima da un venditore di terze parti.”
Risposta dallo sviluppatore BricksUltimate:
Lo sviluppatore del plugin, Chinmoy Kumar Paul, ha pubblicato una risposta nel gruppo Facebook di BricksUltimate.
Scrissero:
“Ri: Alcuni programmatori stanno bypassando l'API di licenza con del codice personalizzato. In quel momento il plug-in si sta attivando e funziona senza problemi. Il mio script sta semplicemente monitorando quei siti e controllando la chiave di licenza. Se non corrispondono, i dati vengono cancellati. Ma non è la soluzione migliore. Stavo solo provando.
La prossima volta lo migliorerò con altre logiche e test.
Le persone stanno semplicemente esagerando.
Sto ancora cercando la soluzione migliore e sto aggiornando i codici come da mio rapporto.
…Molti utenti indesiderati segnalano il problema tramite e-mail e sto perdendo tempo per loro. Quindi sto solo cercando di trovare l’opzione migliore per evitare questo genere di cose”.
Diversi utenti di BricksUltimate hanno difeso il tentativo dello sviluppatore del plugin di reagire contro gli utenti con copie piratate del plugin. Ma per ogni post in difesa dello sviluppatore ce n’erano altri che esprimevano forte disapprovazione.
Uno sviluppatore fa marcia indietro sulle misure antipirateria
Lo sviluppatore potrebbe aver letto la stanza e aver visto che la mossa era altamente impopolare. Hanno detto di aver invertito la rotta nell'agire.
Hanno insistito:
“…Ho affermato che cambierò l’approccio attuale con un’opzione migliore. La gente non capisce il concetto e diffonde voci qua e là”.
Le backdoor possono portare a multe e prigione
Wordfence ha recentemente pubblicato un articolo sulle backdoor lasciate dagli sviluppatori che interferiscono o danneggiano intenzionalmente un sito Web da editori che devono loro dei soldi.
Nel post intitolato: PSA: lasciare intenzionalmente backdoor nel codice può portare a multe e carcere scrissero:
“Uno dei motivi principali per cui uno sviluppatore web potrebbe essere tentato di includere una backdoor hardcoded è garantire che il proprio lavoro non venga utilizzato senza pagamento.
…Ciò che dovrebbe essere ovvio è che danneggiare intenzionalmente un sito web costituisce una violazione delle leggi in molti paesi e potrebbe portare a multe o addirittura al carcere. Negli Stati Uniti, il Computer Fraud and Abuse Act del 1986 (CFAA) definisce chiaramente l’uso illegale dei sistemi informatici. Secondo 18 USC § 1030 (e)(8), il semplice accesso ai sistemi informatici in un modo che utilizza privilegi o livelli di accesso più elevati di quelli consentiti costituisce una violazione della legge. Inoltre, anche danneggiare intenzionalmente il sistema o i dati è un crimine. La sanzione per la violazione della CFAA può includere condanne a 10 anni o più di carcere, oltre a pesanti sanzioni pecuniarie”.
La lotta alla pirateria è una questione legittima. Ma nella community di WordPress è un po' più difficile perché la licenza di WordPress specifica che tutto ciò che viene creato con WordPress deve essere rilasciato con una licenza open source.
Leggi le scuse dello sviluppatore del plugin:
Scuse aperte e rettifica immediata
Immagine in primo piano di Shutterstock/malidinc