Close Menu
    Trending
    SEO

    WordPress 網站建立器外掛程式被指控添加“後門”

    onlineadminBy 01 Min Read

    流行的 WordPress 網站建立器的一個廣泛使用的插件安裝了一個反盜版腳本,該腳本基本上取消了所有帖子的發布。 WordPress 開發人員非常憤怒,有些人稱該腳本是惡意軟體、後門,並且違反了法律。

    BricksUltimate Bricks Builder 插件

    Bricks Site Builder 是一個適用於WordPress 的網站建立平台,非常受Web 開發人員的歡迎,他們認為它生成的直覺式使用者介面、基於類別的CSS 以及乾淨、高效能的HTML 程式碼是它們優於許多其他網站構建器的功能。 該網站建立器的與眾不同之處在於,它是為具有高級技能的開發人員構建的,允許他們創建幾乎任何他們想要的東西,而不必與典型的拖放網站建立器的內建程式碼進行鬥爭。開發商。

    Bricks 網站建立器的一個優點是,有一個第三方外掛程式開發人員社區,可以擴展 Bricks 的功能,使其更快地添加更多網站功能。

    Bricks Builder 的 BricksUltimate 插件是一個第三方插件,可以輕鬆地在頁面上添加麵包屑、動畫選單、手風琴選單、星級評定和其他互動元素等功能。

    正是這個外掛程式透過添加反駭客功能在 WordPress 開發者社群中引發了爭議,WordPress 社群中的許多人認為這是“非常糟糕的做法”,其他人則將其稱為“惡意軟體”。

    Bricks打擊盜版的終極措施

    引起爭議的似乎是檢查有效許可證的腳本。 目前尚不清楚到底安裝了什麼,但根據檢查插件程式碼的開發人員的說法,似乎已經安裝了一個腳本,旨在如果檢測到該插件的盜版副本,則隱藏整個網站上的所有帖子(更多信息見下文) 。

    插件開發者 Chinmoy Kumar Paul 淡化了這一爭議,寫道人們「反應過度」。

    Dynamic WordPress Facebook 群組中正在進行有關 BricksUltimate 反盜版措施的討論,有 60 多個帖子,其中絕大多數帖子反對反盜版腳本。

    本次討論中的典型反應:

    “……隱藏讀取客戶端資料庫的後門,本身就是對信任的破壞,並且表明了開發人員的惡意意圖。”

    「我只是拒絕支持或推薦任何認為自己有權秘密向軟體添加惡意負載的開發人員。然後,當他們面對時,他們會捍衛它,並且認為沒有錯。絕對不可接受,我很高興社群也加入進來說這種做法不該被容忍…

    「……程式碼在那裡的事實很糟糕。我不會在任何地方留下帶有這種後門的插件,更不用說任何人為客戶端站點這樣做了。這對我來說完全毀了插件!”

    「此人和他的公司很容易被任何歐盟國家的通用資料保護監管局(GDPR) 舉報和暴露,因為他們注入了未聲明的’監控’代碼,未經授權訪問資料庫,而且其行為實際上像惡意軟體!!!! !!這真是太棒了!”

    Dynamic WordPress Facebook 社群的一位開發人員報告了他關於反駭客腳本功能的發現。

    他們解釋了他們的發現:

    「我和我的同事對此進行了調查。當然,我們不是後端專家。我們的發現是,該插件所編碼的程式碼在不解碼的情況下是人類無法讀取的。

    此程式碼是額外的遠端許可證檢查。 如果失敗,它似乎會覆蓋 wp->posts 資料庫中的值,從而使 WordPress 無法讀取所有帖子類型的所有帖子。
    看起來它不會像懷疑的那樣完全刪除它們,但對於任何非專家用戶來說,它確實在介面中顯示為已刪除。

    它似乎已經在 1.5.3+ BU 中實現,並且由於這裡沒有來自合法用戶的帖子,我傾向於相信 Chinmoy,它不太可能影響合法用戶。

    現在,我的同事擁有該插件的駭客版本,但不幸的是她並不知道它,因為它是從第三方供應商作為合法版本購買的。

    Bricks最終開發者回應:

    外掛程式開發者 Chinmoy Kumar Paul 在 BricksUltimate Facebook 群組中發布了回應。

    他們寫:

    「回覆:有些程式設計師使用一些自訂程式碼繞過許可證API。這次外掛程式已啟動並且運作正常。我的腳本只是追蹤這些網站並檢查許可證金鑰。如果不匹配,則資料將被刪除。但這不是最好的解決方案。我只是在測試。

    下次我會用其他邏輯和測試來改進它。

    人們只是在誇大其詞。

    我仍在尋找最佳解決方案並根據我的報告更新程式碼。

    ……許多不需要的用戶透過電子郵件發送問題,我在為他們浪費時間。 所以我只是想找到最好的選擇來避免這種事情。”

    一些 BricksUltimate 用戶為插件開發者試圖用盜版插件打擊用戶的做法進行了辯護。 但對於每一篇為開發商辯護的帖子,都有其他人表示強烈反對。

    開發商在反盜版措施上出爾反爾

    開發商可能看過房間,發現此舉很不受歡迎。 他們表示,他們已經改變方針,採取行動。

    他們堅持說:

    「……我說過我會用更好的選擇來改變目前的做法。 人們不理解這個概念,到處散佈謠言。”

    後門可能導致罰款和監禁

    Wordfence 最近發表了一篇關於開發人員留下的後門的文章,這些後門是由欠他們錢的出版商故意幹擾或損壞網站的。

    在題為“PSA:故意在代碼中留下後門可能導致罰款和監禁”的帖子中,他們寫道:

    「網路開發人員可能想要包含編碼後門的主要原因之一是確保他們的工作不會在沒有付款的情況下被使用。

    ……顯而易見的是,故意破壞網站違反了許多國家的法律,可能會導致罰款甚至監禁。 在美國,1986 年《電腦詐欺和濫用法案》(CFAA) 明確定義了電腦系統的非法使用。 根據 18 USC § 1030 (e)(8),僅以使用高於允許的權限或存取等級的方式存取電腦系統即屬違法。 此外,故意破壞系統或資料也是犯罪行為。 違反 CFAA 的處罰除了巨額經濟處罰外,還可能被判處 10 年或以上監禁。”

    打擊盜版是一個合法問題。 但在 WordPress 社群中這有點困難,因為 WordPress 授權規定使用 WordPress 建立的所有內容都必須在開源授權下發布。

    精選圖片由 Shutterstock/Dikushin Dmitry 提供

    Source link

    Share.

    Related Posts

    Add A Comment
    Leave A Reply