Cửa hậu WordPress bị cáo buộc là do nhà phát triển tiện ích bổ sung của trình tạo trang web cố tình thêm vào để có thể hủy xuất bản toàn bộ trang web
Một plugin bổ trợ được sử dụng rộng rãi dành cho trình tạo trang web WordPress phổ biến đã cài đặt một tập lệnh chống vi phạm bản quyền, về cơ bản sẽ hủy xuất bản tất cả các bài đăng. Các nhà phát triển WordPress rất tức giận, một số người gọi tập lệnh này là phần mềm độc hại, cửa sau và vi phạm pháp luật. Nhà xuất bản của tiện ích bổ sung xây dựng trang web đã cố tình thêm cửa sau để phá vỡ các trang web của những người sử dụng phiên bản lậu của plugin của họ.
Đã cập nhật: Nhà phát triển plugin xin lỗi
Nhà phát triển plugin bị cáo buộc cố tình tạo cửa sau trong plugin của mình đã viết lời xin lỗi công khai.
Anh đã viết:
“Ý định của tôi khi triển khai mã gây tranh cãi trong plugin chỉ là để chống lại vấn đề vi phạm bản quyền mà tôi đang phải đối mặt. Tuy nhiên, bây giờ tôi nhận ra rằng đây không phải là cách tiếp cận đúng đắn. Thật không may, nỗ lực bảo vệ công việc của tôi đã phản tác dụng, gây tổn hại và thất vọng cho những người dùng hợp pháp của plugin.”
Đã cập nhật: Thông tin mới về Plugin Backdoor
Một bài đăng trong nhóm Facebook Dynamic WordPress (và một video YouTube tương ứng ) của Emil Trägårdh chia sẻ kết quả đánh giá mà anh ấy đã thực hiện đối với các phiên bản plugin khác nhau đã được gửi cho anh ấy.
Emil đã viết như sau về những phát hiện của mình (đã sửa lỗi chính tả):
“Một số người đã gửi cho tôi mã. Tôi có 4 phiên bản khác nhau.
1.5.18 (chứa phần mềm độc hại)
1.5.19 (chỉnh sửa: cũng chứa phần mềm độc hại, nhưng vị trí của nó đã được di chuyển)
1.5.20 (chỉnh sửa: cũng chứa phần mềm độc hại, nhưng đã được di chuyển lại)
Tôi đã tìm thấy một cửa hậu liên tục gọi về nhà cứ sau ba giờ và thực thi bất kỳ lệnh nào mà nó nhận được thẳng tới cơ sở dữ liệu WP.”
Tôi đã liên lạc qua email với Emil Trägårdh, người đã cung cấp thêm chi tiết về những phát hiện của anh ấy.
Ông viết về khám phá của mình:
“Nó được thiết kế để chạy bất kỳ lệnh SQL nào, nhưng nó có thể được sử dụng để nhắm mục tiêu vào wp_posts. Lệnh được đặt bởi nguồn từ xa. Vì vậy, lệnh có thể được thay đổi bất cứ lúc nào.
Trong video tôi hiển thị DROP TABLE wp_users; Nhưng nó cũng có thể được sử dụng để chèn tài khoản quản trị viên mới và thực thi PHP.”
Emil cũng nhấn mạnh lời cảnh báo rằng mã mà anh ta kiểm tra là do người khác cung cấp để anh ta xem xét chứ không phải bản thân anh ta tải mã xuống.
Anh đã viết:
“Tôi đã nhận được mã nguồn mà tôi đã kiểm tra từ các bên thứ ba. Họ cho biết họ đã tải xuống plugin từ các nguồn chính thức của nhà phát triển.”
BricksTiện ích bổ sung tối ưu dành cho Bricks Builder
Bricks site builder là một nền tảng xây dựng trang web dành cho WordPress cực kỳ phổ biến với các nhà phát triển web, những người coi giao diện người dùng trực quan, CSS dựa trên lớp và mã HTML rõ ràng, hiệu suất cao mà nó tạo ra như các tính năng nâng cao hơn nhiều trình tạo trang web khác. Điều làm nên sự khác biệt của công cụ xây dựng trang web này là nó được tạo ra cho các nhà phát triển có kỹ năng nâng cao, cho phép họ tạo hầu như mọi thứ họ muốn mà không cần phải chống lại mã tích hợp được tạo bởi các công cụ xây dựng trang web kéo và thả điển hình dành cho những người không chuyên. nhà phát triển.
Lợi ích của trình tạo trang web Bricks là có một cộng đồng các nhà phát triển plugin bên thứ ba mở rộng sức mạnh của Bricks để giúp việc bổ sung nhiều tính năng trang web nhanh hơn.
BricksUltimate Addon dành cho Bricks Builder là plugin của bên thứ ba giúp bạn dễ dàng thêm các tính năng như đường dẫn, menu động, menu accordion, xếp hạng sao và các thành phần tương tác khác trên trang.
Chính plugin này đã gây tranh cãi trong cộng đồng nhà phát triển WordPress bằng cách thêm các yếu tố chống vi phạm bản quyền mà nhiều người trong cộng đồng WordPress cảm thấy là một “cách làm rất tệ” và những người khác gọi nó là “phần mềm độc hại”.
BricksUltimate chống vi phạm bản quyền tối ưu
Điều gây tranh cãi dường như là một tập lệnh kiểm tra giấy phép hợp lệ. Không rõ chính xác những gì được cài đặt, nhưng theo một nhà phát triển đã kiểm tra mã plugin, dường như có một tập lệnh được cài đặt được thiết kế để ẩn tất cả các bài đăng trên toàn bộ trang web nếu nó phát hiện bản sao lậu của plugin (thông tin thêm về điều này bên dưới ).
Nhà phát triển plugin, Chinmoy Kumar Paul, đã hạ thấp cuộc tranh cãi và viết rằng mọi người đang “phản ứng thái quá”.
Một cuộc thảo luận đang diễn ra trong nhóm Facebook Dynamic WordPress về biện pháp chống vi phạm bản quyền BricksUltimate có hơn 60 bài đăng, với phần lớn các bài đăng phản đối kịch bản chống vi phạm bản quyền.
Phản ứng điển hình trong cuộc thảo luận đó:
“…ẩn một cửa sau đọc cơ sở dữ liệu khách hàng, bản thân nó đã vi phạm lòng tin và thể hiện mục đích xấu từ phía nhà phát triển.”
“Tôi chỉ đơn giản từ chối hỗ trợ hoặc đề xuất bất kỳ nhà phát triển nào cho rằng họ có quyền bí mật thêm tải trọng độc hại vào một phần mềm. Và sau đó, một khi đối đầu đã bảo vệ nó và thấy không có gì sai trái. Hoàn toàn không thể chấp nhận được và tôi rất vui vì cộng đồng đã cùng nhau tuyên bố rằng cách tiếp cận như vậy không nên được dung thứ…”
“…thực tế là mã ở đó thật tệ. Tôi sẽ không cho phép bất kỳ plugin nào có loại cửa sau đó xuất hiện trên bất kỳ trang web nào, chứ đừng nói đến bất kỳ ai làm điều đó cho trang web của khách hàng. Điều đó làm hỏng hoàn toàn plugin đối với tôi!”
“Anh chàng này ở đây và công ty của anh ta có thể dễ dàng bị báo cáo và tiếp xúc với Cơ quan quản lý bảo vệ dữ liệu chung (GDPR) ở bất kỳ quốc gia EU nào vì đã tiêm một mã “giám sát” không được khai báo, có quyền truy cập không được phép vào DB và thực sự hoạt động giống như phần mềm độc hại! !!!!! thật không thể tin được! “
Một trong những nhà phát triển trong cộng đồng Facebook Dynamic WordPress đã báo cáo những phát hiện của họ về chức năng của tập lệnh chống vi phạm bản quyền.
Họ giải thích những phát hiện của họ:
“Tôi và đồng nghiệp của tôi đã điều tra việc này. Cấp, chúng tôi không phải là chuyên gia phụ trợ. Phát hiện của chúng tôi là plugin này có mã được mã hóa mà con người không thể đọc được nếu không giải mã.
Mã đó là một kiểm tra giấy phép từ xa bổ sung. Nếu thất bại, nó dường như sẽ thay thế các giá trị trong cơ sở dữ liệu wp->posts, về cơ bản làm cho tất cả các bài đăng từ tất cả các loại bài đăng không thể đọc được đối với WordPress.
Nó dường như không xóa chúng hoàn toàn như nghi ngờ ban đầu, nhưng nó có vẻ như đã bị xóa trên giao diện người dùng đối với bất kỳ người dùng không phải là chuyên gia nào.
Điều này dường như được triển khai trong các phiên bản BU 1.5.3+ và vì không có bất kỳ bài đăng nào ở đây về nó từ người dùng hợp pháp, tôi có xu hướng tin tưởng Chinmoy rằng nó rất khó ảnh hưởng đến người dùng hợp pháp.
Bây giờ, đồng nghiệp của tôi thực sự đã có một phiên bản plugin lậu, nhưng thật đáng buồn là cô ấy không biết về nó vì nó được mua dưới dạng phiên bản hợp pháp từ người bán bên thứ ba.”
Phản hồi từ Nhà phát triển BricksUltimate:
Nhà phát triển plugin, Chinmoy Kumar Paul, đã đăng phản hồi trong nhóm Facebook BricksUltimate.
Họ viết:
“Re: Một số lập trình viên đang bỏ qua API giấy phép bằng một số mã tùy chỉnh. Plugin thời gian đó đang kích hoạt và nó hoạt động trơn tru. Kịch bản của tôi chỉ theo dõi các trang web đó và kiểm tra mã cấp phép. Nếu không khớp, dữ liệu sẽ bị xóa. Nhưng nó không phải là giải pháp tốt nhất. Tôi chỉ đang thử nghiệm.
Lần tới tôi sẽ cải thiện nó bằng các bài kiểm tra và logic khác.
Mọi người chỉ đang phản ứng thái quá.
Tôi vẫn đang tìm kiếm giải pháp tốt nhất và cập nhật mã theo báo cáo của mình.
…Rất nhiều người dùng không mong muốn đang gửi vấn đề qua email và tôi đang mất thời gian cho họ. Vì vậy, tôi chỉ đang cố gắng tìm ra phương án tốt nhất để tránh điều này.”
Một số người dùng BricksUltimate đã bảo vệ nỗ lực của nhà phát triển plugin trong việc chống lại người dùng bằng các bản sao plugin lậu. Nhưng đối với mỗi bài đăng bảo vệ nhà phát triển, lại có những người khác bày tỏ sự phản đối mạnh mẽ.
Nhà phát triển quay lại biện pháp chống vi phạm bản quyền
Chủ đầu tư có thể đã đọc phòng và thấy rằng động thái này rất không được ưa chuộng. Họ nói rằng họ đã đảo ngược hướng hành động.
Họ nhấn mạnh:
“…Tôi đã tuyên bố rằng tôi sẽ thay đổi cách tiếp cận hiện tại bằng một lựa chọn tốt hơn. Mọi người không hiểu khái niệm này và lan truyền tin đồn chỗ này chỗ kia.”
Cửa hậu có thể dẫn đến phạt tiền và ngồi tù
Wordfence gần đây đã xuất bản một bài báo về các cửa hậu do các nhà phát triển để lại cố tình can thiệp hoặc làm hỏng trang web của các nhà xuất bản nợ họ tiền.
Trong bài đăng có tiêu đề: PSA: Cố tình để lại các cửa sau trong mã của bạn có thể dẫn đến bị phạt tiền và ngồi tù, họ đã viết:
“Một trong những lý do lớn nhất mà một nhà phát triển web có thể muốn đưa vào một cửa sau được mã hóa cứng là để đảm bảo công việc của họ không bị sử dụng nếu không trả tiền.
…Điều hiển nhiên là việc cố ý làm hỏng một trang web là vi phạm luật pháp ở nhiều quốc gia và có thể dẫn đến bị phạt tiền hoặc thậm chí phải ngồi tù. Tại Hoa Kỳ, Đạo luật Lừa đảo và Lạm dụng Máy tính năm 1986 (CFAA) xác định rõ ràng việc sử dụng trái phép hệ thống máy tính. Theo 18 USC § 1030 (e)(8), chỉ cần truy cập vào hệ thống máy tính theo cách sử dụng các đặc quyền hoặc cấp độ truy cập cao hơn mức cho phép là vi phạm pháp luật. Hơn nữa, cố ý làm hỏng hệ thống hoặc dữ liệu cũng là một tội ác. Hình phạt vì vi phạm CFAA có thể bao gồm các bản án từ 10 năm tù trở lên, bên cạnh các hình phạt tài chính lớn.”
Chống vi phạm bản quyền là một vấn đề chính đáng. Nhưng điều đó khó khăn hơn một chút trong cộng đồng WordPress vì giấy phép WordPress quy định rằng mọi thứ được tạo bằng WordPress phải được phát hành bằng giấy phép nguồn mở.