El costo real de los complementos sin licencia

Publicado: 2021-01-19

Nota: ¿Está interesado en cómo el equipo de Jetpack investiga el malware para ayudar a proteger su sitio? Entonces lo tenemos cubierto. Las conclusiones son para todos, pero la segunda mitad del artículo requiere algunos conocimientos técnicos sobre cómo funciona WordPress.

¡Crear tu nuevo sitio web comercial o tu blog personal es realmente emocionante! Elegir un buen tema que muestre su visión y seleccionar los complementos adecuados para brindar la mejor experiencia de usuario no es una tarea fácil, y lo más probable es que aumente el costo de tener este proyecto en funcionamiento. La piratería de software puede resultar tentadora como medida fácil de ahorro.

Además de software como Windows 10, Microsoft Office o Adobe Creative Suite, también encontrarás extensiones pirateadas de WordPress. La descarga de complementos y temas de sitios que no son distribuidores autorizados solo aumentará su costo a largo plazo. Déjame explicarte por qué.

En 2018, BSA publicó la Encuesta global de software, donde establece algunos números llamativos:

  • El 37% de todo el software instalado en computadoras personales no tiene licencia
  • El costo de reparar malware o virus instalados a partir de software pirateado es de casi $360 mil millones al año.

Algunos pueden argumentar que un tema o complemento pirateado de WordPress no dañará su computadora, o que ni siquiera representa una amenaza para su información, ya que se ejecuta en la computadora de otra persona (también conocida como la nube). Esto no podría estar más equivocado.

Cuestionar el argumento de venta

Muchos ingenieros de software confían en otras empresas para distribuir y vender su trabajo. Además de las vías de distribución legítimas, existen sitios web de software pirateado. No tienen que preocuparse por el código de ingeniería porque lo roban para obtener ganancias. Dedican su tiempo a centrarse en el argumento de venta, ya que su único objetivo es conseguir que descargue e instale su software pirateado.

Ejemplo de un anuncio de tema pirateado

¿Por qué pagar a los desarrolladores y al distribuidor si puedes conseguirlo gratis?

Lo alentamos a que tenga cuidado con cualquier sitio que tenga muchos anuncios y botones de descarga que puedan confundirlo y aumentar sus resultados al aumentar los clics en el sitio. Además, esté atento a violaciones claras de distribución como el ejemplo en la imagen de arriba.

El trato con Mefistófeles – Leyendo la letra pequeña

Del folclore alemán, Fausto, con el objetivo de obtener más conocimiento y poder, hizo un trato con el Diablo. Del mismo modo, los sitios que ofrecen versiones pirateadas de las extensiones de WordPress no tienen claro qué obtendrán a cambio, por lo que corre todo el riesgo.

No se preocupe, estamos aquí para ayudarlo a comprender el trato que realmente está firmando.

Descargué este tema de Cinematix de un sitio de temas dudoso. Inmediatamente me di cuenta de que el contenido del archivo readme.txt es el mismo que el de la versión 2.3 del tema predeterminado de Twenty Seventeen.

Ejemplo de código de tema anulado
¿Es el tema Cinematix o Twenty Seventeen?

Le recomendamos que no lo haga usted mismo, pero dado que somos profesionales de la seguridad, seguí adelante y seguí las instrucciones. Cambié el nombre del directorio de nld_theme_index a cinematix . Esto se sintió completamente innecesario y de hecho lo fue.

En la sección de temas de mi wp-admin pude ver que el tema estaba instalado pero parecía apagado porque no había una imagen de vista previa. ¿Quizás si lo activo, entonces funcionará?

No hay vista previa disponible, quizás solo sea cuestión de activarla.

Después de la activación, ¡recibí un lindo mensaje que decía que tenía que comprar el software! Nunca se le pedirá que compre una licencia de tema para un tema gratuito del directorio de WordPress. Hay muchos temas premium geniales que requieren una compra, pero eso generalmente viene antes de la descarga. No pague por temas que no descargó del desarrollador o la empresa que los creó.

Pero el mensaje decía que era gratis… ¿Y qué pasa con ese error tipográfico?

En nombre de la ciencia, eliminaré este bloqueo y usaré el tema Cinematix de forma gratuita.

Como se predijo, este "tema de Cinematix" es en realidad solo el tema de código abierto gratuito Twenty Seventeen disfrazado. Vimos esto venir al mirar el readme.txt anterior.

Profundicemos en el código y veamos qué podemos encontrar, pero ¿por dónde empezamos? El tema falso ya nos dio una pista cuando intentó convencernos de pagar una licencia que no necesitábamos. El mensaje LICENCIA DE TEMA NO VÁLIDA, POR FAVOR COMPRE no es parte de Twenty Seventeen y puede ser nuestra guía para localizar otras cosas desagradables.

Encontré este mensaje en /inc/template-tags.php , que también está presente en el tema original. Sin embargo, el código no lo es y es nuestro primer indicador de compromiso para este malware. 

function licence_invalid() {
	echo '<h1 style="color:red;">THEME LICENCE INVALID, PLEASE PURCHASE.</h1>';
	die;
}
add_action('template_redirect', 'licence_invalid');
  • SHA1 – f0df1a134caf09e79b6e852dbcf853cbca4e04f6 nld-theme-index/inc/template-tags.php
  • MD5 – 7cb7118ed422d867b2fd0f607b056581 nld-theme-index/inc/template-tags.php

Todo lo que precedió a esa función fue, por supuesto, malicioso y peligroso; vamos a ver:

La primera función allí ( getUserIpAddr() ) no es mala en sí misma, pero es utilizada por activate_nulled_theme() para proporcionar información del sitio comprometido al llamar a casa.

Lo primero que hace es agregar el usuario wp_rest_api como administrador del sitio, y aquí tenemos nuestro segundo indicador de compromiso.

No solo están tratando de que compre una licencia que no necesita, sino que también están "llamando a casa" (una oportunidad para que el código malicioso comparta información sobre su sitio web con el autor del tema falso). Puede ver el código para llamar a casa en la función wp-remote_post , donde está configurado para enviar la URL, la dirección IP y las credenciales de su sitio.

Para aquellos de ustedes que no son expertos, lo que estamos viendo aquí es que el código malicioso en este tema pirateado enviará un nombre de usuario y una contraseña a los piratas informáticos para que puedan iniciar sesión en su sitio. Esto les dará acceso a contenido privado, pedidos de tiendas de comercio electrónico y les dará control total de su sitio web.

Además de todo eso, suelta una copia de este código /inc/adminindex.php en wp-includes , wp-admin y wp-content/uploads . ¿Puedes adivinar qué hace este archivo?

Es una puerta trasera de carga de archivos, que le da al atacante la dirección de su sitio, un usuario administrador y una forma de colocar cualquier malware adicional que desee agregar. Este es nuestro último indicador de compromiso, aunque en este punto es solo la guinda del pastel malicioso.

  • SHA1 – 6ab059929f89a77c698619a88de756f69a9f8c53 nld-theme-index/inc/adminindex.php
  • MD5 – 940864af2095f4fcfa646d45c1dd2366 nld-theme-index/inc/adminindex.php

Conclusión

El uso de software pirateado puede parecer una manera fácil de reducir costos, pero detrás de las cortinas, puede estar haciendo cosas terribles para su sitio y luego para usted o sus visitantes. Los kits de explotación, como compartieron nuestros amigos de MalwareBytes en esta publicación, se pueden agregar a su sitio usando esta puerta trasera de carga de archivos o el usuario wp_rest_api y se pueden usar para atacar los navegadores de cualquier visitante.

Le recomendamos enfáticamente que tenga un plan de seguridad para su sitio que incluya escaneo de archivos maliciosos y copias de seguridad. La compra de su software permite a los desarrolladores continuar con su trabajo, pero lo que es más importante, garantiza que su sitio y los visitantes estén seguros.