Ein weit verbreitetes Erweiterungsplugin für einen beliebten WordPress-Sitebuilder hat ein Anti-Piraterie-Skript installiert, das im Wesentlichen alle Artikel depubliziert. Die WordPress-Entwickler sind verärgert, einige bezeichnen das Skript als Malware, Backdoor und Gesetzesverstoß.
BricksUltimate Add-On For Bricks Builder (auf Englisch)
Bricks site builder ist eine Plattform zur Erstellung von Websites für WordPress, die bei Webentwicklern sehr beliebt ist. Diese nennen die intuitive Benutzeroberfläche, das klassenbasierte CSS und den sauberen, leistungsstarken HTML-Code, den er erzeugt, als Merkmale, die denen vieler anderer Sitebuilder überlegen sind. Was diesen Sitebuilder auszeichnet, ist, dass er für Entwickler mit fortgeschrittenen Fähigkeiten geschaffen wurde, sodass sie praktisch alles erstellen können, was sie wollen, ohne mit dem eingebetteten Code kämpfen zu müssen, der von typischen Drag-and-Drop-Sitebuildern erzeugt wird, die für Nicht-Entwickler gedacht sind.
Einer der Vorteile des Website-Builders Bricks ist, dass es eine Gemeinschaft von Drittanbieter-Plugin-Entwicklern gibt, die die Leistungsfähigkeit von Bricks erweitern, um das Hinzufügen neuer Funktionen zur Website zu beschleunigen.
BricksUltimate Addon for Bricks Builder ist ein Plugin eines Drittanbieters, das das Hinzufügen von Funktionen wie Breadcrumbs, animierten Menüs, Akkordeonmenüs, Sternebewertungen und anderen interaktiven Elementen auf der Seite vereinfacht.
Es war dieses Plugin, das in der WordPress-Entwicklergemeinschaft für Kontroversen sorgte, da es Anti-Piraterie-Elemente hinzufügte, die viele Mitglieder der WordPress-Gemeinschaft als "sehr schlechte Praxis" bezeichneten und andere als "Malware".
BricksUltimate Anti-Piracy Measures (auf Englisch)
Was die Kontroverse verursacht, scheint ein Skript zu sein, das die Gültigkeit der Lizenz überprüft. Es ist nicht genau bekannt, was installiert ist, aber laut einem Entwickler, der den Code des Plugins untersucht hat, scheint ein Skript installiert zu sein, das alle Nachrichten auf der gesamten Website ausblenden soll, wenn es eine Raubkopie des Plugins entdeckt (mehr dazu weiter unten).
Der Entwickler des Plugins, Chinmoy Kumar Paul, spielte die Kontroverse herunter und schrieb, dass die Leute "überreagieren".
Ein laufendes Projekt in der Facebook-Gruppe Dynamic WordPress über die Anti-Piraterie-Maßnahme BricksUltimate hat mehr als 60 Beiträge, von denen sich die überwiegende Mehrheit gegen das Anti-Piraterie-Skript richtet.
Typische Reaktionen in dieser Diskussion :
" ... eine Backdoor zu verstecken, die die Datenbank des Kunden ausliest, stellt an sich schon einen Vertrauensbruch dar und zeugt von einer böswilligen Absicht des Entwicklers."
"Ich weigere mich ganz einfach, einen Entwickler zu unterstützen oder zu empfehlen, der meint, er habe das Recht, heimlich bösartige Nutzlast zu einer Software hinzuzufügen. Und der ihn, wenn er damit konfrontiert wird, verteidigt und keinen Schaden sieht. Das ist absolut inakzeptabel und ich bin froh, dass sich die Gemeinschaft zusammengeschlossen hat, um zu erklären, dass ein solcher Ansatz nicht toleriert werden sollte...".
" ... Die Tatsache, dass der Code da ist, ist schrecklich. Ich würde kein Plugin mit dieser Art von Hintertür auf irgendeiner Seite lassen, geschweige denn jemanden, der das für die Seite eines Kunden macht. Das ruiniert das Plugin für mich komplett!".
"Dieser Typ und seine Firma könnten leicht angezeigt und der General Data Protection Regulatory Authority (GDPR) in jedem EU-Land ausgesetzt werden, weil sie einen nicht deklarierten "Monitor"-Code injiziert haben, der unberechtigten Zugriff auf Datenbanken hat und sich tatsächlich wie Malware verhält !!!!!!, das ist einfach unglaublich! "
Einer der Entwickler in der Facebook-Gemeinschaft von Dynamic WordPress hat seine Erkenntnisse darüber mitgeteilt, was das Anti-Piraterie-Skript bewirkt.
Sie erläuterten ihre Schlussfolgerungen:
"Mein Kollege und ich haben uns mit dieser Frage beschäftigt. Es stimmt, dass wir keine Backend-Experten sind. Unsere Schlussfolgerungen sind, dass das Plugin einen verschlüsselten Code hat, der ohne Entschlüsselung nicht menschenlesbar ist.
Dieser Code ist eine zusätzliche Überprüfung der Remote-Lizenz. Wenn er fehlschlägt, scheint er Werte in der wp->posts-Datenbank zu überschreiben, wodurch alle Artikel aller Art für WordPress unlesbar werden.
Er scheint sie nicht, wie zunächst vermutet, einfach zu löschen, sondern sie erscheinen im Frontend für jeden nicht fachkundigen Benutzer als gelöscht.Dies scheint in den Versionen 1.5.3+ BU implementiert zu sein, und da es hier keine diesbezüglichen Meldungen von legitimen Nutzern gibt, neige ich dazu, Chinmoy zu glauben, dass es sehr unwahrscheinlich ist, dass es legitime Nutzer betrifft.
Meine Kollegin hatte tatsächlich eine raubkopierte Version des Plugins, aber leider war ihr das nicht bewusst, weil sie es als legitime Version von einem Drittanbieter gekauft hatte".
Antwort des Entwicklers von BricksUltimate :
Der Entwickler des Plugins, Chinmoy Kumar Paul, hat eine Antwort geschrieben in der Facebook-Gruppe BricksUltimate.
Sie schrieben:
"Re: Einige Coder umgehen die Lizenz-API mit benutzerdefiniertem Code. Dieses Mal ist das Plugin aktiviert und funktioniert ohne Probleme. Mein Skript verfolgt nur diese Websites und überprüft den Lizenzschlüssel. Wenn er nicht übereinstimmt, löscht es die Daten. Aber das ist nicht die beste Lösung. Ich habe nur getestet.
Beim nächsten Mal werde ich es mit anderen Logiken und Tests verbessern.
Die Menschen reagieren übertrieben.
Ich suche weiterhin nach der besten Lösung und aktualisiere die Codes gemäß meinem Bericht.
...Eine große Anzahl unerwünschter Nutzer reicht das Problem per E-Mail ein und ich verschwende meine Zeit für sie. Ich versuche daher, die beste Lösung zu finden, um diese Art von Problemen zu vermeiden".
Mehrere Nutzer von BricksUltimate verteidigten den Versuch des Plugin-Entwicklers, sich gegen Nutzer von Raubkopien des Plugins zu wehren. Doch für jeden Beitrag, der den Entwickler verteidigte, drückten andere ihre starke Missbilligung aus.
Entwickler kehrt zu seiner Anti-Piraterie-Maßnahme zurück
Vielleicht hat der Entwickler den Raum gelesen und festgestellt, dass diese Maßnahme sehr unpopulär war. Er erklärte, dass er einen Rückzieher gemacht habe.
Sie betonten:
" ... Ich habe erklärt, dass ich das derzeitige Konzept durch eine bessere Option ersetzen werde. Die Leute verstehen das Konzept nicht und verbreiten hier und da Gerüchte".
Hintertüren können Geld- und Gefängnisstrafen nach sich ziehen
Wordfence hat kürzlich einen Artikel über Hintertüren veröffentlicht, die von Entwicklern hinterlassen werden, die absichtlich in eine Website eingreifen oder sie für Verleger, die ihnen Geld schulden, beschädigen.
In dem Artikel mit dem Titel : PSA: Das absichtliche Hinterlassen von Hintertüren in Ihrem Code kann zu Geld- und Gefängnisstrafen führen. schrieben sie:
"Einer der Hauptgründe, warum ein Webentwickler versucht sein könnte, eine hart codierte Backdoor einzubauen, ist sicherzustellen, dass seine Arbeit nicht ohne Bezahlung genutzt wird.
...Was klar sein sollte, ist, dass die absichtliche Beschädigung einer Website in vielen Ländern einen Gesetzesverstoß darstellt und Geld- oder sogar Gefängnisstrafen nach sich ziehen kann. In den USA definiert der Computer Fraud and Abuse Act von 1986 (CFAA) eindeutig die illegale Nutzung von Computersystemen. Nach Abschnitt 1030 (e)(8) von 18 U.S.C. stellt bereits der Zugriff auf Computersysteme mit höheren als den erlaubten Privilegien oder Zugriffsebenen einen Verstoß gegen das Gesetz dar. Darüber hinaus stellt auch die absichtliche Beschädigung des Systems oder der Daten eine Straftat dar. Verstöße gegen das CFAA-Gesetz können neben erheblichen Geldstrafen mit Freiheitsstrafen von zehn Jahren oder mehr geahndet werden.
Der Kampf gegen Piraterie ist ein legitimes Anliegen. In der WordPress-Gemeinschaft ist es jedoch etwas schwieriger, weil die WordPress-Lizenz festlegt, dass alles, was mit WordPress erstellt wird, unter einer Open-Source-Lizenz veröffentlicht werden muss.
Bild präsentiert von Shutterstock/Dikushin Dmitry