Una extensión de plugin muy utilizada para un popular creador de sitios de WordPress ha instalado un script antipiratería que básicamente anula la publicación de todas las entradas. Los desarrolladores de WordPress están furiosos y algunos califican el script de malware, puerta trasera y violación de la ley.
BricksUltimate Complemento para Bricks Builder
El constructor de sitios Bricks es una plataforma de creación de sitios para WordPress muy popular entre los desarrolladores web, que citan la interfaz de usuario intuitiva, el CSS basado en clases y el código HTML limpio y de alto rendimiento que genera como características superiores a las de muchos otros constructores de sitios. Lo que diferencia a este constructor de sitios es que fue creado para desarrolladores con conocimientos avanzados, permitiéndoles crear prácticamente cualquier cosa que deseen sin tener que luchar con el código incrustado que crean los típicos constructores de sitios de arrastrar y soltar dirigidos a no desarrolladores.
Una de las ventajas del constructor de sitios Bricks es que existe una comunidad de desarrolladores de plugins de terceros que amplían la potencia de Bricks para acelerar la incorporación de nuevas funciones al sitio web.
BricksUltimate Addon para Bricks Builder es un plugin de terceros que facilita la adición a la página de funciones como migas de pan, menús animados, menús en acordeón, valoraciones con estrellas y otros elementos interactivos.
Fue este plugin el que causó polémica en la comunidad de desarrolladores de WordPress al añadir elementos antipiratería que muchos miembros de la comunidad de WordPress consideraron "muy malas prácticas" y otros calificaron de "malware".
LadrillosÚltimas medidas contra la piratería
Lo que está causando la polémica parece ser un script que comprueba la validez de la licencia. No está claro qué se instala exactamente, pero según un desarrollador que ha examinado el código del plugin, parece haber un script instalado que está diseñado para ocultar todos los mensajes en todo el sitio web si detecta una copia pirata del plugin (más sobre esto más adelante).
El desarrollador del plugin, Chinmoy Kumar Paul, restó importancia a la polémica y escribió que la gente estaba "exagerando".
Un proyecto en curso en el grupo Dynamic WordPress de Facebook sobre la medida antipiratería BricksUltimate tiene más de 60 mensajes, la gran mayoría de los cuales se oponen al guión antipiratería.
Reacciones típicas en esta discusión:
"...ocultar una puerta trasera que lee la base de datos del cliente es en sí mismo un abuso de confianza y demuestra una intención maliciosa por parte del desarrollador".
"Simplemente me niego a apoyar o recomendar a un desarrollador que se cree con derecho a añadir secretamente una carga maliciosa al software. Y que, cuando se le confronta, lo defiende y no ve ningún daño. Esto es absolutamente inaceptable y me complace que la comunidad se haya unido para declarar que tal enfoque no debe ser tolerado..."
"...el hecho de que el código esté ahí es terrible. No dejaría ningún plugin con ese tipo de puerta trasera en ningún sitio, y mucho menos a alguien que lo hace para el sitio de un cliente. Me arruina completamente el plugin".
"Este tipo y su empresa podrían ser fácilmente denunciados y expuestos a la Autoridad de Regulación General de Protección de Datos (GDPR) en cualquier país de la UE por inyectar código "monitor" no declarado que tiene acceso no autorizado a bases de datos y realmente se comporta como malware !!!!!!, ¡es increíble! "
Uno de los desarrolladores de la comunidad Dynamic WordPress de Facebook ha compartido sus conclusiones sobre lo que hace el script antipiratería.
Explicaron sus conclusiones:
"Mi colega y yo investigamos el asunto. Es cierto que no somos expertos en backend. Nuestras conclusiones son que el plugin tiene un código codificado que no es legible sin descodificarlo.
Este código es una comprobación de licencia remota adicional. Si falla, parece sobrescribir los valores en la base de datos wp->posts, haciendo que todas las entradas de todos los tipos sean ilegibles para WordPress.
No parece que los borre directamente, como sospechábamos al principio, pero sí que aparecen como borrados en el frontend para cualquier usuario no experto.Esto parece estar implementado en las versiones 1.5.3+ BU y como no hay mensajes aquí sobre ello de usuarios legítimos, tiendo a creer a Chinmoy que es muy poco probable que afecte a usuarios legítimos.
En realidad, mi colega tenía una versión pirateada del plugin, pero por desgracia no era consciente de ello porque lo había comprado como versión legítima a un proveedor externo".
Respuesta del desarrollador de BricksUltimate:
El desarrollador del plugin, Chinmoy Kumar Paul, envió una respuesta en el grupo de Facebook BricksUltimate.
Ellos escribieron:
"Re: Algunos programadores eluden la API de licencias con código personalizado. Esta vez el plugin está activado y funciona sin problemas. Mi script sólo sigue estos sitios y comprueba la clave de licencia. Si no coincide, borra los datos. Pero esa no es la mejor solución. Solo estaba probando.
La próxima vez, lo mejoraré con otra lógica y pruebas.
La gente exagera.
Sigo buscando la mejor solución y actualizando los códigos de acuerdo con mi informe.
...Muchos usuarios no deseados me envían el problema por correo electrónico y pierdo mi tiempo con ellos. Así que estoy intentando encontrar la mejor solución para evitar este tipo de problemas."
Varios usuarios de BricksUltimate defendieron el intento del desarrollador del plugin de defenderse de los usuarios de copias piratas del mismo. Pero por cada mensaje que defendía al desarrollador, otros expresaban una fuerte desaprobación.
El desarrollador da marcha atrás en su medida antipiratería
Quizá el promotor leyó la sala y vio que era una medida muy impopular. Dijo que se había echado atrás.
Insistieron:
"...Dije que iba a sustituir el enfoque actual por una opción mejor. La gente no entiende el concepto y difunde rumores aquí y allá".
Las puertas traseras pueden acarrear multas y penas de cárcel
Wordfence publicó recientemente un artículo sobre las puertas traseras que dejan los desarrolladores que interfieren o dañan intencionadamente un sitio web para los editores que les deben dinero.
En el artículo titulado : PSA: Dejar intencionadamente puertas traseras en su código puede acarrear multas y penas de cárcel escribieron:
"Una de las principales razones por las que un desarrollador web puede verse tentado a incluir una puerta trasera de código duro es asegurarse de que su trabajo no se utiliza sin pagar.
...Lo que debería ser obvio es que dañar intencionadamente un sitio web es una violación de la ley en muchos países y puede acarrear multas o incluso penas de cárcel. En Estados Unidos, la Ley de Fraude y Abuso Informático de 1986 (CFAA) define claramente el uso ilegal de sistemas informáticos. Según 18 U.S.C. § 1030 (e)(8), es una violación de la ley acceder a sistemas informáticos utilizando privilegios o niveles de acceso superiores a los autorizados. También es delito dañar intencionadamente el sistema o los datos. La violación de la CFAA puede dar lugar a penas de prisión de 10 años o más, además de importantes sanciones económicas.
La lucha contra la piratería es una cuestión legítima. Pero es un poco más difícil en la comunidad de WordPress porque la licencia de WordPress especifica que todo lo creado con WordPress debe publicarse bajo una licencia de código abierto.
Imagen cortesía de Shutterstock/Dikushin Dmitry