Kilka dni temu, podczas rozmowy ze znajomymi pojawił się temat płatnych motywów i wtyczek do WordPressa, które – w pewnym uproszczeniu – często „muszą” być wydawane na licencji jak WordPress, czyli GPL. Ma to takie znaczenie, że teoretycznie tak zakupiony produkt (wtyczka, motyw) może być dalej legalnie dystrybuowany. Korzystają z tego (trochę, bo często tam i tak nikt licencjami się nie przejmuje) różne serwisy, z których można pobrać bezpłatnie płatne wersje motywów i wtyczek. Ale jak to w życiu bywa – na koniec dnia każdy biznes musi (na czymś) zarabiać, również ten „piracki”.
Spis treści w artykule
Bezpłatne płatne wtyczki i motywy do WordPressa
Nawet nie chodziło o to, że ktoś z nas chciał z tego typu serwisów korzystać. Bardziej była to rozmowa o popularności tego typu stron, z których czasem korzystają również osoby zawodowo zajmujące się tworzeniem stron (choćby ostatnio spotkałem się z taką sytuacją). Czy to by oszczędzić (zazwyczaj) kilkadziesiąt dolarów na danym zleceniu, czy też z pewnego rodzaju „lekkomyślności” (eufemizm).
Z doświadczenia też wiem, że część osób korzystających z tego typu serwisów pobiera znajdujące się na nich oprogramowanie (skrypty) w ramach testów, by sprawdzić, jak faktycznie spisuje się dany motyw czy wtyczka. Bo nie da się ukryć, że często ktoś kupuje np. motyw na podstawie kilku odpowiednio przygotowanych stron demo, a potem… potem jest płacz.
Zresztą nie dotyczy to tylko (płatnych) dodatków do WordPressa. Choć w trakcie nasza rozmowa pojawił się m.in. motyw Divi od Elegant Themes (WordPress), to temat zaczął się od „wersji demonstracyjnej” Sendy, czyli skryptu PHP do wysyłki wiadomości e-mail (newslettery, kampanie reklamowe), który można było pobrać w wersji „nulled” na jednej ze stron, na jakie trafiliśmy, przeglądając internet w poszukiwaniu informacji o tym rozwiązaniu.
Pomyślałem sobie, że warto poruszyć ten temat, bo jak już wspomniałem – to, że ktoś udostępnia bezpłatnie płatne dodatki/oprogramowanie, nie oznacza, że robi to z dobroci serca. Zazwyczaj wręcz przeciwnie. Często wtyczki i motywy pobrane z takich serwisów zawierają dodatkowy kod, który najczęściej ma niecne zamiary nie tylko co do naszej strony (wykradanie danych, wyświetlanie reklam), ale i do osób odwiedzających stronę – od nakłaniania do instalacji szpiegującego oprogramowania, po bardziej brutalne działania, takie jak np. szyfrowanie danych na dyskach komputera.
Szykując się do napisania tego artykułu, szperając po przestworzach internetu, trafiłem na świeżutki artykuł na blogu firmy Prevailion, gdzie szczegółowo została opisana akcja/kampania, którą nazwali „PHPs Labyrinth”. W artykule mowa jest o całej sieci stron (ponad 30), które oferowały do bezpłatnego pobrania płatne wersje motywów i wtyczek do WordPressa. Wersje te oczywiście były odpowiednio doprawione, tak by przejąć kontrolę nad stroną i zaatakować również osoby odwiedzające. Nie będę streszczał czy cytował artykułu, bo moim zdaniem warto przeczytać w całości.
Mój mały (nieudany) test
W ramach testów postanowiłem pobrać kilka paczek m.in. z motywem Divi w najnowszej wersji z kilku serwisów, który pojawiły mi się w wyszukiwarce na hasło „divi 4.3.2 free download”. Niestety, szybka analiza zawartości nie wykazała nic. Dosłownie nic.
Oczywiście mogłem mieć szczęście (albo patrząc na kontekst to pecha). A może „metoda badawcza” była zbyt prosta, bo prostym skryptem porównywałem zawartość kolejnych paczek z paczką oryginalną (nazwy plików, ich liczna, rozmiar, data modyfikacji/utworzenia pliku), i teoretycznie gdyby ktoś się uparł, to mógłby podmienić oryginalny kod tak, by plik miał identyczny (!) rozmiar, oraz mógłby zmodyfikować datę utworzenia/modyfikacji pliku. Mógłby, ale…
Nie zmienia to jednak tego, że podtrzymuję to, co napisałem w pierwszej części tego artykułu. Ryzyko jest za dużo, a oszczędność zazwyczaj zbyt mała, by wdrażać na stronie płatne motywy czy wtyczki pobierane ze stron, które oferują takie pobieranie bezpłatnie.
Aktualizacje to podstawa (nie tylko) w WordPressie
Warto napisać o jeszcze jednym niebezpieczeństwie wynikających z korzystania z wtyczek czy motywów pobranych z tego typu stron. Nawet jeśli nam się poszczęści, i taki motyw, taka wtyczka będzie bez żadnych „bonusów”, to w większości przypadków jesteśmy odcięci od automatycznych aktualizacji. I może się tak zdarzyć, że wprawdzie kod wtyczki nie zawierał żadnych dodatków mających zaatakować naszą stronę, ale we wtyczce lub motywie zostanie znaleziona jakaś podatność.
Wprawdzie można śledzić „stronę z gratisami” w poszukiwaniu nowych wersji, ale ani nie jest to wygodne, ani praktyczne. Zwłaszcza że dodatkowy bonus może pojawić się w kodzie z czasem, gdy nasza czujność zostanie uśpiona kolejną aktualizacją. Zwłaszcza gdy będzie to aktualizacja jakiejś krytycznej podatności…
Jak(by) bezpłatna wersja testowa
By nie było tak, że nigdy nic mi się nie zdarzyło, to… W swojej już chyba ponad dziesięcioletniej przygodzie z WordPressem zdarzyło mi się z raz czy dwa razy pobrać i uruchomić płatną wtyczkę pobraną ze strony oferującej pobranie za darmo.
Chodziło o wtyczki dość drogie, gdzie nie było pewności czy się sprawdzą (a wręcz sporo wskazywało na to, że jednak nie, ale „były naciski”), a nawet ewentualne skorzystanie z „gwarancji zwrotu bez podania przyczyny” (nie zawsze dostępna opcja) troszkę by po kieszeni zabolało (to były czasy przed rozwiązaniami typu Revolut, więc w przypadku zwrotu byłoby podwójne przewalutowanie, co przy płatności np. 250$ oznaczałoby ok 200 zł w plecy).
Ale każdorazowo był to tylko test funkcjonalności w realnym środowisku. Środowisku realnym, ale pracującym na fikcyjnych danych, na specjalnie odizolowanym środowisku, które po teście było kasowane. I jeśli już ktoś z Was na taki test się zdecyduje, to pamiętajcie właśnie o tego typu środkach ostrożności.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wakacje składkowe ZUS a zawieszenie działalności gospodarczej, czyli uważaj, bo być może nie będziesz mógł skorzystać (w 2024) - 1970-01-01
- Przykładowy kalkulator wyceny usługi druku 3D, czyli nie tylko materiał się liczy - 1970-01-01
- Home Assistant 2024.10, czyli nowa karta „nagłówek” i niedziałający TTS w ramach usługi Google Cloud - 1970-01-01
Podstawowy problem, to właśnie to iż te wszystkie płatne rozwiązania poza oficjalnego repozytornium nie mają:
– mechanizmu autoupdate (tylko manualny via upload zip files)
– subskrypcji (autoryzacji praw) do rozwiązania, tak by można było dostać próbne demo na np. 7 dni.
Pisząc „oficjalnego repozytorium” masz na myśli WordPress.org, czy również systemy aktualizacji autorów wtyczek/motywów?
Bo kiedyś faktycznie było tak, że aktualizacja zakupionej wtyczki czy motywu oznaczało ręczne pobranie nowej wersji i wrzucenie jej na serwer. Czasem nawet powiadomienie na e-mail o nowej wersji to był luksus, i często trzeba było samemu pilnować, czy nie pojawiła się nowa wersja. Na szczęście – przynajmniej w przypadku tych bardziej odpowiedzialnych autorów – to już za nami, i od dość dawna płatne wtyczki i motywy do WordPressa posiadają mechanizmy wspomagające aktualizację – czy to w ramach standardowych mechanizmów WordPressa, czy też w ramach różnych autorskich mechanizmów…
Oczywiście sytuacja wygląda inaczej, jeśli jako „płatne rozwiązania poza oficjalnego repozytorium” uznamy, że chodzi o strony, o których pisałem w artykule, czyli oferujące do pobrania płatne wtyczki i motywy w „alternatywnym obiegu” (taki mały eufemizm ;-)). Wtedy faktycznie zazwyczaj nie mamy automatycznych aktualizacji, ale jest to chyba jak najbardziej logiczne. W końcu większość mechanizmów aktualizacji płatnych wtyczek i motywów opiera się o klucze API/zamówienia, a czasem również o weryfikację domeny/adresu strony (osobiście jestem zwolennikiem takiego rozwiązania, bo czasem się zdarza, że jakiś klient podzieli się znalezionym w WordPressie kluczem z kolegą, a ten z innym kolegą i…).
Co do Twojego ostatniego punktu, to… Z jednej strony zgoda – takie klucze „krótkiego dostępu” mogłyby pomoc w testach, ale obawiam się, że byłyby często wykorzystywane do pobrania wtyczki/motywu i używania go bez uiszczenia stosownej opłaty. Zwróć uwagę, że w większości przypadków tak naprawdę nie tyle kupujesz motyw czy wtyczkę, ale dostęp do aktualizacji, wsparcia, czy dodatkowych opcji. A z samego motywu czy wtyczki możesz korzystać nawet po zakończeniu wykupionej subskrypcji (zazwyczaj rok). Z tym że już bez aktualizacji. Chyba gdzieś na forum Elegant Themes mignęło mi niedawno pytanie, czy zamierzają wprowadzić subskrypcję w cyklach miesięcznych. Odpowiedź była, że nie. I się im nie dziwię.
Pewnym rozwiązaniem – choć rzadziej spotykanym w przypadku motywów, częściej wtyczek, i to zazwyczaj tych bardziej rozbudowanych – są specjalnie przygotowane strony demo. Ale nie działające (tylko) na zasadzie, że widzisz efekt działania wtyczki, ale masz też dostęp do panelu zarządzania (WP-Admin), gdzie możesz zapoznać się bardziej szczegółowo z danym rozwiązaniem przed zakupem. Oczywiście są tam zazwyczaj pewne ograniczenia, ale jest to zdecydowanie warta pochwalenia opcja.
Ostatecznie, wiesz… Tak jak napisałem pod koniec artykułu – odpowiednio odizolowane środowisko testowe, i można – do testów – skorzystać z wersji „nulled”. Choć już „na produkcji” raczej bym się na taki krok nie zdecydował.
Mi chodziło o nie koniecznie o oparcie tego o WP.org, ale jakiś mechanizm, tak jak w linux możesz dodać dodatkowe repozytoria. Przy czym bardziej mi chodziło o rozwiązanie z poziomu sklepu, niż autora szablonu. Bo co z tego jak jaki bajer mają wielcy w danym sklepie, tak tam sprzedają jeszcze mali.
No ale przecież właśnie takie mechanizmy – pozwalające „zintegrować” aktualizacje płatnego motywu lub wtyczki z systemem aktualizacji WordPressa – masz dostępne. Inna kwestia, czy dany autor z tego rozwiązania skorzysta. Ale to już wiesz – głosujesz swoim portfelem. I jak np. nie kupuje wtyczek, które nie mają takiej opcji.
Chyba że oczekujesz, że Automattic zapewni w repozytorium WordPress.org hosting dla płatnych wtyczek i motywów, i to jeszcze z systemem autoryzacji dostępu/weryfikacji licencji? ;-)
Choć może taki „marketplace” na wzór np. ThemeForest, tylko właśnie zintegrowany z WordPressem nie byłby głupim pomysłem, bo nie tylko pozwoliłby dodatkowo zarobić na bezpłatnym WordPressie (prowizje), to jeszcze by usprawnił proces m.in. aktualizacji. Zresztą jakby coś takiego powoli dzieje się w ramach WordPress.com, więc kto wie, może z czasem…