Kilka dni temu, podczas rozmowy ze znajomymi pojawił się temat płatnych motywów i wtyczek do WordPressa, które – w pewnym uproszczeniu – często „muszą” być wydawane na licencji jak WordPress, czyli GPL. Ma to takie znaczenie, że teoretycznie tak zakupiony produkt (wtyczka, motyw) może być dalej legalnie dystrybuowany. Korzystają z tego (trochę, bo często tam i tak nikt licencjami się nie przejmuje) różne serwisy, z których można pobrać bezpłatnie płatne wersje motywów i wtyczek. Ale jak to w życiu bywa – na koniec dnia każdy biznes musi (na czymś) zarabiać, również ten „piracki”.

Bezpłatne płatne wtyczki i motywy do WordPressa

Nawet nie chodziło o to, że ktoś z nas chciał z tego typu serwisów korzystać. Bardziej była to rozmowa o popularności tego typu stron, z których czasem korzystają również osoby zawodowo zajmujące się tworzeniem stron (choćby ostatnio spotkałem się z taką sytuacją). Czy to by oszczędzić (zazwyczaj) kilkadziesiąt dolarów na danym zleceniu, czy też z pewnego rodzaju „lekkomyślności” (eufemizm).

Z doświadczenia też wiem, że część osób korzystających z tego typu serwisów pobiera znajdujące się na nich oprogramowanie (skrypty) w ramach testów, by sprawdzić, jak faktycznie spisuje się dany motyw czy wtyczka. Bo nie da się ukryć, że często ktoś kupuje np. motyw na podstawie kilku odpowiednio przygotowanych stron demo, a potem… potem jest płacz.

Zresztą nie dotyczy to tylko (płatnych) dodatków do WordPressa. Choć w trakcie nasza rozmowa pojawił się m.in. motyw Divi od Elegant Themes (WordPress), to temat zaczął się od „wersji demonstracyjnej” Sendy, czyli skryptu PHP do wysyłki wiadomości e-mail (newslettery, kampanie reklamowe), który można było pobrać w wersji „nulled” na jednej ze stron, na jakie trafiliśmy, przeglądając internet w poszukiwaniu informacji o tym rozwiązaniu.

Pomyślałem sobie, że warto poruszyć ten temat, bo jak już wspomniałem – to, że ktoś udostępnia bezpłatnie płatne dodatki/oprogramowanie, nie oznacza, że robi to z dobroci serca. Zazwyczaj wręcz przeciwnie. Często wtyczki i motywy pobrane z takich serwisów zawierają dodatkowy kod, który najczęściej ma niecne zamiary nie tylko co do naszej strony (wykradanie danych, wyświetlanie reklam), ale i do osób odwiedzających stronę – od nakłaniania do instalacji szpiegującego oprogramowania, po bardziej brutalne działania, takie jak np. szyfrowanie danych na dyskach komputera.

Szykując się do napisania tego artykułu, szperając po przestworzach internetu, trafiłem na świeżutki artykuł na blogu firmy Prevailion, gdzie szczegółowo została opisana akcja/kampania, którą nazwali „PHPs Labyrinth”. W artykule mowa jest o całej sieci stron (ponad 30), które oferowały do bezpłatnego pobrania płatne wersje motywów i wtyczek do WordPressa. Wersje te oczywiście były odpowiednio doprawione, tak by przejąć kontrolę nad stroną i zaatakować również osoby odwiedzające. Nie będę streszczał czy cytował artykułu, bo moim zdaniem warto przeczytać w całości.

Mój mały (nieudany) test

W ramach testów postanowiłem pobrać kilka paczek m.in. z motywem Divi w najnowszej wersji z kilku serwisów, który pojawiły mi się w wyszukiwarce na hasło „divi 4.3.2 free download”. Niestety, szybka analiza zawartości nie wykazała nic. Dosłownie nic.

Oczywiście mogłem mieć szczęście (albo patrząc na kontekst to pecha). A może „metoda badawcza” była zbyt prosta, bo prostym skryptem porównywałem zawartość kolejnych paczek z paczką oryginalną (nazwy plików, ich liczna, rozmiar, data modyfikacji/utworzenia pliku), i teoretycznie gdyby ktoś się uparł, to mógłby podmienić oryginalny kod tak, by plik miał identyczny (!) rozmiar, oraz mógłby zmodyfikować datę utworzenia/modyfikacji pliku. Mógłby, ale…

Nie zmienia to jednak tego, że podtrzymuję to, co napisałem w pierwszej części tego artykułu. Ryzyko jest za dużo, a oszczędność zazwyczaj zbyt mała, by wdrażać na stronie płatne motywy czy wtyczki pobierane ze stron, które oferują takie pobieranie bezpłatnie.

Aktualizacje to podstawa (nie tylko) w WordPressie

Warto napisać o jeszcze jednym niebezpieczeństwie wynikających z korzystania z wtyczek czy motywów pobranych z tego typu stron. Nawet jeśli nam się poszczęści, i taki motyw, taka wtyczka będzie bez żadnych „bonusów”, to w większości przypadków jesteśmy odcięci od automatycznych aktualizacji. I może się tak zdarzyć, że wprawdzie kod wtyczki nie zawierał żadnych dodatków mających zaatakować naszą stronę, ale we wtyczce lub motywie zostanie znaleziona jakaś podatność.

Wprawdzie można śledzić „stronę z gratisami” w poszukiwaniu nowych wersji, ale ani nie jest to wygodne, ani praktyczne. Zwłaszcza że dodatkowy bonus może pojawić się w kodzie z czasem, gdy nasza czujność zostanie uśpiona kolejną aktualizacją. Zwłaszcza gdy będzie to aktualizacja jakiejś krytycznej podatności…

Jak(by) bezpłatna wersja testowa

By nie było tak, że nigdy nic mi się nie zdarzyło, to… W swojej już chyba ponad dziesięcioletniej przygodzie z WordPressem zdarzyło mi się z raz czy dwa razy pobrać i uruchomić płatną wtyczkę pobraną ze strony oferującej pobranie za darmo.

Chodziło o wtyczki dość drogie, gdzie nie było pewności czy się sprawdzą (a wręcz sporo wskazywało na to, że jednak nie, ale „były naciski”), a nawet ewentualne skorzystanie z „gwarancji zwrotu bez podania przyczyny” (nie zawsze dostępna opcja) troszkę by po kieszeni zabolało (to były czasy przed rozwiązaniami typu Revolut, więc w przypadku zwrotu byłoby podwójne przewalutowanie, co przy płatności np. 250$ oznaczałoby ok 200 zł w plecy).

Ale każdorazowo był to tylko test funkcjonalności w realnym środowisku. Środowisku realnym, ale pracującym na fikcyjnych danych, na specjalnie odizolowanym środowisku, które po teście było kasowane. I jeśli już ktoś z Was na taki test się zdecyduje, to pamiętajcie właśnie o tego typu środkach ostrożności.

(!) Zgłoś błąd na stronie