Plugins y temas anulados de WordPress: peligros y desventajas

Equipo de inteligencia de amenazas de Wordfence identificó el malware distribuido a través de Plugins y temas anulados de WordPress, pirateados o falsificados como una de las mayores amenazas que enfrenta el ecosistema de WordPress.

Muchos propietarios de sitios desconocen los riesgos asociados con el uso de Plugins anulados y, en muchos casos, es posible que ni siquiera sepan que hay un Plugin anulado instalado en su sitio.

Durante nuestra investigación reciente sobre la prevalencia de Plugins anulados, descubrimos que más de 23.000 sitios ejecutan versiones anuladas del Plugins Wordfence.

Es posible que los propietarios de sitios con estas instalaciones no sepan que su instalación de Wordfence es un Plugins anulado, por lo que alertaremos a estos propietarios de sitios de los riesgos y como tomar medidas para proteger sus sitios.

Nuestra investigación muestra que numerosos Plugins populares, tanto de pago como gratuitos, a menudo se anulan y se redistribuyen, con malware incluido. Para dar a conocer esta preocupante tendencia, hemos compilado una lista de preguntas frecuentes sobre Plugins y temas anulados:

¿Qué es un Plugin anulado (Null)?

Un Plugin anulado es una copia de un Plugin premium pagado que se ha modificado para proporcionar cierto grado de funcionalidad premium sin pagar una licencia. En la mayoría de los casos, los Plugins y temas anulados no brindan una funcionalidad premium completa y, a menudo, contienen Backdoors y otro malware.

Los Plugins anulados generalmente conservan el mismo nombre de marca y logotipo que el original, creando la impresión de que el cliente está recibiendo una versión paga del Plugin original. Sin embargo, cuando el cliente abre una solicitud de soporte con el proveedor original, descubre que el proveedor no tiene idea de quiénes son.

¿Cómo sé si estoy usando una versión anulada?

Por ejemplo: Si ha comprado una “licencia de por vida” o una copia de Wordfence Premium a un precio con descuento o gratis de un tercero y no directamente a través del sitio web de Wordfence, está utilizando una versión anulada.

Aunque el panel del Plugin puede indicar que tiene Wordfence Premium activado, estas instalaciones no incluyen una clave de licencia válida necesaria para activar las funciones premium y no son completamente funcionales.

Los sitios que ejecutan una copia anulada de Wordfence solo reciben firmas y reglas de firewall disponibles gratuitamente, que se retrasan 30 días, y estos sitios no reciben los datos en tiempo real que recibe Wordfence Premium.

Además, los sitios que utilizan Plugins de Wordfence anulados no tienen acceso a la lista de bloqueo de IP en tiempo real.

¿Cuáles son algunos de los riesgos de utilizar Plugins y temas anulados?

Los Plugins y temas anulados con frecuencia contienen Backdoors y otro malware que se utiliza para distribuir spam de SEO, realizar ataques en otros sitios web, robar información confidencial y redirigir a los visitantes del sitio a sitios web de publicidad maliciosa, todo lo cual puede poner en riesgo a los visitantes de su sitio y arruinar la reputación de tu sitio web.

Muchos Plugins y temas anulados también inyectan usuarios administradores ocultos en la base de datos de tu sitio, lo que permite que los actores malintencionados tomen el control de tu sitio de WordPress.

Al revisar los términos de servicio para los sitios de distribución de Plugins anulados, varios incluyen disposiciones que establecen que, al descargar e instalar uno de sus Plugins anulados, aceptas permitirles modificar tu sitio cuando lo deseen.

Aunque las versiones anuladas del Plugin de Wordfence pueden no incluir malware, hemos descubierto que los sitios que ejecutan una versión anulada de Wordfence tienen más del doble de probabilidades de tener infecciones no relacionadas en comparación con el sitio promedio que ejecuta la versión gratuita de Wordfence.

¿Todos los Plugins anulados contienen malware?

No. De hecho, hemos visto un cambio reciente desde la distribución de malware hacia las suscripciones y descargas pagas como modelo comercial principal en sitios web que ofrecen Plugins y temas de WordPress anulados.

A pesar de este hecho, el malware sigue siendo extremadamente frecuente en Plugins y temas anulados distribuidos de forma gratuita a través de foros y grupos de redes sociales, y las infecciones de Plugins y temas anulados siguen siendo increíblemente comunes.

Tena en cuenta que, al instalar un Plugin anulado, le estás otorgando a ese Plugin un control total sobre tu sitio web. Si bien esto es cierto para cualquier software, los Plugins y temas distribuidos a través del directorio de WordPress son examinados para detectar códigos maliciosos, mientras que los distribuidos por sitios anulados, foros y grupos de redes sociales no lo son.

Independientemente de si contienen malware, la gran mayoría de los Plugins y temas anulados no brindan las funciones premium que parecen proporcionar y, de hecho, pueden ofrecer una funcionalidad reducida en comparación con las versiones legítimas disponibles gratuitamente en el directorio de Plugins de WordPress.

¿Qué pasa con los Plugins con descuento?

Estamos viendo un número cada vez mayor de Plugins anulados que se distribuyen a través de sitios de «descuento» que cobran una tarifa de suscripción mensual o que ofrecen versiones «premium» de Plugins a un precio reducido de Plugins y temas anulados de WordPress.

Si bien es menos probable que estos Plugins y temas contengan malware que el software anulado que se ofrece de forma «gratuita», todavía no ofrecen funciones premium completas y, en muchos casos, son simplemente versiones reempaquetadas o ligeramente modificadas del código que está disponible gratuitamente en el directorio de WordPress. .

Muchos Plugins premium, incluido Wordfence Premium, incluyen la funcionalidad SaaS (software como servicio). Esto significa que las funciones más críticas de Wordfence Premium , incluida la lista de bloqueo de IP en tiempo real, las actualizaciones inmediatas de las reglas del firewall y las firmas de malware actualizadas, no pueden estar disponibles para un Plugin anulado, ya que dependen de tener una licencia válida de Wordfence que autoriza a Wordfence a enviar los datos más recientes a tu sitio.

Plugins y temas anulados de WordPress

Es trivial modificar el código de la mayoría de los Plugins para que parezcan tener una licencia completa, pero estas modificaciones rara vez desbloquean la funcionalidad completa de un Plugin y pueden tener impactos negativos reales al tiempo que brindan una falsa sensación de seguridad.

¿Qué pasa con las versiones gratuitas de los Plugins premium con licencia GPL?

La licencia GPL ( Licencia Pública General ) permite a otros desarrolladores bifurcar un Plugin, modificar el código y redistribuirlo a otros bajo los mismos términos. El problema surge cuando se bifurca un Plugin y el nuevo desarrollador no cambia el nombre o el logotipo.

Los clientes piensan que están obteniendo el mismo Plugin de la misma fuente, pero ese no es el caso y viola la marca comercial original del desarrollador en su nombre y logotipo.

Otro problema surge cuando el código redistribuible tiene licencia GPL, pero el Plugin contiene tecnología de software como servicio (SaaS) que es propietaria. Wordfence es un ejemplo de esto, donde el Plugin de Wordfence recibe datos de propiedad de nuestros servidores y esos servidores también contienen código de propiedad que realiza cálculos adicionales.

El acceso a estos datos y capacidad requiere una licencia de paga. No es posible redistribuir un Plugin que contenga esta funcionalidad sin comprar una licencia de Wordfence.

La compra de un Plugin de Wordfence anulado da como resultado que un cliente pague por el Plugin y obtenga la versión gratuita de Wordfence.

La GPL es realmente sorprendente porque ayuda a fomentar la innovación al poner el código a disposición de otros para su reutilización. También permite que otros, como investigadores de seguridad, examinen el código fuente, lo que nos ayuda a identificar vulnerabilidades y hacer que la web sea más segura.

Pero abusar de ella para fingir que es alguien que no es mientras se omite la funcionalidad que un cliente espera obtener, no es para lo que estaba destinada la GPL.

¿Puedo obtener soporte para Plugins y temas anulados?

Los editores de Plugin y temas que ofrecen soporte a sus clientes de pago no brindarán soporte a los clientes que no les pagaron y que pagaron a otro proveedor en su lugar. Esto puede dejar a los clientes confundidos cuando abren un ticket de soporte y el proveedor no tiene idea de quién es el cliente.

Además, las modificaciones impredecibles y frecuentemente maliciosas que se realizan a los Plugins y temas anulados de WordPress, hacen que sea imposible admitirlos incluso para los editores que ofrecen soporte a sus usuarios gratuitos.

¿Qué debo hacer si tengo instalados Plugins o temas anulados?

Si descubres que tienes instalado un Plugin o tema anulado, te recomendamos que lo elimines de inmediato. Luego, recomendamos escanear tu sitio con Wordfence, ya sea la versión gratuita disponible en el directorio de Plugins de WordPress o Wordfence Premium, que proporciona una funcionalidad adicional que se desbloquea ingresando una clave de licencia en la versión gratuita, en lugar de mediante una descarga separada.

También recomendamos verificar tu base de datos en busca de usuarios administradores no autorizados, ya que estos se agregan con frecuencia mediante Plugins y temas anulados y pueden ocultarse a otros administradores.

Conclusión

En el artículo de hoy, cubrimos algunas preguntas frecuentes sobre Plugins y temas anulados de WordPress, incluidos algunos de los riesgos involucrados, malentendidos comunes y qué hacer si tiene un Plugin o tema anulado instalado en tu sitio.

El uso de Plugins anulados siempre tiene un costo, ya sea la confianza de tus usuarios cuando tu sitio es pirateado, o simplemente el costo monetario de una copia con descuento que no cumple sus promesas.

¿Disfrutaste esta publicación? ¡Compártelo!

Si quieres conocer otros artículos parecidos a Plugins y temas anulados de WordPress: peligros y desventajas puedes visitar la categoría Consejos y tips.