Le plugin WordPress Site Builder accusé d'avoir ajouté une "porte dérobée"

Un plugin complémentaire largement utilisé pour un constructeur de site WordPress populaire a installé un script anti-piratage qui dépublie essentiellement toutes les publications. Les développeurs WordPress sont furieux, certains qualifiant le script de malware, de porte dérobée et de violation des lois.

Module complémentaire BricksUltimate pour Bricks Builder

Le constructeur de sites Bricks est une plate-forme de création de sites pour WordPress très populaire auprès des développeurs Web qui citent l'interface utilisateur intuitive, le CSS basé sur les classes et le code HTML propre et hautes performances qu'il génère comme fonctionnalités qui l'élèvent par rapport à de nombreux autres constructeurs de sites. Ce qui distingue ce constructeur de site, c'est qu'il est créé pour les développeurs possédant des compétences avancées, ce qui leur permet de créer pratiquement tout ce qu'ils veulent sans avoir à lutter contre le code intégré créé par les constructeurs de sites glisser-déposer typiques destinés aux non-utilisateurs. développeurs. L'un des avantages du constructeur de site Bricks est qu'il existe une communauté de développeurs de plugins tiers qui étend la puissance de Bricks pour accélérer l'ajout de fonctionnalités supplémentaires au site Web. BricksUltimate Addon for Bricks Builder est un plugin tiers qui facilite l'ajout de fonctionnalités telles que le fil d'Ariane, les menus animés, les menus en accordéon, les notes par étoiles et d'autres éléments interactifs sur la page. C’est ce plugin qui a suscité la controverse au sein de la communauté des développeurs WordPress en ajoutant des éléments anti-piratage que beaucoup dans la communauté WordPress considèrent comme une « très mauvaise pratique » et d’autres le qualifiant de « malware ».

BricksMesures anti-piratage ultimes

La cause de la controverse semble être un script qui vérifie une licence valide. On ne sait pas exactement ce qui est installé, mais selon un développeur qui a examiné le code du plugin, il semble y avoir un script installé conçu pour masquer toutes les publications sur l'ensemble du site Web s'il détecte une copie piratée du plugin (plus d'informations à ce sujet ci-dessous). ). Le développeur du plugin, Chinmoy Kumar Paul, a minimisé la controverse, écrivant que les gens « réagissent de manière excessive ». Une discussion en cours dans le groupe Facebook Dynamic WordPress sur la mesure anti-piratage BricksUltimate compte plus de 60 publications, l'écrasante majorité des publications s'opposant au script anti-piratage.

Réactions typiques dans cette discussion  :

« . cacher une porte dérobée qui lit la base de données client constitue en soi un abus de confiance et montre une intention malveillante de la part du développeur. » «Je refuse tout simplement de soutenir ou de recommander tout développeur qui pense avoir le droit d'ajouter secrètement une charge utile malveillante à un logiciel. Et puis, une fois confronté, il le défend et ne voit aucun mal. Absolument pas acceptable et je suis heureux que la communauté se soit unie pour déclarer qu'une telle approche ne devrait pas être tolérée… » « …le fait que le code soit là est terrible. Je ne laisserais aucun plugin avec ce genre de porte dérobée sur aucun site, encore moins quiconque le ferait pour un site client. Cela gâche complètement le plugin pour moi  !  » « Ce type ici et son entreprise pourraient être facilement signalés et exposés à l'Autorité de régulation générale de la protection des données (RGPD) dans n'importe quel pays de l'UE pour avoir injecté un code de « moniteur » non déclaré qui a un accès non autorisé aux bases de données et se comporte en fait comme un malware ! ! ! ! ! ! est tout simplement incroyable !  » L'un des développeurs de la communauté Facebook Dynamic WordPress a fait part de ses découvertes sur ce que fait le script anti-piratage.

Ils ont expliqué leurs découvertes :

« Mon collègue et moi avons enquêté sur cette question. Certes, nous ne sommes pas des experts du backend. Nos conclusions sont que le plugin a un code codé qui n’est pas lisible par l’homme sans décodage. Ce code est une vérification de licence à distance supplémentaire. En cas d'échec, il semble remplacer les valeurs dans la base de données wp->posts, rendant essentiellement toutes les publications de tous les types de publication illisibles pour WordPress.

Il ne semble pas les supprimer purement et simplement comme on le soupçonnait au départ, mais il apparaît comme supprimé sur le frontend pour tout utilisateur non expert. Cela semble être implémenté dans les versions 1.5.3+ BU et comme il n'y a aucun message ici d'utilisateurs légitimes à ce sujet, j'ai tendance à faire confiance à Chinmoy car il est très peu probable que cela affecte les utilisateurs légitimes. Maintenant, ma collègue possédait effectivement une version piratée du plugin, mais malheureusement, elle n'en avait pas connaissance car elle avait été achetée en tant que version légitime auprès d'un vendeur tiers.

Réponse du développeur BricksUltimate  :

Le développeur du plugin, Chinmoy Kumar Paul, a publié une réponse dans le groupe Facebook BricksUltimate.

Ils ont écrit:

« Re  : Certains codeurs contournent l'API de licence avec du code personnalisé. Ce plugin de temps s’active et fonctionne correctement. Mon script suit simplement ces sites et vérifie la clé de licence. Si cela ne correspond pas, les données sont supprimées. Mais ce n'est pas la meilleure solution. Je testais juste. La prochaine fois, je l'améliorerai avec d'autres logiques et tests. Les gens réagissent tout simplement de manière excessive. Je suis toujours à la recherche de la meilleure solution et je mets à jour les codes selon mon rapport. … De nombreux utilisateurs indésirables soumettent le problème par e-mail et je perds mon temps à leur consacrer. J’essaie donc simplement de trouver la meilleure option pour éviter ce genre de choses. Plusieurs utilisateurs de BricksUltimate ont défendu la tentative du développeur du plugin de lutter contre les utilisateurs avec des copies piratées du plugin. Mais pour chaque message défendant le développeur, il y en avait d’autres qui exprimaient une forte désapprobation.

Le développeur fait marche arrière sur la mesure anti-piratage

Le développeur a peut-être lu la pièce et constaté que cette décision était très impopulaire. Ils ont déclaré qu’ils avaient changé de cap en matière d’action.

Ils ont insisté :

«… J'ai déclaré que je changerais l'approche actuelle avec une meilleure option. Les gens ne comprennent pas le concept et répandent des rumeurs ici et là. Les portes dérobées peuvent entraîner des amendes et des prisons Wordfence a récemment publié un article sur les portes dérobées laissées par des développeurs qui interfèrent ou endommagent intentionnellement un site Web par des éditeurs qui leur doivent de l'argent. Dans un article intitulé  : PSA  : Laisser intentionnellement des portes dérobées dans votre code peut entraîner des amendes et des peines de prison, ils ont écrit  : « L’une des principales raisons pour lesquelles un développeur Web peut être tenté d’inclure une porte dérobée codée en dur est de s’assurer que son travail n’est pas utilisé sans paiement. … Ce qui devrait être évident, c'est qu'endommager intentionnellement un site Web constitue une violation des lois dans de nombreux pays et peut entraîner des amendes, voire des peines de prison. Aux États-Unis, le Computer Fraud and Abuse Act de 1986 (CFAA) définit clairement l’utilisation illégale des systèmes informatiques. Selon 18 USC § 1030 (e)(8), le simple fait d'accéder aux systèmes informatiques d'une manière qui utilise des privilèges ou des niveaux d'accès plus élevés que ceux autorisés constitue une violation de la loi. De plus, endommager intentionnellement le système ou les données constitue également un crime. La sanction en cas de violation de la CFAA peut inclure des peines de 10 ans ou plus de prison, en plus de lourdes sanctions financières. La lutte contre la piraterie est un enjeu légitime. Mais c'est un peu plus difficile dans la communauté WordPress car la licence WordPress précise que tout ce qui est créé avec WordPress doit être publié avec une licence open source. Image en vedette par Shutterstock/Dikushin Dmitry

Tags: , ,