WordPress Site Oluşturucu Eklentisi “Arka Kapı” Eklemekle Suçlanıyor
Popüler bir WordPress site oluşturucusu için yaygın olarak kullanılan bir eklenti eklentisi, esas olarak tüm gönderileri yayından kaldıran bir korsanlıkla mücadele komut dosyası yükledi. WordPress geliştiricileri öfkeli; bazıları komut dosyasını kötü amaçlı yazılım, arka kapı ve yasaların ihlali olarak nitelendiriyor.
BricksBricks Builder İçin Ultimate Eklenti
Bricks site oluşturucu, sezgisel kullanıcı arayüzünü, sınıf tabanlı CSS’yi ve ürettiği temiz, yüksek performanslı HTML kodunu diğer birçok site oluşturucuya göre öne çıkaran özellikler olarak öne süren web geliştiricileri arasında son derece popüler olan, WordPress için bir site oluşturma platformudur. Bu site oluşturucuyu diğerlerinden ayıran şey, gelişmiş becerilere sahip geliştiriciler için oluşturulmuş olmasıdır; bu, geliştiricilerin, tipik sürükle ve bırak site oluşturucuları tarafından oluşturulan yerleşik kodla uğraşmak zorunda kalmadan neredeyse istedikleri her şeyi oluşturmalarına olanak tanır. geliştiriciler.
Bricks site oluşturucusunun bir avantajı, daha fazla web sitesi özelliği eklemeyi daha hızlı hale getirmek için Bricks’in gücünü artıran üçüncü taraf eklenti geliştiricilerinden oluşan bir topluluğun bulunmasıdır.
Bricks Builder için BricksUltimate Addon, içerik kırıntıları, animasyonlu menüler, akordeon menüleri, yıldız derecelendirmeleri ve diğer etkileşimli sayfa içi öğeler gibi özelliklerin eklenmesini kolaylaştıran üçüncü taraf bir eklentidir.
WordPress topluluğundaki pek çok kişinin “çok kötü bir uygulama” olduğunu düşündüğü ve diğerlerinin bunu “kötü amaçlı yazılım” olarak nitelendirdiği korsanlıkla mücadele öğeleri ekleyerek WordPress geliştirici topluluğunda tartışmalara yol açan bu eklentidir.
BricksKorsanlıkla Mücadelede Nihai Önlemler
Tartışmaya neden olan şey, geçerli bir lisans olup olmadığını kontrol eden bir komut dosyası gibi görünüyor. Tam olarak ne yüklendiği belli değil, ancak eklenti kodunu inceleyen bir geliştiriciye göre, eklentinin korsan bir kopyasını tespit etmesi durumunda web sitesinin tamamındaki tüm gönderileri gizlemek üzere tasarlanmış bir komut dosyasının yüklü olduğu görülüyor (bununla ilgili daha fazla bilgiyi aşağıda bulabilirsiniz) ).
Eklentinin geliştiricisi Chinmoy Kumar Paul, tartışmayı küçümsedi ve insanların “aşırı tepki verdiğini” yazdı.
Devam eden Dinamik WordPress Facebook grubundaki tartışma BricksUltimate korsanlıkla mücadele önlemi hakkında 60’tan fazla gönderi var ve gönderilerin büyük çoğunluğu korsanlıkla mücadele metnine itiraz ediyor.
Bu tartışmadaki tipik tepkiler:
“…istemci veritabanını okuyan bir arka kapıyı gizlemek başlı başına bir güven ihlalidir ve geliştiricinin kötü niyetli niyetini gösterir.”
“Bir yazılıma gizlice kötü amaçlı bir yük ekleme hakkına sahip olduğunu düşünen herhangi bir geliştiriciyi desteklemeyi veya tavsiye etmeyi reddediyorum. Ve sonra yüzleşince onu savunur ve hiçbir yanlış görmez. Kesinlikle kabul edilemez ve böyle bir yaklaşımın hoş görülmemesi gerektiğini belirterek topluluğun bir araya gelmesinden memnunum…”
“…kodun orada olması gerçeği korkunç. Bu tür bir arka kapıya sahip herhangi bir eklentinin hiçbir sitede bulunmasına izin vermem, bırakın bunu bir müşteri sitesi için yapan biri olsun. Bu benim için eklentiyi tamamen bozuyor!
“Buradaki bu adam ve şirketi, veritabanına yetkisiz erişimi olan ve aslında kötü amaçlı yazılım gibi davranan, bildirilmemiş bir “monitör” kodu enjekte ettiği için herhangi bir AB ülkesindeki Genel Veri Koruma Düzenleme Kurumuna (GDPR) kolayca ihbar edilebilir ve ifşa edilebilir! !!!!! gerçekten inanılmaz! “
Dinamik WordPress Facebook topluluğundaki geliştiricilerden biri, korsanlıkla mücadele komut dosyasının ne yaptığına ilişkin bulgularını bildirdi.
Bulgularını şöyle açıkladılar:
“Ben ve meslektaşım bunu araştırdık. Elbette arka uç uzmanları değiliz. Bulgularımız, eklentinin, kod çözmeden insan tarafından okunamayan kodlanmış bir koda sahip olduğu yönünde.
Bu kod ek bir uzaktan lisans kontrolüdür. Başarısız olursa, wp->posts veritabanındaki değerleri değiştiriyor gibi görünüyor, bu da aslında tüm yazı türlerindeki tüm gönderileri WordPress tarafından okunamaz hale getiriyor.
İlk şüphelenildiği gibi bunları doğrudan siliyor gibi görünmüyor, ancak uzman olmayan herhangi bir kullanıcı için ön uçta silinmiş olarak görünüyor.Bu, 1.5.3+ BU sürümlerinde uygulanmış gibi görünüyor ve burada yasal kullanıcılardan gelen herhangi bir gönderi bulunmadığından, bunun yasal kullanıcıları etkileme ihtimalinin çok düşük olduğu konusunda Chinmoy’a güvenme eğilimindeyim.
Meslektaşımın gerçekten de eklentinin korsan bir sürümü vardı ama ne yazık ki bunun farkında değildi çünkü üçüncü taraf bir satıcıdan yasal bir sürüm olarak satın alınmıştı.”
BricksUltimate Geliştiricisinden Yanıt:
Eklentinin geliştiricisi Chinmoy Kumar Paul, bir yanıt yayınladı BricksUltimate Facebook grubunda.
Yazdılar:
“Yanıt: Bazı kodlayıcılar bazı özel kodlarla lisans API’sini atlıyor. Bu sırada eklenti aktifleşiyor ve sorunsuz çalışıyor. Senaryom sadece bu siteleri takip ediyor ve lisans anahtarını kontrol ediyor. Eşleşmiyorsa veriler silinir. Ancak bu en iyi çözüm değildir. Sadece test ediyordum.
Bir dahaki sefere bunu başka mantık ve testlerle geliştireceğim.
İnsanlar aşırı tepki gösteriyor.
Hala en iyi çözümü arıyorum ve raporuma göre kodları güncelliyorum.
…Birçok istenmeyen kullanıcı sorunu e-posta yoluyla gönderiyor ve ben onlar için zamanımı kaybediyorum. Bu yüzden bu tür şeylerden kaçınmak için en iyi seçeneği bulmaya çalışıyorum.
Birkaç BricksUltimate kullanıcısı, eklenti geliştiricisinin, eklentinin korsan kopyalarına sahip kullanıcılara karşı mücadele etme girişimini savundu. Ancak geliştiriciyi savunan her gönderiye karşılık, güçlü bir şekilde onaylamadığını ifade eden başkaları da vardı.
Geliştirici Korsanlıkla Mücadele Önleminde Geriye Dönüyor
Geliştirici odayı okumuş ve hareketin pek sevilmediğini görmüş olabilir. Harekete geçme konusunda rotayı tersine çevirdiklerini söylediler.
ısrar ettiler:
“…Mevcut yaklaşımı daha iyi bir seçenekle değiştireceğimi belirttim. İnsanlar kavramı anlamıyor ve söylentileri oraya buraya yayıyorlar.”
Arka Kapılar Para Cezalarına ve Hapishaneye Yol Açabilir
Wordfence kısa süre önce geliştiricilerin bıraktığı, kendilerine borcu olan yayıncıların web sitesine kasıtlı olarak müdahale eden veya zarar veren arka kapılar hakkında bir makale yayınladı.
başlıklı yazıda: PSA: Kodunuzda Kasıtlı Olarak Arka Kapı Bırakmak Para Cezalarına ve Hapis Cezasına Neden Olabilir yazdılar:
“Bir web geliştiricisinin sabit kodlanmış bir arka kapı eklemeye yönelmesinin en büyük nedenlerinden biri, çalışmalarının ödeme yapılmadan kullanılmamasını sağlamaktır.
…Açık olması gereken şey, bir web sitesine kasıtlı olarak zarar vermenin birçok ülkede yasaların ihlali olduğu ve para cezasına ve hatta hapis cezasına yol açabileceğidir. Amerika Birleşik Devletleri’nde, 1986 tarihli Bilgisayar Dolandırıcılığı ve Kötüye Kullanımı Yasası (CFAA), bilgisayar sistemlerinin yasa dışı kullanımını açıkça tanımlamaktadır. 18 USC § 1030 (e)(8)’e göre, bilgisayar sistemlerine izin verilenden daha yüksek ayrıcalıklar veya erişim düzeyleri kullanacak şekilde erişmek yasanın ihlalidir. Ayrıca sisteme veya verilere kasıtlı olarak zarar vermek de suçtur. CFAA’yı ihlal etmenin cezası, büyük mali cezaların yanı sıra 10 yıl veya daha fazla hapis cezasını da içerebilir.”
Korsanlıkla mücadele meşru bir konudur. Ancak WordPress topluluğunda bu biraz daha zordur çünkü WordPress lisanslaması, WordPress ile oluşturulan her şeyin açık kaynak lisansıyla yayınlanması gerektiğini belirtir.
Öne Çıkan Görsel: Shutterstock/Dikushin Dmitry