Nota: ¿Está interesado en cómo el equipo de JetPack está investigando malware para proteger su sitio? Entonces te tenemos cubierto. Las recomendaciones son para todos, pero la segunda mitad del artículo requiere algún conocimiento técnico sobre cómo funciona WordPress. ¡Crear el nuevo sitio web de negocios o blog personal es realmente interesante! Elegir un tema hermoso que presente su visión y seleccionar los complementos adecuados para proporcionar la mejor experiencia de usuario no es una tarea fácil y, muy probablemente, aumentará el costo de llevar a cabo este proyecto. El software de piratería puede ser tentador como una medida de ahorro de costos leve.
Además de software como Windows 10, Microsoft Office o Adobe Creative Suite, también encontrará extensiones pirateadas de WordPress. La descarga de complementos y temas de sitios que no son distribuidores con licencia solo aumentarán el costo a largo plazo. Déjame explicar por qué. En 2018, la BSA publicó Global Software Survey, donde especifica algunas cifras sorprendentes:
El 37% de todos los programas instalados en computadoras personales no tienen licencia.
El costo de remediar malware o virus instalados desde el software pirateado es de casi $ 360 mil millones por año
Algunos podrían argumentar que un tema o complemento pirateado de WordPress no dañará su computadora o ni siquiera representará una amenaza para su información, porque se ejecutan en la computadora de otra persona (también conocida). Esto no podría estar más equivocada.
Pregúntele al argumento de venta que muchos ingenieros de software se basan en otras compañías para distribuir y vender su trabajo. Además de las rutas de distribución legítimas, hay sitios web de software pirateados. No tiene que preocuparse por el código de ingeniería porque le roba que se aproveche. Pasan su tiempo enfocándose en el argumento de venta, porque su único objetivo es hacerle descargar e instalar el software pirateado. ¿Por qué pagar a los desarrolladores y al distribuidor si puede obtenerlo de forma gratuita?

Le recomendamos que preste atención a cualquier sitio que tenga muchos anuncios y botones de descarga que puedan confundirlo y aumentar sus ganancias aumentando los clics en el sitio. También preste atención a las claras violaciones de distribución, como el ejemplo en la imagen de arriba.
La comprensión con Mefistofel: leer la pequeña carta del folklore alemán, Faust, para adquirir más conocimiento y poder, llegó a un acuerdo con el diablo. Del mismo modo, los sitios que ofrecen versiones pirateadas de extensiones de WordPress no tienen claro lo que recibirán, así que asume todo el riesgo. No se preocupe, estamos aquí para ayudarlo a comprender la comprensión que realmente firma. Descargué este tema Cinematix de un sitio de temas sombreados. Inmediatamente noté que el contenido del archivo ReadMe.txt es el mismo que la versión 2.3 del tema predeterminado de veinte años.
¿Es el tema de Cinematix o veinte diecisiete?

Le recomendamos que no haga esto solo, pero como somos profesionales de seguridad, continuamos y seguimos las instrucciones. Renuncié al nombre del director de NLD_THEME_INDEX en Cinematix. Esto se sintió completamente inútil y, de hecho, lo era. En la sección Temas de mi WP-Admin, pude ver que el tema estaba instalado, pero parecía deshabilitado porque no había una imagen de vista previa. Tal vez si lo activo, entonces funcionará? No hay vistas previas disponibles, tal vez sea solo una cuestión de activación.
Después de la activación, recibí un buen mensaje de que tengo que comprar el software. Nunca se le pedirá que compre una licencia temática para un tema gratuito del director de WordPress. Hay muchos temas premium excelentes que requieren una compra, pero que generalmente se producen antes de la descarga. No pague por los temas que no ha descargado del desarrollador o empresa que los creó.

Pero el mensaje decía que era gratis … ¿y qué pasa con ese error de escritura?
En nombre de la ciencia, eliminaré este bloqueo y usaré el tema de Cinematix de forma gratuita.

Como se predijo, este “tema Cinematix” es en realidad solo el tema de veinte diecisiete con código abierto libre y enmascarado. Vi esto venir, mirando ReadMe.txt antes. Investigamos el código y veamos qué podemos encontrar, pero ¿dónde estamos empezando? El tema falso ya se le dio una pista cuando intentó convencernos de pagar una licencia que no necesitábamos. Mensaje de licencia de base no válida, compre no parte de veinte diecisiete y puede ser nuestra guía para encontrar otras cosas desagradables.
Encontré este mensaje en /inc/template-tags.php, que también está presente en el tema original. Sin embargo, el código no es y es nuestro primer indicador de compromiso para este malware.


echo ‘

Licencia de tema inválida, por favor cerdos.

‘;
morir;
}
add_action (‘TEMPLATE_REDIRECT’, ‘LICENTE_INVALID’);
SHA1-F0DF1A134CAF09E79B6E852DBCF853CBCA4E04F6 NLD-THEME-INDEX/INC/TEMPLATE-TAGS.PHP
MD5-7CB7118ED422D867B2FD0F607B056581 NLD-THEMEX/INC/TEMPLATES.PHP
Todo lo que precedió a esa función era, por supuesto, malicioso y peligroso; Vamos a ver:
La primera función allí (getUserIpAddr ()) no es mala por sí misma, pero es utilizada por activate_nulled_theme () para proporcionar información sobre el sitio de compromiso al llamar a casa. Lo primero que hace es agregar el usuario WP_REST_API como administrador en el sitio y aquí tenemos el segundo indicador de compromiso.
No solo intenta hacer que compre una licencia que no necesita, sino que también “llame a casa” (una oportunidad para que el código malicioso comparta información sobre su sitio con el tema falso). Puede ver el código para el hogar de teléfono en la función WP-Remote_Post, donde está configurado para enviar la URL de su sitio, la dirección IP y las credenciales.
Para aquellos de ustedes que están leyendo que no son expertos, lo que vemos aquí es que el código malicioso de este tema pirateado enviará un nombre de usuario y contraseña a los hackers para que puedan conectarse a su sitio. Les proporcionará acceso a Contenido privado, pedidos de tiendas de comercio electrónico y proporcionan control total sobre su sitio. -Admin y WP -Content/SupeLs. ¿Puede adivinar qué hace este archivo? ¿Es una puerta de carga de archivo, que le da al atacante la dirección de su sitio, un usuario administrador y una forma de ingresar cualquier malware adicional que deseen agregar. Este es nuestro último indicador de compromiso, aunque en este momento es solo la cereza en el pastel malicioso.

Sha1-6AB059929F89A77C698619A88DE756F69A9A9F8C53 NLD-THEME-Index/Inc/AdminIndex.Php

MD5-940864AF2095F4FCFA646D45C1DD2366 NLD-THEME-INDEX/INC/AdminIndex.Php
Conclusión El uso del software pirateado puede parecer una manera fácil de reducir los costos, pero detrás de la cortina, puede hacer cosas terribles a su sitio y luego a usted o sus visitantes. En MalwareBytes en esta publicación, se pueden agregar a su sitio Usando esta puerta de carga de archivo secundario o WP_REST_API y se usa para atacar los navegadores de cualquier visitante.