Có nên sử dụng Plugin & Theme bản quyền được chia sẻ trên mạng?

Các Plugin và Theme bản quyền cho WordPress được chia sẻ tràn lan trên mạng. Chỉ cần tìm kiếm tên theme + phiên bản (ví dụ flatsome 3.4) thì ngay lập tức sẽ nhận được hàng loạt kết quả. Vấn đề đặt ra là liệu những plugin/theme này có an toàn? Muốn biết có an toàn hay không chúng ta cần phải xác định được nguồn gốc của chúng.

Các nhà phát triển wordpress chào bán công khai sản phẩm trên website của họ, hoặc trên các chợ mã nguồn như themeforest, creativemarket,… Vì thế bất cứ ai cũng có thể mua và download về sử dụng.

  • Có người mua để dùng cho các dự án website;
  • Có người mua để bán lại;
  • Cũng có kẻ mua để chia sẻ miễn phí,…

Plugin và Theme bao gồm các file php, js, css,... rất dễ chỉnh sửa. Cho nên có trời mới biết được file các bạn down trên mạng về đã bị chỉnh sửa hay chưa. Chúng ta không có cách nào xác minh được nguồn của theme & plugin đó cả. Cho nên hãy xác định tinh thần là luôn luôn có rủi ro. Chúng ta chỉ có thể hạn chế rủi ro đó mà thôi.

Mục đích chia sẻ mã nguồn nulled

Đã bao giờ bạn tự hỏi là vì sao họ lại chia sẻ mã nguồn nulled miễn phí như vậy hay chưa? Nếu họ phải bỏ tiền ra mua thì vì sao lại dễ dàng chia sẻ cho người khác như vậy?

  • Có người chia sẻ đúng nghĩa là SHARE miễn phí;
  • Có người chia sẻ để kiếm traffic vào website;
  • Có người chia sẻ để phát tán mã độc;
  • …v…v…

Chỉ có một số ít những người đã bỏ tiền ra mua sau đó chia sẻ lại file gốc (mã nguồn sạch, không có mã độc). Còn phần lớn việc chia sẻ đều nhằm mục đích khác, chẳng hạn như kiếm tiền, lây lan mã độc,…

Cũng có trường hợp chính tác giả đi chia sẻ để quảng bá về plugin hay theme của họ. Tuy nhiên trường hợp này nếu xảy ra thì họ cũng không bao giờ chia sẻ phiên bản mới nhất. Các tác giả tin rằng bạn sẽ bị “thôi miên” sau khi được trải nghiệm và sẽ phải chi tiền để mua phiên bản mới nhất. Không thể phủ nhận đây là cách marketing khá khôn ngoan.

Website sử dụng mã nguồn nulled rất dễ bị hack
Website sử dụng mã nguồn nulled rất dễ bị hack

Nhìn chung mã nguồn nulled tiềm ẩn nhiều rủi ro vì không thể xác minh được nguồn của tập tin. Phần lớn các trang chuyên chia sẻ plugin, theme bản quyền đều là những file có chứa mã độc. Mã độc ở đây là một khái niệm tương đối thôi các bạn nhé.

  • Đôi khi nó chỉ là các đoạn mã tự động chèn quảng cáo vào website của bạn;
  • Cũng có khi nó tự động tạo ra nội dung chèn backlink để seo;
  • Cũng có thể là những backdoor giúp hacker dễ dàng tấn công và kiểm soát máy chủ của bạn,…

Plugin và Theme được chia sẻ trên các diễn đàn hoặc blog uy tín thì có thể yên tâm hơn một chút, nhưng cũng không chắc chắn sẽ an toàn. Vì bản thân người chia sẻ nhiều khi cũng được chia sẻ lại bởi người khác. Do đó, thay vì chấp nhận rủi ro bạn nên tự mua cho yên tâm. Trong trường hợp thực sự bạn không đủ khả năng mua mà vẫn muốn dùng plugin/theme nulled thì tôi cho bạn lời khuyên như sau.

Kiểm tra mã nguồn cẩn thận

Bước 1: Sau khi tải theme/plugin về bạn vào trang virustotal.com để quét mã độc.

Đây là công cụ quét virus trực tuyến rất nổi tiếng hiện nay, thuộc sở hữu của Google trong dự án hợp tác với hơn 50 công ty bảo mật hàng đầu thế giới như BitDefender, Kaspersky, Symantec, Microsoft, Avast, AVG, Avira, Baidu, Comodo,… thậm chí có cả BKAV và CMC của Việt Nam.

Lưu ý: Đây chỉ là công cụ quét trực tuyến chứ không phải phần mềm diệt virus nên không có tính năng xóa file. Nó chỉ phân tích các file và thông báo cho bạn biết file của bạn có bị dính mã độc hay không thôi. Bạn có thể quét từng file đơn lẻ hoặc nén tất cả trong 1 file ZIP.

Nếu quét bằng virustotal phát hiện có mã độc thì tốt nhất bạn không nên sử dụng nữa. Tìm kiếm file khác cho đỡ mất thời gian.

Bước 2: Cài plugin/theme vào website của bạn và kích hoạt. Cài tiếp plugin Wordfence Security vào rồi quét.

Wordfence Security Plugin
Wordfence Security Plugin

Đây là một trong những plugin bảo mật tốt nhất dành cho WordPress hiện nay. Về cơ bản thằng này quét các file core của WordPress, quét cả thư mục themes, plugins. Nó có thư viện hơn 44.000 mẫu biến thể mã độc phổ biến với WP và dễ dàng phát hiện các backdoor nổi tiếng như C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx,… Nói chung plugin miễn phí thì thằng này là số 1 rồi.

Nếu vẫn không thấy mã độc thì bạn có thể tạm yên tâm sử dụng plugin/theme đó.

Tóm lại,

Như các bạn cũng biết, WordPress thường xuyên được nâng cấp cho nên các nhà phát triển plugin/theme cũng phải nâng cấp liên tục để tương thích với phiên bản WP hiện tại. Do đó nếu các bạn sử dụng phiên bản cũ thì hãy coi chừng! Khá là rủi ro đấy!

Nếu lỗi nó hiện ra lù lù trước mặt thì quá đơn giản. Nhưng thật không may là các lỗ hổng bảo mật thường ở đâu đó mà ngay cả những người code ra cái nó có khi cũng chẳng biết. Đến khi bị hack rồi thì nói làm gì nữa! Bởi vậy, hãy nhớ là luôn luôn sử dụng phiên bản mới nhất. Đừng nghĩ rằng cứ vô hiệu hóa tính năng update thì sẽ an toàn nhé. Càng phiên bản cũ càng dễ dính những lỗi bảo mật nghiêm trọng.

Và đương nhiên, nếu bạn định phát triển website một cách nghiêm túc thì nên bỏ tiền ra mua theme cho an tâm (chỉ khoảng 50$ thôi). Mà ngay tại Việt Nam cũng có rất nhiều người bán theo kiểu họ đã mua rồi và nay bán lại với giá rẻ hơn gấp nhiều lần, nếu bạn cần thì liên hệ nhé, tôi sẽ giới thiệu cho.

Theo dõi bài viết
Nhận thông báo
guest
3 Bình luận
mới nhất
cũ nhất
Inline Feedbacks
Xem tất cả bình luận
3
0
Gửi bình luận của bạn về bài viết này.x
()
x