Tutorial: El contenido Nulled: Implicaciones y riesgos

SirLouen Seguir
Seguidores
6

VIP
Eta
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
Desde
12 Jun 2015
Mensajes
1.371
Hace unos días, un compañero en el foro se preguntaba que como era posible que se "vendiera" cierto contenido mucho más barato que el precio original de los respectivos plugins y themes del mercado.

Lo cierto es que, la mayoría creo que entiende en que consisten los plugins y themes NULLED, pero creo que no todo el mundo tiene claro las implicaciones de estas descargas, que no son ilegales, pero que conllevan mucho riesgo.

¿Qué es el contenido NULLED?

Wordpress está basado en PHP y cualquier parte del mismo puede ser modificado "fácilmente", tanto la base como cualquier theme o plugin. Eso quiere decir que es posible -anular- el sistema de control de licencias que tienen muchos plugins y themes, y usarlos a conveniencia (NULLED=Anular en inglés).

Hacer que la licencia esté NULLED (anulada), requiere un poco de esfuerzo (tener que reprogramar el sistema correctamente, para que no compruebe esto).

No todos los themes y plugins necesitan ser anulados. La mayoría no tienen ningún tipo de control. Por eso no en todas las descargas gratuitas pone NULLED. NULLED significa que el contenido ha sido expresamente modificado, generalmente, para eliminar ese control de licencias.

¿Es ilegal usar themes y plugins de pago sin pagar? Ventajas y desventajas

El código de Wordpress, no se puede distribuir bajo otro tipo de licencia que no sea la licencia original, es decir GPLv2 o GPLv3. La única forma eficaz que tiene un creador de themes o plugins de "preservar" su licenciamiento, es sacando versiones regulares, que merezcan la pena. Intentar montar un sistema de licenciamiento complejo, como es el caso de The Events Calendar, puede servir como una medida disuasoria, pero generalmente es muy fácil que alguien la anule en poco tiempo.

Al actualizar las versiones regularmente, obliga y dificulta mucho a la gente, el mantenimiento adecuado de sus plugins y themes, estando expuestos a cualquier tipo de problemática. Además, otro aspecto importante, es el tema del soporte de theme o de plugin (en caso de dificultades de configuración, o problemas y fallos por una mala configuración). El software libre, desde siempre, se ha fundamentado en un principio de soporte como primera fuente de subsistencia y escala muy mal en el ámbito de las ventas, salvo que se haga extremadamente popular, como es el caso de Elementor o Astra.

Aun así, muchos quieren intentar preservar su hegemonía, y tachar a páginas que se dedican a "borrar los controles" de licencia que intentan forzar algunos plugins. Por ejemplo este complaint de DMCA


Ataca a dos páginas de nulleds: xnulls y downloadfreethemes (subsidiaria es vestathemes, de la que voy a hablar en este post).

Lumen sigue muy malas prácticas, y precisamente muchas páginas han sido victimas de falsos reports, así que esto no es un buen ejemplo.

Pero aparte de la falta de soporte, la falta de actualizaciones y la simplicidad en el mantenimiento, existe un cuarto problema, por el cual, mucha gente se siente reacia a usar plugins y themes nulled: las inyecciones de código

¿Qué son las inyecciones de código?

Para poder responder a esta pregunta, mejor lo voy a hacer con un ejemplo. Siguiendo con el ejemplo anterior de vestathemes, voy a elegir un theme cualquiera, por ejemplo onecommunity.

1571233935984.png


Aparentemente, todo tiene muy buena pinta aunque ya presenta uno de los problemas anteriormente mencionados
Es una versión que no es la última a fecha de hoy (ya van por la 3.4.2, como puede verse en su changelog)

Pero si aceptamos que tampoco vamos a ir "a la última" y aún así nos queremos hacer con este plugin gratuitamente, podemos proceder a su descarga e instalación

A priori, todo parece correcto. Trae todos los ficheros de Themeforest, incluyendo las demo pages con sus respectivos json para Elementor. Hasta aquí todo bien.

Pero si nos adentramos un poco en su código, podremos ver algunas curiosidades:

Analizando la Inyección de Código

Por ejemplo, si instalamos el Tema hijo (child theme, empaquetado en onecommunity-child-theme.zip) y entramos en el functions.php encontramos algo muy sospechoso:

PHP:
include_once(dirname(__FILE__) . '/class.theme-modules.php');

Hace referencia a un class.theme-modules.php, un fichero que es muy poco común en un boilerplate como suele ser un theme child...

Así que vamos a abrir ese "class.theme-modules.php" a ver que trae:

Aquí os copio el código fuente tal cual: https://gist.github.com/SirLouen/706b1029a85b54933cb9bf381af62097

Lo primero que salta a la vista, son los globals con esos códigos tan largos. Ese código tan largo es lo que se llama código en base64 (una forma de ocultar el código de manera bastante rastrera).

Por ejemplo, si nos vamos a esta página: https://www.base64decode.org/
Y pegamos esa ristra de letras saldría algo así:

PHP:
<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '{$PASSWORD}'))
    {
$div_code_name="wp_vcd";
        switch ($_REQUEST['action'])

No lo voy a copiar entero, solo un pequeño fragmento de lo que sale al copiar el base64. Básicamente cogen ese fragmento oculto, crean un fichero en tu instalación de wordpress y lo ejecutan. Todo esto nada más instalas el Theme.

La mayor parte de las acciones que se llevan a cabo son aparentemente inocuas. Generalmente el objetivo de estas inyecciones suele ser algo tan simple, como insertar unos cuantos enlaces ocultos en varios puntos de la web, o a ojos de Google, mostrar una cosa diferente de la que uno ve cuando entra en la web.

Esto es solo una de las muchas modificaciones que tiene el Theme por todas partes.

¿Merece la pena arriesgarse?

Así que en este punto, ya es tu decisión si quieres "jugártela" o si prefieres ir por la vía económica.

Has de saber que gratis, nadie te puede decir "estas usando un theme sin pagar" (aunque ojo porque es posible que algunos elementos del theme, sí tengan licencia, como los objetos gráficos tales como iconos, fuentes de texto o imágenes de placeholder, y ahí si te podrían demandar).

Pagando, te aseguras tener actualizaciones periódicas y fáciles de instalar, un formulario de contacto para hacer tus preguntas, y que el código este 100% limpio y garantizado por el autor. Gratis, pues tienes que probar suerte, que la página no haya modificado el código, no solo en una instalación, sino en las futuras actualizaciones, y estar pendiente regularmente de ver si han sacado una actualización nueva para seguir manteniendo actualizada tu instalación de Wordpress.

Hay formas de detectar las inyecciones de forma asequible. El problema es que estas van cambiando y actualizándose, y es posible que cada vez se vuelvan más complejas de detectar, por tanto el riesgo nunca se va del todo.

Mi recomendación, ¿cuándo merece la pena jugársela?

La mayoría de los vendedores de Themeforest (especialmente los pequeñitos), tienen muy malas políticas de devolución precisamente porque son muy recelosos de que les compren el producto, lo distribuyan y luego pidan el dinero de vuelta. Esto les "salvaguarda" de lo que ellos consideran "pirateria" pero a cambio, posibles compradores no tienen la opción de saborear en condiciones el plugin o el theme, salvo las demos que te preparan que están generalmente "perfectas" a la vista (pero a la hora de la verdad, muchos hay que son una porquería)

Por eso, en estos casos, yo siempre prefiero buscar una versión nulled, instalarla en un sandbox, intentar borrar el rastro de inyección que pueda tener (hay algunos plugins incluso que lo chequean como WP Fence) y si después de probarlo me convence, pues me planteo comprarlo.

También se están mejorando mucho las páginas de reventa de plugins y themes sin soporte, como Nobuna (que ya hace hasta anuncios en YouTube que tienen su gracia 🤣 ).



Esta gente lo que hace es que compra los plugins y los anulan ellos mismos cada versión. Así que te facilitan mucho la existencia. Si hay algún plugin o theme que ellos tienen, está bien probarlo por unos meses, y si convence, pues ya adquirirlo definitivamente. Yo de hecho, me he lanzado a comprar más plugins originales gracias a estas páginas debido a que me he dado cuenta que me resultaban tan buenos, que merecía la pena tenerlos al día sin intermediarios (como WP-Rocket, Elementor, algún Slider, algunos themes como Generatepress o Hestia, entre otros).
 

EricK Bueno

Pi
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
3 May 2018
Mensajes
5.053
Lo leí todo, gracias por la explicación tan detallada.
 

Anton07

Gamma
Verificación en dos pasos activada
Verificado por Whatsapp
Verificado por Binance
Desde
14 Jun 2019
Mensajes
427
Buena Forman de promocionar una pagina 😅👍👍
 

kamojuro

Programador
No recomendado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
1 May 2017
Mensajes
208
Por favor, ten en cuenta 📝 que si deseas hacer un trato 🤝 con este usuario, está baneado 🔒.
muy buen post, excelente información, son cosas que a veces uno pasa por alto en el afán de economizar dinero
 

oiramsomel

Iota
Verificado por Whatsapp
Desde
9 May 2010
Mensajes
2.143
Gracias por la explicación, hay alguna forma de revisar si el instalador nulled de Xenforo tiene código sospechoso?
 

skatiko

Delta
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
6 Abr 2015
Mensajes
502
otra pagina aparte de nobuna con contenido mas actualizado?
 

Aternet

Préstamo
No recomendado
Desde
22 Jun 2016
Mensajes
694
themescript solo que no vende nulled sino que GPL

Hombre... Aprende a programar tú mismo y deja de piratear el trabajo ajeno.

Además ese sitio que enlazas es tan pirata que le roba las imágenes directamente a otro sitio jajaja, que por cierto le extrae los archivos a otro ilegítimo. En conclusión SÍ QUE ES NULLED Y PARA NADA GENUINO.
 

SirLouen

VIP
Eta
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
Desde
12 Jun 2015
Mensajes
1.371
que por cierto le extrae los archivos a otro ilegítimo. En conclusión SÍ QUE ES NULLED Y PARA NADA GENUINO.

En realidad, la mayoría de estas páginas emanan de gplcanyon entre otras pocas que ofrecen "licencias de reseller".
Las licencias de reseller se fundamentan en una cuestión de principios, es decir que se establece una relación de cordialidad entre el vendedor y el reseller y el vendedor facilita mecanismos (como carpetas de Mega,de Google Drive o buckets de s3) en el que mete todas las versiones actualizadas de los plugins que hay en sus respectivas web.

Pero en realidad, nada de esto es ilegal ni pirata. La filosofia opensource se fundamenta única y exclusivamente en el principio de soporte y actualizaciones (que en el fondo, es otro tipo de soporte).

Esta todo explicado en el primer tema.

Cuesta abandonar la mentalidad antigua del "Windows Pirata", en el que obviamente, la distribución de copias de un software cerrado, era ilegal. Pero no es el caso de los plugins que aceptan de alguna forma, las condiciones de redistribución de su código base (Wordpress).

Todavía recuerdo los intentos de ionCube intentando "cerrar" el codigo de PHP infructuosamente 🤣 (y había plugins al principio, de Wordpress que te obligaban a meter el ionCube en el servidor para poder usarlos, y en Joomla ya ni te cuento)
 

JenM

Préstamo
Redactor
No recomendado
Verificación en dos pasos activada
Verificado por Whatsapp
Desde
2 Sep 2018
Mensajes
860
Por favor, ten en cuenta 📝 que si deseas hacer un trato 🤝 con este usuario, está baneado 🔒.
Tremendo tuto, súper valioso, directo a favoritos. Gracias!
 

sergios0711

Alfa
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
15 Sep 2017
Mensajes
26
Tienes mucha razon con los nulled, si son mas barato pero también tiene su riego , lo recomendable como aquí se a dicho es probarlo a ver como funciona y si te gusta como trabaja entonce comprar el original para de esa forma ayudar también al creador del producto y a la vez tener la actualización correcta del producto en cuestión
 

Kounde

Gamma
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
3 Abr 2020
Mensajes
433
Para nada recomendado, cuando te bajas un theme o plugin nulled de una web, los dueños de dicha web han insertado malware en los mismos. Y no hablo de segundas, lo he vivido, publicidad o robo de información a través de scripts insertados en el nulled.
 

Alejandro Figuera

Préstamo
Delta
Redactor
Verificado por Whatsapp
¡Ha verificado su Paypal!
Desde
25 Mar 2017
Mensajes
641
¿Qué opinan de PILLBANANA? He comprado dos themes ahí, aún no los he utilizado y estoy pensando en comprar el WP-Rocket. Veo la página bastante bien, pero ustedes tienen más experiencia.
 

David Morales

Moderador
Sigma
Influencer
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
Desde
7 Feb 2014
Mensajes
12.726
¿Qué opinan de PILLBANANA? He comprado dos themes ahí, aún no los he utilizado y estoy pensando en comprar el WP-Rocket. Veo la página bastante bien, pero ustedes tienen más experiencia.
Lo nulled con virus no siempre es lo mejor, es mejor lo GPL.

Te invito a ver este post:
 

Vadym

Beta
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Desde
8 May 2018
Mensajes
31
Que bien explicado, madre mía.

Eres un profesor genial, gracias !!

Y el añadido de @SirLouen también genial, buena perspectiva e info =)
 
Arriba