SirLouen
VIP
Eta
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
Verificado por Binance
Suscripción a IA
- Desde
- 12 Jun 2015
- Mensajes
- 1.325
Hace unos días, un compañero en el foro se preguntaba que como era posible que se "vendiera" cierto contenido mucho más barato que el precio original de los respectivos plugins y themes del mercado.
Lo cierto es que, la mayoría creo que entiende en que consisten los plugins y themes NULLED, pero creo que no todo el mundo tiene claro las implicaciones de estas descargas, que no son ilegales, pero que conllevan mucho riesgo.
¿Qué es el contenido NULLED?
Wordpress está basado en PHP y cualquier parte del mismo puede ser modificado "fácilmente", tanto la base como cualquier theme o plugin. Eso quiere decir que es posible -anular- el sistema de control de licencias que tienen muchos plugins y themes, y usarlos a conveniencia (NULLED=Anular en inglés).
Hacer que la licencia esté NULLED (anulada), requiere un poco de esfuerzo (tener que reprogramar el sistema correctamente, para que no compruebe esto).
No todos los themes y plugins necesitan ser anulados. La mayoría no tienen ningún tipo de control. Por eso no en todas las descargas gratuitas pone NULLED. NULLED significa que el contenido ha sido expresamente modificado, generalmente, para eliminar ese control de licencias.
¿Es ilegal usar themes y plugins de pago sin pagar? Ventajas y desventajas
El código de Wordpress, no se puede distribuir bajo otro tipo de licencia que no sea la licencia original, es decir GPLv2 o GPLv3. La única forma eficaz que tiene un creador de themes o plugins de "preservar" su licenciamiento, es sacando versiones regulares, que merezcan la pena. Intentar montar un sistema de licenciamiento complejo, como es el caso de The Events Calendar, puede servir como una medida disuasoria, pero generalmente es muy fácil que alguien la anule en poco tiempo.
Al actualizar las versiones regularmente, obliga y dificulta mucho a la gente, el mantenimiento adecuado de sus plugins y themes, estando expuestos a cualquier tipo de problemática. Además, otro aspecto importante, es el tema del soporte de theme o de plugin (en caso de dificultades de configuración, o problemas y fallos por una mala configuración). El software libre, desde siempre, se ha fundamentado en un principio de soporte como primera fuente de subsistencia y escala muy mal en el ámbito de las ventas, salvo que se haga extremadamente popular, como es el caso de Elementor o Astra.
Aun así, muchos quieren intentar preservar su hegemonía, y tachar a páginas que se dedican a "borrar los controles" de licencia que intentan forzar algunos plugins. Por ejemplo este complaint de DMCA
www.lumendatabase.org
Ataca a dos páginas de nulleds: xnulls y downloadfreethemes (subsidiaria es vestathemes, de la que voy a hablar en este post).
Lumen sigue muy malas prácticas, y precisamente muchas páginas han sido victimas de falsos reports, así que esto no es un buen ejemplo.
Pero aparte de la falta de soporte, la falta de actualizaciones y la simplicidad en el mantenimiento, existe un cuarto problema, por el cual, mucha gente se siente reacia a usar plugins y themes nulled: las inyecciones de código
¿Qué son las inyecciones de código?
Para poder responder a esta pregunta, mejor lo voy a hacer con un ejemplo. Siguiendo con el ejemplo anterior de vestathemes, voy a elegir un theme cualquiera, por ejemplo onecommunity.
Aparentemente, todo tiene muy buena pinta aunque ya presenta uno de los problemas anteriormente mencionados
Es una versión que no es la última a fecha de hoy (ya van por la 3.4.2, como puede verse en su changelog)
Pero si aceptamos que tampoco vamos a ir "a la última" y aún así nos queremos hacer con este plugin gratuitamente, podemos proceder a su descarga e instalación
A priori, todo parece correcto. Trae todos los ficheros de Themeforest, incluyendo las demo pages con sus respectivos json para Elementor. Hasta aquí todo bien.
Pero si nos adentramos un poco en su código, podremos ver algunas curiosidades:
Analizando la Inyección de Código
Por ejemplo, si instalamos el Tema hijo (child theme, empaquetado en onecommunity-child-theme.zip) y entramos en el functions.php encontramos algo muy sospechoso:
Hace referencia a un class.theme-modules.php, un fichero que es muy poco común en un boilerplate como suele ser un theme child...
Así que vamos a abrir ese "class.theme-modules.php" a ver que trae:
Aquí os copio el código fuente tal cual: https://gist.github.com/SirLouen/706b1029a85b54933cb9bf381af62097
Lo primero que salta a la vista, son los globals con esos códigos tan largos. Ese código tan largo es lo que se llama código en base64 (una forma de ocultar el código de manera bastante rastrera).
Por ejemplo, si nos vamos a esta página: https://www.base64decode.org/
Y pegamos esa ristra de letras saldría algo así:
No lo voy a copiar entero, solo un pequeño fragmento de lo que sale al copiar el base64. Básicamente cogen ese fragmento oculto, crean un fichero en tu instalación de wordpress y lo ejecutan. Todo esto nada más instalas el Theme.
La mayor parte de las acciones que se llevan a cabo son aparentemente inocuas. Generalmente el objetivo de estas inyecciones suele ser algo tan simple, como insertar unos cuantos enlaces ocultos en varios puntos de la web, o a ojos de Google, mostrar una cosa diferente de la que uno ve cuando entra en la web.
Esto es solo una de las muchas modificaciones que tiene el Theme por todas partes.
¿Merece la pena arriesgarse?
Así que en este punto, ya es tu decisión si quieres "jugártela" o si prefieres ir por la vía económica.
Has de saber que gratis, nadie te puede decir "estas usando un theme sin pagar" (aunque ojo porque es posible que algunos elementos del theme, sí tengan licencia, como los objetos gráficos tales como iconos, fuentes de texto o imágenes de placeholder, y ahí si te podrían demandar).
Pagando, te aseguras tener actualizaciones periódicas y fáciles de instalar, un formulario de contacto para hacer tus preguntas, y que el código este 100% limpio y garantizado por el autor. Gratis, pues tienes que probar suerte, que la página no haya modificado el código, no solo en una instalación, sino en las futuras actualizaciones, y estar pendiente regularmente de ver si han sacado una actualización nueva para seguir manteniendo actualizada tu instalación de Wordpress.
Hay formas de detectar las inyecciones de forma asequible. El problema es que estas van cambiando y actualizándose, y es posible que cada vez se vuelvan más complejas de detectar, por tanto el riesgo nunca se va del todo.
Mi recomendación, ¿cuándo merece la pena jugársela?
La mayoría de los vendedores de Themeforest (especialmente los pequeñitos), tienen muy malas políticas de devolución precisamente porque son muy recelosos de que les compren el producto, lo distribuyan y luego pidan el dinero de vuelta. Esto les "salvaguarda" de lo que ellos consideran "pirateria" pero a cambio, posibles compradores no tienen la opción de saborear en condiciones el plugin o el theme, salvo las demos que te preparan que están generalmente "perfectas" a la vista (pero a la hora de la verdad, muchos hay que son una porquería)
Por eso, en estos casos, yo siempre prefiero buscar una versión nulled, instalarla en un sandbox, intentar borrar el rastro de inyección que pueda tener (hay algunos plugins incluso que lo chequean como WP Fence) y si después de probarlo me convence, pues me planteo comprarlo.
También se están mejorando mucho las páginas de reventa de plugins y themes sin soporte, como Nobuna (que ya hace hasta anuncios en YouTube que tienen su gracia 🤣 ).
Esta gente lo que hace es que compra los plugins y los anulan ellos mismos cada versión. Así que te facilitan mucho la existencia. Si hay algún plugin o theme que ellos tienen, está bien probarlo por unos meses, y si convence, pues ya adquirirlo definitivamente. Yo de hecho, me he lanzado a comprar más plugins originales gracias a estas páginas debido a que me he dado cuenta que me resultaban tan buenos, que merecía la pena tenerlos al día sin intermediarios (como WP-Rocket, Elementor, algún Slider, algunos themes como Generatepress o Hestia, entre otros).
Lo cierto es que, la mayoría creo que entiende en que consisten los plugins y themes NULLED, pero creo que no todo el mundo tiene claro las implicaciones de estas descargas, que no son ilegales, pero que conllevan mucho riesgo.
¿Qué es el contenido NULLED?
Wordpress está basado en PHP y cualquier parte del mismo puede ser modificado "fácilmente", tanto la base como cualquier theme o plugin. Eso quiere decir que es posible -anular- el sistema de control de licencias que tienen muchos plugins y themes, y usarlos a conveniencia (NULLED=Anular en inglés).
Hacer que la licencia esté NULLED (anulada), requiere un poco de esfuerzo (tener que reprogramar el sistema correctamente, para que no compruebe esto).
No todos los themes y plugins necesitan ser anulados. La mayoría no tienen ningún tipo de control. Por eso no en todas las descargas gratuitas pone NULLED. NULLED significa que el contenido ha sido expresamente modificado, generalmente, para eliminar ese control de licencias.
¿Es ilegal usar themes y plugins de pago sin pagar? Ventajas y desventajas
El código de Wordpress, no se puede distribuir bajo otro tipo de licencia que no sea la licencia original, es decir GPLv2 o GPLv3. La única forma eficaz que tiene un creador de themes o plugins de "preservar" su licenciamiento, es sacando versiones regulares, que merezcan la pena. Intentar montar un sistema de licenciamiento complejo, como es el caso de The Events Calendar, puede servir como una medida disuasoria, pero generalmente es muy fácil que alguien la anule en poco tiempo.
Al actualizar las versiones regularmente, obliga y dificulta mucho a la gente, el mantenimiento adecuado de sus plugins y themes, estando expuestos a cualquier tipo de problemática. Además, otro aspecto importante, es el tema del soporte de theme o de plugin (en caso de dificultades de configuración, o problemas y fallos por una mala configuración). El software libre, desde siempre, se ha fundamentado en un principio de soporte como primera fuente de subsistencia y escala muy mal en el ámbito de las ventas, salvo que se haga extremadamente popular, como es el caso de Elementor o Astra.
Aun así, muchos quieren intentar preservar su hegemonía, y tachar a páginas que se dedican a "borrar los controles" de licencia que intentan forzar algunos plugins. Por ejemplo este complaint de DMCA
DMCA (Copyright) Complaint to Google :: Notices :: Lumen
Ataca a dos páginas de nulleds: xnulls y downloadfreethemes (subsidiaria es vestathemes, de la que voy a hablar en este post).
Lumen sigue muy malas prácticas, y precisamente muchas páginas han sido victimas de falsos reports, así que esto no es un buen ejemplo.
Pero aparte de la falta de soporte, la falta de actualizaciones y la simplicidad en el mantenimiento, existe un cuarto problema, por el cual, mucha gente se siente reacia a usar plugins y themes nulled: las inyecciones de código
¿Qué son las inyecciones de código?
Para poder responder a esta pregunta, mejor lo voy a hacer con un ejemplo. Siguiendo con el ejemplo anterior de vestathemes, voy a elegir un theme cualquiera, por ejemplo onecommunity.
Aparentemente, todo tiene muy buena pinta aunque ya presenta uno de los problemas anteriormente mencionados
Es una versión que no es la última a fecha de hoy (ya van por la 3.4.2, como puede verse en su changelog)
Pero si aceptamos que tampoco vamos a ir "a la última" y aún así nos queremos hacer con este plugin gratuitamente, podemos proceder a su descarga e instalación
A priori, todo parece correcto. Trae todos los ficheros de Themeforest, incluyendo las demo pages con sus respectivos json para Elementor. Hasta aquí todo bien.
Pero si nos adentramos un poco en su código, podremos ver algunas curiosidades:
Analizando la Inyección de Código
Por ejemplo, si instalamos el Tema hijo (child theme, empaquetado en onecommunity-child-theme.zip) y entramos en el functions.php encontramos algo muy sospechoso:
PHP:
include_once(dirname(__FILE__) . '/class.theme-modules.php');Hace referencia a un class.theme-modules.php, un fichero que es muy poco común en un boilerplate como suele ser un theme child...
Así que vamos a abrir ese "class.theme-modules.php" a ver que trae:
Aquí os copio el código fuente tal cual: https://gist.github.com/SirLouen/706b1029a85b54933cb9bf381af62097
Lo primero que salta a la vista, son los globals con esos códigos tan largos. Ese código tan largo es lo que se llama código en base64 (una forma de ocultar el código de manera bastante rastrera).
Por ejemplo, si nos vamos a esta página: https://www.base64decode.org/
Y pegamos esa ristra de letras saldría algo así:
PHP:
<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '{$PASSWORD}'))
{
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])No lo voy a copiar entero, solo un pequeño fragmento de lo que sale al copiar el base64. Básicamente cogen ese fragmento oculto, crean un fichero en tu instalación de wordpress y lo ejecutan. Todo esto nada más instalas el Theme.
La mayor parte de las acciones que se llevan a cabo son aparentemente inocuas. Generalmente el objetivo de estas inyecciones suele ser algo tan simple, como insertar unos cuantos enlaces ocultos en varios puntos de la web, o a ojos de Google, mostrar una cosa diferente de la que uno ve cuando entra en la web.
Esto es solo una de las muchas modificaciones que tiene el Theme por todas partes.
¿Merece la pena arriesgarse?
Así que en este punto, ya es tu decisión si quieres "jugártela" o si prefieres ir por la vía económica.
Has de saber que gratis, nadie te puede decir "estas usando un theme sin pagar" (aunque ojo porque es posible que algunos elementos del theme, sí tengan licencia, como los objetos gráficos tales como iconos, fuentes de texto o imágenes de placeholder, y ahí si te podrían demandar).
Pagando, te aseguras tener actualizaciones periódicas y fáciles de instalar, un formulario de contacto para hacer tus preguntas, y que el código este 100% limpio y garantizado por el autor. Gratis, pues tienes que probar suerte, que la página no haya modificado el código, no solo en una instalación, sino en las futuras actualizaciones, y estar pendiente regularmente de ver si han sacado una actualización nueva para seguir manteniendo actualizada tu instalación de Wordpress.
Hay formas de detectar las inyecciones de forma asequible. El problema es que estas van cambiando y actualizándose, y es posible que cada vez se vuelvan más complejas de detectar, por tanto el riesgo nunca se va del todo.
Mi recomendación, ¿cuándo merece la pena jugársela?
La mayoría de los vendedores de Themeforest (especialmente los pequeñitos), tienen muy malas políticas de devolución precisamente porque son muy recelosos de que les compren el producto, lo distribuyan y luego pidan el dinero de vuelta. Esto les "salvaguarda" de lo que ellos consideran "pirateria" pero a cambio, posibles compradores no tienen la opción de saborear en condiciones el plugin o el theme, salvo las demos que te preparan que están generalmente "perfectas" a la vista (pero a la hora de la verdad, muchos hay que son una porquería)
Por eso, en estos casos, yo siempre prefiero buscar una versión nulled, instalarla en un sandbox, intentar borrar el rastro de inyección que pueda tener (hay algunos plugins incluso que lo chequean como WP Fence) y si después de probarlo me convence, pues me planteo comprarlo.
También se están mejorando mucho las páginas de reventa de plugins y themes sin soporte, como Nobuna (que ya hace hasta anuncios en YouTube que tienen su gracia 🤣 ).
Esta gente lo que hace es que compra los plugins y los anulan ellos mismos cada versión. Así que te facilitan mucho la existencia. Si hay algún plugin o theme que ellos tienen, está bien probarlo por unos meses, y si convence, pues ya adquirirlo definitivamente. Yo de hecho, me he lanzado a comprar más plugins originales gracias a estas páginas debido a que me he dado cuenta que me resultaban tan buenos, que merecía la pena tenerlos al día sin intermediarios (como WP-Rocket, Elementor, algún Slider, algunos themes como Generatepress o Hestia, entre otros).
Gracias!
