WordPress

Nulled teman och plugins: den vanligaste vägen in för malware

Gratisversionen av ett premium-plugin är sällan gratis. ”Nulled” teman och plugins är en av de vanligaste vägarna malware tar in i WordPress.

Det finns en enkel regel i WordPress-säkerhet: om ett premium-tema eller plugin erbjuds ”gratis” på en sida du aldrig hört talas om, betalar du med din sajts säkerhet. Nulled komponenter är en av de absolut vanligaste källorna till infektioner — och den lömskaste, eftersom du installerar dem frivilligt.

Vad ”nulled” betyder

Ett nulled tema eller plugin är en piratkopierad version med licenskontrollen borttagen. Problemet är att någon behövde ändra i koden för att göra det — och i samma veva läggs ofta en bakdörr, en spam-injektor eller en redirect in. Du installerar med andra ord malware med flit, utan att veta om det, och ger den dessutom fulla rättigheter på din sajt.

Varför det är så svårt att upptäcka

Ett nulled plugin fungerar oftast precis som originalet — funktionerna finns där, och den skadliga koden är gömd och gör inget synligt till en början. Den kan ligga vilande i veckor innan den aktiveras, eller bara skicka data i bakgrunden. Just därför kopplar många aldrig ihop en senare infektion med det ”gratis”-plugin de installerade för länge sedan.

Varför det är så lockande — och så dyrt

Att spara några hundralappar på en licens känns smart tills sajten flaggas av Google, skickar spam eller omdirigerar dina kunder. Saneringen, den förlorade rankingen och stilleståndet kostar långt mer än licensen någonsin gjort. Och till skillnad från en riktig licens får du inga säkerhetsuppdateringar — så även den ursprungliga sårbarheten står kvar och öppen.

Nulled teman och plugins: den vanligaste vägen in — för att du bjöd in den.

— Kepler Security Scan

Gör rätt från början

Använd bara teman och plugins från betrodda källor — WordPress-katalogen eller utvecklaren direkt — eller ännu bättre, ett skräddarsytt tema utan onödig kod. Redan installerat något nulled? Låt oss sanera sajten och kontrollera efter bakdörrar, för de brukar finnas kvar även efter att pluginet tagits bort. Och på Managed WordPress-hosting hjälper bevakade uppdateringar och isolering till att hålla risken nere.

Bygg på ett moln du faktiskt äger.

Ingen bindningstid. En körande VM innan du betalar en krona.