Según las estadísticas más recientes, se estima que alrededor del 43% de todos los sitios web en Internet utilizan WordPress como su sistema de gestión de contenido (CMS). Esto se traduce en casi 500 millones de sitios web en todo el mundo.
Una de las características clave que ha llevado al éxito de WordPress es su amplia variedad de temas y plugins disponibles. Existen decenas de miles de plugins y temas gratuitos en el repositorio de WordPress y miles otros de pago.
El enorme ecosistema de plugins y temas de pago ha creado también un enorme mercado negro donde estos son vendidos o compartidos de forma gratuita. A este tipo de versiones de temas y plugins se les conoce comúnmente en estos lugares como “nulled”, “pirateados” o “crackeados”.
¿Qué son los temas y plugins nulled de WordPress?
Se trata de temas y plugins de pago a los que un tercero les ha eliminado la protección de copia o los ha modificado para que puedan ser usados sin la necesidad de registrar una licencia.
Se suelen ofrecer en sitios web de piratería o en aquellos dedicados al hacking y otras actividades ilegales. Algunos de estos sitios parecen legítimos y sus ofertas pueden parecer seguras, pero muchas veces la realidad es otra.
¿Cuál es el problema con los temas y plugins nulled?
Además del hecho de que alguien ha invertido tiempo, esfuerzo y dinero en producir un producto premium que estás descargando de forma gratuita, los temas y plugins nulled de WordPress frecuentemente son infectados con malware.
Como desarrollador, aproximadamente 1 de cada 3 sitios WordPress en donde he removido archivos maliciosos fueron infectados a través de temas o plugins nulled.
Soporte y actualizaciones
No podrás recibir soporte para temas y plugins nulled. Tampoco serás elegible para recibir actualizaciones. WordPress lanza una nueva versión cada 3 o 4 meses. Sus actualizaciones de seguridad se lanzan con aún más frecuencia.
La mayoría de los temas y plugins nulled no pueden ser actualizados (en la mayoría de los casos solo se puede hacer manualmente descargando las nuevas versiones en sitios de piratería).
Esto quiere decir que incluso si el plugin o tema que descargaste está libre de malware, al quedarse desactualizado representará un problema potencial de seguridad.
Al continuar descargando versiones nulled estarás incrementando la posibilidad de descargar una que esté infectada. Las versiones compartidas no siempre vienen de la misma fuente o de la misma persona.
Software inestable
Al alterarse el código original para remover protecciones de copia o la necesidad de usar licencias, te arriesgas a que el plugin, tema e incluso WordPress sea menos estable o a que haya errores serios en el sitio.
Las personas que hacen las modificaciones no siempre tienen conocimientos avanzados de programación, los errores son comunes y muchas veces también abren la puerta a diversas amenazas de seguridad.
Seguridad de temas y plugins nulled
El riesgo principal de usar temas y plugins nulled es sin duda el riesgo de que contengan código malicioso.
¿Por qué alguien se tomaría la molestia de infectar un tema o plugin de WordPress con virus u otro malware?
La respuesta es simple: dinero.
Vía un sitio infectado los hackers o delincuentes cibernéticos pueden generar enormes cantidades de dinero.
Lo pueden hacer infectando a tu sitio con generadores de anuncios, remplazando tus enlaces de afiliados con los propios, con minadores de criptomonedas, generadores de spam y de varias otras maneras.
Backdoors
Los temas y plugins nulled a menudo también contienen backdoors (puertas traseras) diseñadas en ellos. Estas puertas traseras permitirán el acceso de terceros a tu sitio y base de datos.
Uno de los métodos más lucrativos para criminales es la venta en mercados negros de bases de datos de sitios infectados. Estas bases de datos son codiciadas, sobre todo aquellas que pertenecen a tiendas en línea o sitios de servicios.
Zombis en línea
Estos productos piratas también pueden contener código malicioso que convertirá tu sitio en un zombi controlado de forma remota. De esta manera los hackers utilizan a los sitios infectados para lanzar ataques cibernéticos, como los de denegación de servicio (DDoS).
Algunos de los mayores ataques a sitios de WordPress en los últimos años están relacionados con temas y plugins nulled de WordPress.
Ataque CryptoPHP
En 2014, más de 23,000 sitios se vieron afectados por el malware de puerta trasera CryptoPHP. El software con este código se distribuyó en sitios que compartían productos piratas para WordPress, Drupal y Joomla.
El código permitía a terceros tomar el control del servidor web. Redirigían el tráfico de SEO hacia sus propios sitios e inyectaban contenido y código en los sitios infectados.
Generadores de spam
Otro exploit común en los productos nulled es el código que convierte a tu sitio en un generador de spam. El código oculto en el plugin o tema genera miles de correos electrónicos de spam desde tu servidor.
Tras días o incluso horas, tu sitio probablemente será suspendido y agregado a la lista negra de Google. Esto puede literalmente acabar con tu negocio en línea. Una búsqueda rápida en Google te mostrará lo difícil que puede ser remover un sitio de su lista negra.
Incluso si logras hacerlo, las pérdidas de posicionamiento en buscadores del sitio serán difíciles de recuperar.
Anuncios y enlaces no deseados
Otro grupo de exploits mostrará anuncios a los visitantes de tu sitio. Algunos agregarán enlaces a sitios de terceros para robar el tráfico de tu sitio web o para generar backlinks.
Tal vez ni siquiera te des cuenta de que algo está sucediendo, pero tus visitantes si lo podrían hacer. Anuncios en la página, ventanas emergentes con publicidad para todo tipo de productos ilegales o no aptos para tu audiencia.
Esto no solo dañará tu credibilidad, el ranking de SEO de tu sitio web también se verá afectado.
Datos Personales
Si tienes una tienda en línea, de servicios o almacenas datos personales de usuarios, las cosas pueden empeorar aún más.
Muchos de los exploits inyectados por software pirata les darán a terceros accesos de nivel de administrador a tu sitio. Esto significa que la información personal de usuarios y clientes de tu negocio podría estar en riesgo.
Esto no solo puede destruir la reputación de tu negocio, dependiendo de en dónde se encuentre este te podría meter en serios problemas legales.
En países de la Unión Europea, Estados Unidos y otros existen leyes de protección de datos que te podrían hacer responsable por violaciones de privacidad causadas por incidentes de seguridad en tu sitio web.
¿Es legal usar un tema o plugin nulled?
Si estás considerando usar temas y plugins nulled seguro tendrás alguna o varias de las siguientes preguntas:
- ¿Son legales los temas y plugins nulled?
- ¿Me meteré en problemas por usarlos?
- ¿Me demandarán si utilizo temas y plugins nulled?
La respuesta para las tres preguntas es básicamente la misma: no necesariamente.
El software central de WordPress está bajo la licencia GPL2. Bajo la licencia GPL2, cualquiera puede modificar y republicar libremente el código.
Por lo tanto, siempre que un tema o plugin nulled introduzca algún pequeño cambio en el código fuente, técnicamente no es ilegal compartirlo, venderlo, descargarlo o usarlo.
Todos los plugins y temas se desarrollan utilizando el software central de WordPress, por lo tanto, cualquier plugin o tema creado para WordPress también está bajo licencia GPL2. Esto quiere decir que cualquiera puede modificar y republicar un tema o plugin también.
La persona que crea las versiones nulled no está haciendo nada ilegal en sí, y tampoco la persona que llega a usarlas.
Pero dependiendo de las leyes de tu país y los términos de licencia de un plugin o tema en particular, existe la posibilidad de que el desarrollador pueda demandarte.
Legal o no, los temas y plugins nulled no son seguros y podrían causar daños graves a tu sitio.
¿Es buena idea arriesgarse a utilizar temas y plugins nulled?
NO. Incluso si no te preocupa la ética de descargar productos de pago de forma gratuita, debes preocuparte por la reputación y la salud de tu negocio. Piensa en el tiempo y la credibilidad que perderás si alguien hackea tu sitio web.
¿Qué hay de los sitios que venden u ofrecen temas y plugins bajo licencia GPL?
Los productos para WordPress ofrecidos con licencia GPL son en la mayoría de los casos nulled y traen consigo exactamente los mismos riesgos de los productos que bajas en otros sitios de piratería.
A menudo las personas que ofrecen estos productos usan el término “licencia GPL” para tratar de protegerse legalmente. La realidad es que la mayoría de ellos van a sitios de piratería y descargan los productos que luego venden u ofrecen con la “licencia GPL”.
Incluso es frecuente que se vean anuncios en Facebook donde tiendas digitales venden lotes con decenas o cientos de productos de WordPress con este tipo de licencia.
No te dejes engañar por la supuesta oficialidad de esta licencia o por que veas los anuncios en Facebook y otros lugares, la realidad es que estos productos son peligrosos.
Qué precauciones debes tomar si ya usas o piensas usar temas y plugins nulled a pesar de los riesgos
Algunos plugins de seguridad (como WordFence) pueden detectar código malicioso en temas y plugins nulled. De principio, es primordial que uses uno de estos plugins.
Si bien no son infalibles y es posible que se les escape algún código no deseado, los riesgos se reducirán considerablemente.
Usa autenticación de dos pasos (2FA) en tus cuentas de administrador. Si un maleante cibernético se hace de tus credenciales de administrador, le será más difícil acceder al panel de WordPress.
Trata de mantener a WordPress, temas y plugins actualizados a las últimas versiones. También asegúrate de que el servidor donde está alojado el sitio use versiones de PHP, MySQL (o equivalente) y Apache (o equivalente) actualizadas y soportadas.
Haz copias de seguridad frecuentes de los archivos de WordPress y su base de datos. Sobre todo, asegúrate de hacer copias de seguridad antes de instalar alguno de estos productos.
¿Puedes usar un producto nulled si un antivirus o herramientas como Virus Total no detectan código malicioso?
Una de las formas como las personas que comparten o venden estos productos tratan de engañarte es compartiendo enlaces a herramientas como Virus Total que prueban que el archivo que comparten está limpio de malware.
Lo que no te cuentan es que casi todos los antivirus convencionales no pueden detectar la mayoría del código malicioso en archivos de WordPress. Esas pruebas no significan nada y aunque así fuera, también serían fáciles de manipular.
Qué alternativas tienes al no usar temas o plugins nulled
Si puedes costear las licencias la mejor alternativa es comprar los productos directamente en ThemeForest o en los sitios oficiales de los desarrolladores.
Las licencias no siempre son baratas, pero tendrás la seguridad de estar usando un producto limpio, que se actualizará regularmente y además estarás apoyando el desarrollo del producto con tu compra.
Revendedores de licencias
Varios de los productos de pago de WordPress ofrecen licencias de desarrollador, esto quiere decir que estas pueden ser usadas en sitios ilimitados.
Algunas personas que consiguen estas licencias las revenden a precios más bajos de los normales. Comprar estas licencias puede ahorrarte buenas cantidades de dinero.
Precauciones con los revendedores de licencias
Tienes que tener cuidado a quién le compras estas licencias. Muchos vendedores sin escrúpulos en realidad te venden productos nulled y no licencias auténticas.
También habrá veces que requerirás darle acceso a la persona a tu sitio web para que configure la licencia.
Si te topas con una persona poco confiable, podrías poner en riesgo tu sitio o su información (base de datos, archivos, clientes, etc.)
Asegúrate de investigar bien a la persona a quién le comprarás una de estas licencias. Limita el acceso que le darás a tu sitio y asegúrate de hacer copias de seguridad antes de proveer cualquier acceso.
En WP Luis puedes comprar con confianza licencias auténticas de varios plugins y temas a precios muy asequibles.
Temas y plugins gratuitos
Existen versiones gratuitas de prácticamente todos los productos de pago para WordPress. Si no puedes costear una licencia, el usar una versión o una alternativa gratuita del producto es tu mejor opción.
Ya sea que descargues productos gratuitos o premium, asegúrate de siempre hacerlo desde el panel de admin de WordPress, desde su sitio web, desde ThemeForest o desde los sitios oficiales de los desarrolladores.
Mantenimiento
Siempre mantén actualizada tu instalación de WordPress, temas y plugins con la última versión estable. Presta especial atención a las versiones que incluyen parches de seguridad.
Apoya a los desarrolladores
No todos los desarrolladores de WordPress tienen tras de sí a grandes empresas o grandes presupuestos, muchos de ellos apenas sacan lo suficiente para sobrevivir con la venta de sus productos.
Con la compra de una licencia estarás apoyando el desarrollo de un tema o plugin que quizá es vital para el negocio que te permite a ti sobrevivir.
Si bien como mencioné antes, no todas las licencias son baratas, incluso la más costosa será una fracción de lo que te podría costar recuperar el trabajo, tiempo, dinero y reputación invertidos en tu negocio.
Conclusión
Los temas y plugins nulled suelen contener modificaciones en su código, esto los hace propensos a incluir malware, backdoors y otras vulnerabilidades de seguridad.
Estas vulnerabilidades pueden ser aprovechadas por hackers y poner en peligro la integridad de tu sitio web y la seguridad de tus usuarios.
Es importante adquirir temas y plugins de fuentes legítimas y confiables. Esto garantiza que estés utilizando software legal, con soporte y actualizaciones regulares por parte de los desarrolladores.
De esta manera, puedes mantener la seguridad de tu sitio web, proteger tus datos y brindar una experiencia confiable a tus visitantes.
