Có nên sử dụng Plugin và Theme được chia sẻ trên mạng không?

Các Plugin và Theme bản quyền cho WordPress được chia sẻ tràn lan trên mạng. Chỉ cần tìm kiếm tên theme + phiên bản (ví dụ flatsome 3.16) thì ngay lập tức sẽ nhận được hàng loạt kết quả. Vấn đề đặt ra là liệu những plugin và theme này có an toàn? Muốn biết có an toàn hay không chúng ta cần phải xác định được nguồn gốc của chúng.

Các nhà phát triển wordpress chào bán công khai sản phẩm trên website của họ, hoặc trên các chợ mã nguồn như themeforest, creativemarket,… Vì thế bất cứ ai cũng có thể mua và download về sử dụng.

  • Có người mua để dùng cho các dự án website;
  • Có người mua để bán lại;
  • Cũng có kẻ mua để chia sẻ miễn phí,…

Plugin và Theme bao gồm các file php, js, css,... rất dễ chỉnh sửa. Cho nên có trời mới biết được file các bạn down trên mạng về đã bị chỉnh sửa hay chưa. Chúng ta không có cách nào xác minh được nguồn của theme và plugin đó cả. Cho nên hãy xác định tinh thần là luôn luôn có rủi ro. Chúng ta chỉ có thể hạn chế rủi ro đó mà thôi.

Plugin và Theme null, là gì

Theme/plugin null là các phiên theme/plugin WordPress được sao chép từ các bản trả phí và chia sẻ miễn phí hoặc bán lại mức giá rẻ hơn (mà chúng tôi gọi chung là phân phối lại) trên internet mà không có bất cứ giấy phép hoặc sự cho phép nào từ những người phát triển theme/plugin bản gốc.
Ngoài ra để sử dụng được và lách bản quyền, thì những Plugin, Theme này có sự can thiệp, chỉnh sửa code và những đoạn code, Script chèn vào tốt hay xấu phụ thuộc vào người chia sẻ.

Mục đích chia sẻ mã nguồn nulled khi dùng theme và plugin

Đã bao giờ bạn tự hỏi là vì sao họ lại chia sẻ mã nguồn nulled miễn phí như vậy hay chưa? Nếu họ phải bỏ tiền ra mua thì vì sao lại dễ dàng chia sẻ cho người khác như vậy?

  • Có người chia sẻ đúng nghĩa là SHARE miễn phí;
  • Có người chia sẻ để kiếm traffic vào website;
  • Có người chia sẻ để phát tán mã độc;
  • …v…v…

Chỉ có một số ít những người đã bỏ tiền ra mua sau đó chia sẻ lại file gốc (mã nguồn sạch, không có mã độc). Còn phần lớn việc chia sẻ đều nhằm mục đích khác, chẳng hạn như kiếm tiền, lây lan mã độc,…

Cũng có trường hợp chính tác giả đi chia sẻ để quảng bá về plugin hay theme của họ. Tuy nhiên trường hợp này nếu xảy ra thì họ cũng không bao giờ chia sẻ phiên bản mới nhất. Các tác giả tin rằng bạn sẽ bị “thôi miên” sau khi được trải nghiệm và sẽ phải chi tiền để mua phiên bản mới nhất. Không thể phủ nhận đây là cách marketing khá khôn ngoan.

bảo mật website từ plugin và theme

Nhìn chung mã nguồn nulled tiềm ẩn nhiều rủi ro vì không thể xác minh được nguồn của tập tin. Phần lớn các trang chuyên chia sẻ plugin, theme bản quyền đều là những file có chứa mã độc. Mã độc ở đây là một khái niệm tương đối thôi các bạn nhé.

  • Đôi khi nó chỉ là các đoạn mã tự động chèn quảng cáo vào website của bạn;
  • Cũng có khi nó tự động tạo ra nội dung chèn backlink để seo;
  • Cũng có thể là những backdoor giúp hacker dễ dàng tấn công và kiểm soát máy chủ của bạn,…

Kiểm tra mã nguồn cẩn thận khi sử dụng theme và plugin

Bước 1: Sau khi tải theme/plugin về bạn vào trang virustotal.com để quét mã độc.

quét mã độc bằng virustotal

Đây là công cụ quét virus trực tuyến rất nổi tiếng hiện nay, thuộc sở hữu của Google trong dự án hợp tác với hơn 50 công ty bảo mật hàng đầu thế giới như BitDefender, Kaspersky, Symantec, Microsoft, Avast, AVG, Avira, Baidu, Comodo,… thậm chí có cả BKAV và CMC của Việt Nam.

Lưu ý: Đây chỉ là công cụ quét trực tuyến chứ không phải phần mềm diệt virus nên không có tính năng xóa file. Nó chỉ phân tích các file và thông báo cho bạn biết file của bạn có bị dính mã độc hay không thôi. Bạn có thể quét từng file đơn lẻ hoặc nén tất cả trong 1 file ZIP.

Nếu quét bằng virustotal phát hiện có mã độc thì tốt nhất bạn không nên sử dụng nữa. Tìm kiếm file khác cho đỡ mất thời gian.

Bước 2: Cài plugin/theme vào website của bạn và kích hoạt. Cài tiếp plugin Wordfence Security vào rồi quét.

wordfence security

Đây là một trong những plugin bảo mật tốt nhất dành cho WordPress hiện nay. Về cơ bản thằng này quét các file core của WordPress, quét cả thư mục themes, plugins. Nó có thư viện hơn 44.000 mẫu biến thể mã độc phổ biến với WP và dễ dàng phát hiện các backdoor nổi tiếng như C99, R57, RootShell, Crystal Shell, Matamu, Cybershell, W4cking, Sniper, Predator, Jackal, Phantasma, GFS, Dive, Dx,… Nói chung plugin miễn phí thì thằng này là số 1 rồi.

Nếu vẫn không thấy mã độc thì bạn có thể tạm yên tâm sử dụng plugin/theme đó.

Kết Luận

” Không có bữa ăn trưa nào là miễn phí” việc chia sẻ Theme, Plugin null không đơn thuần là miễn phí như bạn nghĩ, những cách kiểm tra trên chỉ mang tính tương đối không đảm bảo an toàn hết được 100% Website của bạn có thể bị hack, nhiễm mã độc bất cứ lúc nào.
Ngoài ra WordPress thường xuyên được nâng cấp cho nên các nhà phát triển plugin và theme cũng phải nâng cấp liên tục để tương thích với phiên bản WordPress hiện tại. Do đó nếu các bạn sử dụng phiên bản cũ hoặc theme null thì hãy coi chừng! Khá là rủi ro đấy!

Nếu lỗi nó hiện ra lù lù trước mặt thì quá đơn giản. Nhưng thật không may là các lỗ hổng bảo mật thường ở đâu đó mà ngay cả những người code ra cái nó có khi cũng chẳng biết. Bởi vậy, hãy nhớ là luôn luôn sử dụng phiên bản mới nhất. Đừng nghĩ rằng cứ vô hiệu hóa tính năng update thì sẽ an toàn nhé. Càng phiên bản cũ càng dễ dính những lỗi bảo mật nghiêm trọng.

Nếu bạn sử dụng với mục địch học tập hay vọc vạch thì không bàn tới nhưng nếu bạn sử dụng mục đích website kinh doanh, phục vụ cho mình chúng tôi khuyên bạn nên chi khoản tiền trong khả năng có thể mua theme chính hãng nhà sản xuất để đảm bảo an toàn, cũng như là hỗ trợ tốt nhất.

Hiện nay trên thị trường rất nhiều đơn vị bán Theme chính hãng giá tốt. Nếu bạn có nhu cầu mua Theme việt hóa Buid sẵn chất lượng, được kiểm định có thể ghé thăm tại Themewp.vn của chúng tôi để tham khảo, mua Theme tai Themewp.vn luôn được hỗ trợ tốt, với nhiều ưu đãi và tặng kèm kho Plugin trả phí chính hãng.

 

5/5 - (3 bình chọn)
facebook-icon
zalo-icon
zalo-icon