A GPL piacos és nulled WordPress sablonok és bővítmények

Megtaláltuk a kiválasztott WordPress sablont vagy bővítményt olcsóbban (vagy akár ingyen) egy másik webhelyen, ahol nem a fejlesztő árulja. Érdemes-e innen letölteni? Mennyire biztonságos, etikus, legális ez? Ebben a cikkben ezekre a kérdésekre keressük a válaszokat.

A GPL licenc

A licenc határozza meg a szoftver felhasználásának és terjesztésének a feltételeit. A WordPress és a kapcsolódó sablonok, bővítmények esetében GPL (GNU General Public License) licencről beszélünk.

A GPL licenc alapelvei
Richard Best Publishes Human Readable Version of the GPLv2 License – WordPress Tavern

A GPL szabad

A GPL nyílt forráskódú szoftverekhez használható, és teljes szabadságot ad a kódot illetően: szabadon felhasználható, módosítható és terjeszthető – ingyenesen vagy akár pénzért is. Tehát például, ha egy szoftverfejlesztő GPL licenccel adja át a termékét az ügyfelének, akkor utóbbinak minden joga megvan továbbértékesíteni azt, akár módosítva is. Egy fontos feltétel van: az eredeti szerzőt fel kell tüntetni.

A GPL “virális”

A GPL-t virális jellegűnek mondják, mert ha egy szoftver GPL licencet kap, akkor minden ahhoz kapcsolódó, derivatív szoftver is kötelezően GPL lesz (vagy egy ezzel kompatibilis, ugyanilyen jogokat és feltételeket magába foglaló licenc). Mivel a WordPress alaprendszer GPL, ezért minden sablon, plugin, és egyéb kiegészítő a WordPress-hez mindenképpen GPL licences.

A virális jelleg viszont nem feltétlenül vonatkozik a szoftverbe beépített, vagy ahhoz mellékelt média elemekre: a képekre, hanganyagokra, design-elemekre – ebbe akár a CSS kódot is bele lehet érteni. Az első fizetős, prémium WordPress sablonok megjelenésekor, 2010 táján volt ebből egy kisebb nyilvános konfliktus is: az egyik legelső “WP sablonbolt” tulajdonosa szállt szembe a WordPress egyik alapítójával, mert a sablonokat nem GPL licenccel árulta. A vitát a Software Freedom Law Centertől kikért szakvéleménnyel zárták le, amely szerint a WordPress sablonoknak vagy GPL licenccel kell rendelkezniük, vagy úgynevezett “osztott licenccel”, és ez utóbbira tért át végül az említett sablonbolt.

Fontos jellemzője a modern WP bővítményeknek és sablonoknak a külső API-k igénybevétele. A prémium sablonok és bővítmények általában csak a licenc érvényesítése után válnak teljesen használhatóvá. Az API-k használata viszont nem esik a GPL hatásköre alá, és jelenleg is viták folynak arról, hogy az API nem engedélyezett vagy nem rendeltetésszerű használata a szerzői jog megsértésének minősül-e (lásd: Google-Oracle ügy).

Mivel a GPL nem feltétlenül vonatkozik a szoftver minden részére, az engedély nélküli terjesztés jogilag minimum szürkezónának mondható, de az is lehet, hogy illegális.

🛒 A GPL piacok

Az első, kereskedelmi céllal készült sablonok és bővítmények idején még kevéssé foglalkoztak a szereplők a szoftverlicenccel, de egy idő után fontos kérdéssé vált, és egyesek elkezdtek visszaélni a GPL adta szabadsággal: pénzért kezdték árulni a letöltött szoftver másolatait. A GPL ezt megengedi, de egyértelműen nem erre lett kitalálva.

Mára többszáz ilyen webhely nőtt ki a semmiből, és sokféle kreatív elnevezéssel árulják más fejlesztők termékeit engedély nélkül, pl: GPL klub, GPL csomag, WP kezdőcsomag, stb.

Ezeknél általában nem lehet tudni, hogy az eredeti, fejlesztő által készített szoftvert kapjuk-e, vagy egy módosított verziót, amiből kivettek kódot, vagy esetleg hozzáadtak. Lejjebb kifejtjük, hogy ez milyen veszélyekkel jár.

Az ilyen szoftvereket terjesztő weboldalakon a bejegyzett védjegyek használata is jogi kérdéseket vet fel, mivel nem tiszta, hogy használhatják-e ezeket, különösen abban az esetben, amikor nem is az eredeti terméket terjesztik, hanem egy módosított (feltört) verziót.

A GPL piacok arra alkalmasak lehetnek, hogy egy-egy szoftvert leteszteljünk a vásárlás előtt. Élő weboldalon nem ajánlott ilyen terméket használni. Egyébként a valódi WordPress plugin és sablon fejlesztők többségénél van pénzvisszatérítési garancia, szóval a teszteléshez nem feltétlenül van szükségünk a GPL piacokra.

Fontos megemlíteni, hogy a Code Canyon és a Theme Forest, bár hasonló piactérnek tűnnek, mint az itt leírtak, teljesen más kategóriába tartoznak. Ezek százszázalékban legális források. Itt a fejlesztők maguk árulják a szoftvert, az Envato (a Code Canyon és a Theme Forest anyacége) pedig részesedést kér a vételárból.

☠️ A “nulled” WordPress sablonok és bővítmények

Míg az említett “GPL piacok” a legalitás határán mozogva, esetenként egészen igényesen elkészített webshoppal próbálják fenntartani azt a látszatot, hogy egy teljesen tiszta ügyletről van szó, addig az ún. “nulled”, vagyis feltört szoftvereket kínáló webhelyek már ránézésre is inkább a web sötét oldalához tartoznak – jellemzően igénytelen, reklámokkal teletűzdelt blog- vagy fórumszerű oldalakról, rendszertelenül kínálják a letöltéseket.

Az ilyen helyekről letöltött sablonok és bővítmények nagyon gyakran tartalmaznak malware-t, azaz valamiféle kártékony kódot. Ezekről lejjebb írunk bővebben.

Nulled WordPress sablonokat és bővítményeket kínáló webhelyekről soha ne telepítsünk semmit a saját webhelyünkre. Még a lokális gépen való tesztelést is csak kellő óvatossággal javasoljuk.

Az ilyen nulled verziókat kínáló webhelyek technikailag valójában nem sokban különböznek a GPL piacoktól, és mindkettő típus használata ugyanolyan veszélyekkel jár. Amiben egy adott GPL piac “jobb” lehet a többinél, az a terjesztő megbízhatósága, nyomonkövethetősége – a bevallottan nulled szoftverrel foglalkozó webhelyeknél ezek nagyjából sosincsenek meg.

Támogasd a fejlesztőt

A jogi kérdések mellett érdemes a dolog etikai oldalát is megnézni. A pénzünkkel a fejlesztőket akarjuk támogatni, vagy egy ügyeskedőt, aki hasznot próbál húzni mások munkájából?

Könnyen belátható, hogy ha az eredeti fejlesztő nem kap pénzt a munkájáért, akkor az adott projekt akár el is bukhat, és az általunk használt szoftver elavulttá és használhatatlanná válik. Ez hatványozottan igaz a kisebb fejlesztő cégekre, akik nem engedhetik meg maguknak a veszteséges szoftver fenntartását.

Mivel a GPL licenc azzal jár, hogy a kód szabadon terjeszthető, ezért manapság amikor (eredeti) GPL szoftvert vásárolunk, akkor lényegében nem a kódot vagy a letöltőlinket vesszük meg, hanem a technikai supportra, a szoftverfrissítésekre, biztonsági javításokra fizetünk elő – meg esetleg plusz kiegészítőkre, egyéb előnyökre is. És természetesen a termék további fejlesztését is támogatjuk így.

A nem fejlesztőtől beszerzett szoftver hátrányai

Az elvi dolgok mellett azért vannak konkrétabb érvek is, amik az ilyen szoftverek használata ellen szólnak.

Malware a kódban

Ha nem az eredeti fejlesztőtől szerzünk be nyílt forráskódú szoftvert, akkor nem tudhatjuk, hogy az eredeti, módosítatlan kódot kapjuk-e. Három eshetőség van ilyenkor:

  • A eredeti fájlokat kapjuk, bármiféle módosítás nélkül.
  • “Feltört” verziót kapunk, amit utólag módosítottak, hogy olyan funkciók is használhatóak legyenek, amik eredetileg csak előfizetés birtokában elérhetőek.
  • Kártékony kódot tartalmazó szoftvert kapunk.

A malware jelenléte nagyon gyakori az ingyenesen letölthető fizetős WP kiegészítők esetén. Például a WP-VCD malware kizárólag fertőzött nulled kiegészítőkkel terjedt.

Wordfence-WP-VCD-Whitepaper.pdf

Néha a kártékony kód csak adatokat gyűjt – a webhelyről, a kezelőjéről, a látogatókról. Más esetben telespammeli a site minden szegletét, vagy szimplán átirányítja a látogatókat. Olyan is van, hogy egy “hátsó ajtót” nyit az oldalon, és automatikusan elküldi a “kulcsot” a gazdájának.

Ha egyszer megfertőzi a webhelyet egy ilyen malware, azt nagyon nehéz kiírtani, mivel jellemzően mindenhova befészkelik magukat, és rengeteg trükkjük van arra, hogy újrafertőzzék a rendszert, ha egy példány véletlenül megmarad a tisztítás után. Ha fertőzött a weboldalunk, és nem értünk hozzá, mindenképpen keressünk szakembert, például a legnagyobb magyar WordPress Facebook csoportban.

Mivel az ilyen kártékony kódok nem hagyományos értelemben vett vírusok, ezért általában a vírusírtók nem is szokták kiszúrni ezeket. Szóval hiába szkenneljük a letöltött sablont vagy bővítményt, a vírusírtó a legtöbb esetben nem fogja megmondani, hogy van-e benne malware. Mindenesetre, a VirusTotal-t nem árt ráengedni az ilyen letöltött fájlokra, mert a benne foglalt 70+ különböző vírus-szkenner egyike rátalálhat az elrejtett malware-re. De azt is tartsuk szem előtt, hogy nem tekinthetjük biztonságosnak a fájlokat akkor sem, ha a VirusTotal nem talál semmit.

Azt hozzá kell tenni, hogy az eredeti fejlesztőtől vásárolt szoftverben is előfordulhat kártékony kód – odakerülhet a fejlesztő tudta nélkül (pl. vírusfertőzés, külső hackertámadás során) vagy akár a tudtával is, amennyiben nem érdekli a reputációja – egy ilyen eset után ugyanazzal a névvel már nehezen futna be, mint fejlesztő. De ha elismert fejlesztőtől vásárolunk, akkor kártékony kód jelenlétének az esélye nagyjából nulla.

Bonyolult frissítések

A prémium WordPress kiegészítők minden esetben saját megoldást alkalmaznak a frissítések kezelésére – a felhasználó site-ja általában a fejlesztő API-jából kérdezi le és tölti le a frissítéseket, amiket csak licenc kulcs birtokában tud megtenni.

A nulled és GPL pakkos kiegészítők esetén ez általában nincs megoldva, és nem csak, hogy nem tudjuk pár kattintással frissíteni a szoftvert, de sokszor még a frissítés létezéséről sem kapunk értesítést – így könnyen lemaradhatunk biztonsági javításokról, és a webhelyünk sérülékennyé válhat. A frissítéseket ilyenkor nekünk kell nyomon követnünk, letöltenünk, és manuálisan feltöltenünk a webhelyünkre.

Némely GPL piacok belepiszkálnak a kiegészítők a kódjába, vagy esetleg adnak egy extra “frissítő” plugint, hogy a frissítések kezelését megkönnyítsék.

Hiányzó funkciók

Az API kapcsolatot igénylő funkciókhoz általában érvényes licenc kulcs kell, és ezt a korlátozást nem lehet kikerülni, mivel a fejlesztő szerverén történik a validáció. Emiatt a nulled és GPL piacos kiegészítők általában nem teljesértékűek, némely funkciók általában elérhetetlenek maradnak. Ha olyan szinten az API-ra épül a funkcionalitás, akkor akár a teljes plugin is használhatatlan lehet érvényes kulcs nélkül.

Support hiánya

A GPL piacokra jellemző, hogy semmiféle technikai segítséget nem nyújtanak a termékekhez. Ha hibába ütközünk a szoftver használata során, vagy bármilyen segítségre van szükségünk, akkor csak magunkra számíthatunk. Vagy megbízhatunk egy szakértőt is, de azzal árban már nagyjából ott leszünk, vagy még feljebb is, mint ha megvásároltuk volna az eredeti szoftvert – amihez általában jár a support is.

Összefoglalás

A GPL piacok jogi és etikai szempontból is aggályosak, és visszaélnek a GPL licenc nyújtotta szabadsággal. Support nem jár hozzájuk és kártékony kódot is tartalmazhatnak. Tesztelésre esetleg alkalmasak lehetnek. Ne éles site-on teszteljünk, és ne is ugyanazon a szerveren, amin egy éles site megtalálható. A nulled kiegészítőket kínáló webhelyeket pedig messziről kerüljük el.

Nyilatkozat: a szerző nem a jog szakértője és ez a cikk nem minősül jogi tanácsadásnak.


WordPress GPL GYIK

A WordPress-szel és a GPL licenccel kapcsolatos, gyakran feltett kérdések és a válaszok, röviden összefoglalva:

Mi az, hogy nulled WordPress bővítmény?

A “nulled”, vagyis feltört WordPress bővítményekből vagy sablonokból elvileg kiiktatták a felhasználó és a licenc azonosításáért, és/vagy a funkciók limitálásáért felelős kódokat.

Mik a GPL pakkos WordPress sablonok és bővítmények?

A “GPL club”, “starter pack”, és egyéb neveken árult csomagok fizetős bővítményeket és/vagy sablonokat tartalmaznak, töredékáron. Ezeket engedély nélkül árulják, és a használatuk számos veszéllyel és hátránnyal járhat.

A nulled WordPress plugin biztonságos?

A nulled, vagyis feltört sablonok és bővítmények nagy eséllyel tartalmaznak kártékony kódot. Nulled WordPress sablonokat és bővítményeket kínáló webhelyekről soha ne telepítsünk semmit a saját webhelyünkre.

A GPL piacos WordPress bővítmény legális?

A GPL piacok legalitása kérdéses, “legális szürkezónába” tartoznak. Bizonyos esetekben illegális is lehet.

A ThemeForesten vásárolt sablon biztonságos?

Igen, a ThemeForest és a CodeCanyon megbízható, legális források. Ezek nem sorolhatók egy csoportba a GPL piacokkal.

A GPL piacos WordPress bővítmény ugyanaz, mint az eredeti?

A GPL pakkos bővítmény általában nem egyenértékű az eredetivel. A letöltött kód lehet az eredetivel megegyező, de lehetnek benne módosítások is, vagy akár kártékony plusz kódokat is tartalmazhat. Eredeti érvényes licenc kulcs nélkül a bővítmény bizonyos funkciói is hiányozhatnak.


A Szerzőről
Piller Balázs senior webfejlesztő, SEO specialista, és a WordPress szakértője. Számos sikeres projektben vett részt vezető fejlesztőként. Az általa írt kód jelenleg több mint 1 000 000 webhelyen fut.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük