Het Pipdig schandaal: wat is er aan de hand?

Pipdig schandaal

Eind maart kwam het bedrijf Pipdig in opspraak. Pipdig is bekend om hun blog themes. De beschuldigingen aan het adres van Pipdig zijn niet mis. Heb jij een theme van Pipdig? Dan is onderstaande informatie denk ik zeker interessant.

Waarvan wordt Pipdig beschuldigd?

Pipdig wordt ervan beschuldigd onethische en kwaadaardige codes in hun theme en/of plugin te stoppen waarmee ze kwalijke dingen (kunnen) doen. Onder andere:

  • Pipdig kan zichzelf inloggen via jouw admin dashboard, omdat ze een code hebben waarmee ze je wachtwoord kunnen aanpassen. Die code is vermomd als de tekst ‘Check social links’.
  • Jouw blog is met behulp van zo’n code gebruikt om de competitie van Pipdig last te vallen met DDoS aanvallen.
  • Pipdig kan de database van je WordPress blog verwijderen. Dit wordt ook wel de kill switch genoemd.
  • Zo gauw je hun P3 plugin installeert en activeert worden automatisch een aantal andere plugins gedeactiveerd. En heractiveren lukt niet.
  • Afhankelijk van je host wordt de cache functie uitgeschakeld op je blog, waardoor je blog trager gaat laden. Je krijgt dan een bericht dat je blog traag laad, en dat je Pipdig hosting kunt gebruiken voor een sneller blog. Dit gebeurt bijvoorbeeld als je Bluehost als host hebt.
  • Als jij in een blogpost linkt naar blogerize.com dan zorgt de code van Pipdig ervoor dat de link naar hun website leidt.

Let wel: dit zijn beschúldigingen. Pipdig ontkent, en zegt dat de feiten verkeerd en negatief geïnterpreteerd worden en dat ze daar heel verdrietig van worden.

Meer weten over het Pipdig schandaal?

Wordfence kwam met het eerste artikel getiteld Peculiar PHP Present In Popular Pipdig Power Pack (P3) Plugin. Een paar uur later verscheen een nog wat diepgaander artikel van blogger Jem met dezelfde bevindingen. Jems artikel Security alert: pipdig insecure, DDoSing competitors gaat nog wat dieper in op de kwestie.

Het was overigens toevallig dat zowel Wordfence als Jem rond dezelfde tijd met hun post over Pipdig kwamen. Jen ontdekte de kwestie naar aanleiding van een vraag van een klant, die klaagde dat haar blog zo traag laadde. Wordfence ging op onderzoek uit naar aanleiding van een anonieme tip.

Podcast van Wordfence over het Pipdig schandaal

In onderstaande podcast wordt precies verteld wat er nou precies ontdekt werd in de Pipdig themes.

Wat zegt Pipdig zelf?

Pipdig reageert geschokt op de beschuldigingen. Ze hebben hun P3 plugin aangepast, en een deel van de kwalijke code schijn er nu uit te zijn. Het probleem is alleen, zoals ik het begrijp, dat het bewijs dat ze iets gedaan hebben dat niet door de beugel kan sterk is.  Ook opvallend is dat Pipdig blogger Jem beschuldigt van smaad, maar niets zegt over het gerespecteerde Wordfence. Er wordt gespeculeerd dat Jem een makkelijker slachtoffer is om achteraan te gaan dan een bekend bedrijf als Wordfence.

Lees hier de reactie van Pipdig: A public response to some serious accusations. Pipdig heeft inmiddels ook antwoord gegeven op de verschillende beschuldigingen, zoals ik die noemde bovenaan deze post. Hun antwoorden klinken geloofwaardig, maar toch.

Wat betekent dit voor jou als blogger?

Pipdig verkoopt zowel themes voor WordPress als Blogger bloggers. In eerste instantie werd er gezegd dat Blogger bloggers zich niet druk hoefden te maken, maar inmiddels zijn er meldingen dat ook in Blogger themes verkeerde code is gevonden. Hieronder een overzicht van je opties.

  1. Je bent tevreden over je theme, je hebt vertrouwen in Pipdig, en je hebt geen zin in gedoe. Je houdt dus gewoon je theme.
  2. Je bent tevreden over je theme, maar je wilt een bedrijf dat beschuldigt wordt van dit soort zaken niet ‘steunen’ door hun theme te gebruiken.
  3. Je vindt het eng om een theme te gebruiken dat mogelijk een ‘kill switch’ heeft waarmee je hele blog verwijderd wordt.
  4. Je wilt geen theme waarin verdachte codes zitten.

Dit adviseert Wordfence:

‘Wordfence recommends removing all Pipdig content from your sites, both WordPress and Blogger. Pipdig has demonstrated a willingness to abuse users’ resources to execute unethical, and potentially illegal, activity. Furthermore their repeated denial of solid evidence, and subsequent attempts to conceal it, leave us unable to trust them in the future.’

Als je je zorgen maakt over je Pipdig theme

WordPress bloggers

Deactiveer als eerste de P3 plugin, en verwijder hem vervolgens. Activeer daarna een ander theme, en verwijder vervolgens het Pipdig theme. Wil je je Pipdig theme houden? Zorg dan dat je de P3 plugin update naar versie 4.9.0 daarin zit in ieder geval niet meer de ‘kill switch’. Ook kun je een speciale plugin downloaden die de P3 plugin neutraliseert.

Blogger bloggers

Verwijder specifieke Pipdig widgets van je blog, en kies een ander theme want ook Blogger themes van Pipdig staan onder verdenking. Op de site van Wordfence schrijven ze:

‘Every time a visitor reaches any site running a Blogger theme from Pipdig using this script*, their browser would fire an additional request to their competitor’s site. This request hides where it came from, hits a literally randomized file on the competitor’s server, and does nothing with the data. This behavior is hidden not only from the visitors to these sites, but to the owners of these sites as well.’

Geld terug krijgen van Pipdig

Al voor het het Pipdig schandaal kon je op de site van Pipdig lezen dat refunds niet mogelijk zijn:’Due to the digital nature of our products, there will be no refunds of any kind for the services listed on this website.’ Maar bloggers die vrij recent (minder dan 180 dagen geleden) een Pipdig theme hebben gekocht kunnen proberen hun geld terug te krijgen via Paypal. Je moet dan eerst Pipdig mailen met een verzoek om je geld terug te krijgen. Als ze dat weigeren kun je een geschil openen op Paypal, of bij je creditcardmaatschappij.

2 Alternatieven voor Pipdig

  • Genesis themes van Studiopress hebben een goede naam.
  • De themes in de WordPress.org directory zijn gratis en in principe betrouwbaar. Bijvoorbeeld: Chic Lifestyle of Blossom Feminine.

Pipdig schandaal samenvatting

Pipdig kwam negatief in het nieuws, omdat er ‘malicious codes’ in hun themes zijn gevonden. De meeste bloggers zal zoiets niet opvallen, omdat ze vooral met bloggen bezig zijn en veel minder met technische aspecten. Dat is ook waarom je als blogger graag vertrouwt op een betrouwbaar bedrijf, waarbij je ervan uitgaat dat je hen kunt vertrouwen. Daarom zijn de gebeurtenissen rondom Pipdig ook zo schokkend: het vertrouwen is beschaamd.

Omdat met name Wordfence een toonaangevend bedrijf is met een goede reputatie, die géén concurrent is van Pipdig, kan en wil ik de beschuldigingen aan het adres van Pipdig niet zo maar naast me neerleggen. Zelfs al klinkt de verdediging op hun blog best zinnig.

Ik heb er daarom voor gekozen om het Pipdig theme dat ik op mijn Blogger blogs momlit.nl en demamablogsdemamablogs had, te vervangen.

Zo neem ik het zekere voor het onzekere.

N.B. Als je je blog host bij Pipdig wordt ook geadviseerd voor een andere host te kiezen.

*Call to the JavaScript files that cause a DDoS against a competitors site.

Bij wie heb jij jouw blog theme gekocht? En wat vind je van het Pipdig schandaal?

7 Responses to Het Pipdig schandaal: wat is er aan de hand?

  1. Zo, dit is schokkend, zeg! Ik heb (nog) geen blog, maar als ik een pipdig-theme had zou ik die meteen verwijderd hebben na het lezen van deze blogpost.
    Goed van je dat je er zo bovenop zit en het met ons deelt!

    Fijne Paasdagen!

  2. Ik ben dus na jaren uitstellen, net vorige maand overgestapt van blogger naar WordPress. En ja hoor omdat iedereen er laaiend enthousiast over was , gekozen voor een Pipdig theme.
    Ik baal hier dus ontzettend van en denk erover om te kijken of ik mijn geld terug kan krijgen.

Leave a reply