Cómo crear plugins/temas de pago y venderlos de forma segura

3 minutos de lectura

Estoy en proceso de crear una pasarela de pago para drupal/wordpress/magento. Ya tengo clientes que quieren usar mi complemento. Debido a que este es un trabajo pagado, quiero protegerlo para que no se use en otros sitios web.

También he visto que muchos proveedores que venden temas, módulos y complementos deben ingresar la clave API.

¿Cómo puedo hacer lo mismo? ¿Qué necesito en mi lado del servidor? Sé cómo crear módulos, pero no sé cómo venderlos de forma segura y entregar actualizaciones periódicas.

Si hay un libro sobre esto, por favor hágamelo saber.

avatar de usuario
Eran Galperín

No estoy familiarizado con ningún libro sobre el tema, pero les diré lo que he visto como uno de los fundadores de una mercado de componentes/complementos que tiene muchos complementos de este tipo.

Hay algunos enfoques –

  1. Algunos complementos no requieren una clave API en absoluto. El complemento solo está disponible después de la compra o tiene algunas limitaciones en la versión descargable gratuita que anima a las personas a pagar por la versión comercial. Este enfoque se basa más en la integridad de las personas y en la baja motivación para intentar convertir la versión gratuita en una versión comercial, especialmente si no son usuarios técnicos (como lo son muchos usuarios de CMS).
  2. Configure una verificación contra su servidor que ocurra periódicamente. No necesita una API completa para esto, solo configure un punto final en su servidor para que el complemento pueda enviar la clave API y, de acuerdo con la respuesta, permita el uso del complemento. Debe planificarlo para que esta verificación no ocurra cada vez que se ejecuta el complemento, especialmente si se trata de un complemento que se ejecuta en el sitio público y no solo en el panel de administración; degradará seriamente el rendimiento de el sitio usándolo y crear una carga innecesaria en su servidor. Use algún tipo de verificación basada en el tiempo, ya sea absolutamente o desde el momento de la última verificación.
  3. Además de realizar una verificación de la API, o en lugar de hacerlo, algunas personas ofuscarán su código para que sea más difícil modificarlo y omitir la verificación. Esto a menudo requiere que el servidor tenga instalado un módulo que pueda analizar los archivos ofuscados; este requisito a menudo lo hace menos viable para la mayoría de las personas. Puede ver algunos ejemplos de ofuscadores en otra pregunta.

Personalmente, me inclino más por la primera opción, ya que alguien lo suficientemente decidido romperá cualquier protección que le pongas (la gente rompe soluciones mucho más complicadas en muy poco tiempo). Este es uno de los problemas de entregar código fuente en lugar de binarios (y los piratas informáticos más experimentados los rompen con la misma facilidad). Deje que los que estén dispuestos paguen, y los demás simplemente déjenlos hacer lo que quieran, ya que de todos modos no podrá crear algo realmente seguro.

  • Tienes toda la razón sobre la parte, las personas rompen el código sin importar qué. Bueno, usar una clave API también me permitirá realizar un seguimiento de los sitios web que usan mi código y, por supuesto, las personas que necesitan soporte pagarán.

    – Nikhil

    15 de agosto de 2011 a las 10:33

¿Ha sido útil esta solución?