¿Se pueden crear sitios web para bancos con WordPress?: Matt Mullenweg explica

Publicado: 2016-02-26

¿Es posible construir un sitio web para bancos usando WordPress? ¿Debe utilizar WordPress para crear sitios web bancarios? Crear diferentes tipos de sitios web es fácil, pero ¿puede crear sitios web para bancos con WordPress? En este artículo, voy a compartir lo que los expertos de WordPress tienen que decir.

Ya hemos publicado una publicación de blog detallada que puede usar WordPress para crear más de 30 tipos de sitios web. Puede usar WordPress para crear cualquier tipo de sitio web, desde un simple blog hasta un complejo sitio web de redes sociales como Facebook.

Lea más: ¿Sabe usted? Puede crear más de 35 tipos de sitios web con WordPress

En este artículo vamos a compartir lo que dice un desarrollador experto y experimentado de WordPress: WordPress para sitios web bancarios, sí o no.

Es posible crear sitios web para bancos con WordPress, pero la mayoría de los desarrolladores expertos dicen que debe usar WordPress solo para uso frontal.

Alguien hizo esta pregunta en Quora: Estoy impulsando el sitio web de un banco usando WordPress. ¿Qué medidas de seguridad debo tomar?

Al momento de escribir este artículo (febrero de 2016), 34 personas respondieron esta pregunta. La respuesta más popular con más de 85 000 visitas está escrita por Matt Mullenweg, cofundador de WordPress y fundador de Automatic. Esta respuesta fue escrita el 16 de abril de 2015.

¿Puedes usar WordPress para crear un sitio web para bancos?: Matt Mullenweg respondió

85.4k vistas y más de 550 votos a partir de febrero de 2016

Crear sitio web bancario con WordPress
Crear sitio web bancario con WordPress

Estoy de acuerdo en que probablemente no haya muchos beneficios en tener la parte de banca en línea / pago de facturas / etc. del sitio web de un banco en WordPress, sin embargo, no hay ninguna razón por la que no pueda ejecutar el lado frontal y de marketing del sitio en WordPress, y de hecho, estaría aprovechando la fuerza de WordPress como una plataforma de administración de contenido que es flexible, personalizable y fácil de actualizar y mantener.

En términos de seguridad, hay dos puntos simples:

  1. Asegúrese de tener la última versión de Core y todos los complementos que ejecuta, y actualice tan pronto como haya una nueva versión disponible.
  2. Utilice contraseñas seguras para todas las cuentas de usuario. Para obtener crédito adicional, puede habilitar un complemento de verificación de dos factores, usar el sistema de inicio de sesión http://WordPress.com de Jetpack o restringir a los usuarios registrados a un cierto rango de IP (como detrás de una VPN).

Lectura adicional: 30 complementos gratuitos de WordPress más populares

Si su host no lo maneja, asegúrese de mantenerse actualizado para todo en su pila, así como desde el sistema operativo en adelante.

La mayoría de los hosts de WP modernos manejan esto (y las actualizaciones) por usted y, por supuesto, siempre puede ejecutar su sitio en WordPress.com VIP junto con algunos de los mejores sitios del mundo.

Si utiliza cualquier código de terceros no central, no hay problema en que una empresa de seguridad también audite la fuente (una ventaja de usar código abierto).

Para ver un ejemplo de un sitio web bancario hermoso y receptivo creado en WordPress, consulte Gateway Bank of Mesa AZ.

También se confía en WordPress para ejecutar sitios para algunas de las organizaciones más grandes y más preocupadas por la seguridad del mundo, incluidas Facebook, SAP, The Intercept de Glenn Greenwald, eBay, McAfee, Sophos, GNOME, Mozilla, MIT, Reuters, CNN, Google Ventures. , NASA, y literalmente cientos más.

Como el CMS más utilizado en el mundo, muchas personas usan e implementan la versión de código abierto de WordPress de una manera subóptima e insegura, pero lo mismo podría decirse de Linux, Apache, MySQL, Node, Rails, Java o cualquier software ampliamente utilizado.

Es posible, y en realidad no es tan difícil, ejecutar WordPress de una manera que sea lo suficientemente segura para un banco, un sitio del gobierno, un sitio de medios o cualquier cosa.

Si desea ayuda con esto, no dude en comunicarse con Automattic también, tenemos una década de experiencia en el manejo de implementaciones de alto riesgo y gran escala, y también abordamos el tipo de FUD desinformado que ve en este hilo.

La respuesta de Matt es votada a favor por algunos de los principales desarrolladores, incluidos Yair Livne, director de gestión de productos en Quora, David Cole, director de diseño en Quora, Joel Lewenstein, diseñador de productos en Quora.

Uso de WordPress para crear un sitio web para bancos: lo que dice otro desarrollador

Después de leer muchas respuestas, descubrí que a la mayoría de los desarrolladores de WordPress no les gusta la idea de usar WordPress para crear un sitio web para los bancos. Había muchas razones. Permítanme compartir algunas otras respuestas populares.

Leonid S. Knyshov, desarrollador de JavaScript principalmente en Meteor escribió

51.4k vistas y más de 200 votos a partir de febrero de 2016

Construir un sistema que tenga acceso a las cuentas bancarias de los clientes además de WordPress es simplemente una idea espectacularmente mala.

Por favor, no hagas eso. Ciertamente, puede ejecutar el blog del banco en un sistema físicamente separado, pero cualquier cosa que toque los inicios de sesión de los clientes no debe construirse en esa plataforma.
WordPress consta de:

  • Centro
  • Tema
  • Complementos

Si bien la seguridad del núcleo recibe mucha atención, eso no es suficiente. Es tan grande y tan fácil de extender incorrectamente que a los atacantes les encanta explotarlo.

Lectura adicional: Cómo elegir un tema de WordPress gratuito o premium perfecto

La mayoría de los sitios de WordPress también usan un tema y complementos de WordPress. Lo que la mayoría de la gente no se da cuenta es que el tema siempre contiene código PHP y no solo el estilo de presentación. No se presta suficiente atención a la seguridad de los temas, con pocas excepciones.

Los complementos de WordPress tampoco reciben suficiente atención por seguridad, con pocas excepciones.

Como resultado, un atacante puede y tomará huellas dactilares y explotará sus temas y complementos.

Si no desea usar temas y complementos, entonces no tiene motivos para usar WordPress y puede elegir un marco conocido por su seguridad.

Escribir el acceso a la cuenta bancaria como complementos de WordPress no tiene sentido.

Petr Chloupek opina sobre el uso de WordPress para sitios web bancarios

13k vistas

Supongo que por sitio web te refieres realmente a un sitio web, no a un sitio de banca por Internet. En ese caso, estos escenarios existen en otros lugares. En primer lugar, debe haber algunas personas con un conocimiento real de la seguridad informática. Deberías hablar con ellos.

Debe dividir estrictamente el entorno de banca por Internet y el entorno de su sitio web (diferentes redes). Una definición de "seguridad" es que la cosa no se puede usar para otro fin que no sea para el que fue diseñado y que no se puede limitar su funcionalidad sin autorización (como un ataque DOS).

En general, esto significa que debe filtrar a las personas que desean sobrecargar el sitio y que desea prohibir los cambios no autorizados y debe poder detectar todos los cambios.

Debe estar en https (obvio) con un certificado válido, detrás del firewall, debe tener pruebas de seguridad automatizadas, debe controlar el tráfico de la red y debe controlar el sistema (estar actualizado, registrar tanto los cambios del sistema como los cambios en la base de datos en algunos otro sistema).

Si es posible, haga que el sistema de archivos sea de solo lectura y limite los derechos del usuario bajo el cual se ejecuta la presentación web. Elimina todo lo que no necesites (complementos, etc.).

Tenga procedimientos para cualquier cambio (conjunto limitado de personas, una forma de actualizar las cosas, registrar todo). Haz todo esto en coordinación con los expertos en seguridad, hay muchos detalles y te llevará años saberlo mejor que ellos.

Óscar González, experto en WordPress

12.6k Vistas

Soy un evangelista de WP y el 99% del tiempo y creo que es factible con WP. Sin embargo, secundo a Leonid S. Knyshov. No porque WP sea intrínsecamente malo, sino porque si está preguntando cómo hacer eso aquí, en Quora, probablemente no tenga los recursos para hacerlo bien, sin importar la respuesta que le demos.

Si solo está creando el sitio corporativo frontal para el banco, hágalo. Siga todas las prácticas de seguridad estándar. Bloquee áreas de administración, nombres de usuario y contraseñas fuertes, instale certificados SSL y minimice el uso de complementos.

NO coloque datos de clientes o acceso de clientes aquí. El sitio también debe ser atendido físicamente desde fuera de la red del banco; no debe estar en el mismo servidor o red interna que cualquiera de los sistemas del otro banco.

Un buen lugar para comenzar es revisar la documentación y los servicios de estos tipos: Sucuri Security

Leer más: ¿Cómo recuperar un sitio web de WordPress pirateado?

Los sitios financieros y de salud son muy sensibles e independientemente de la plataforma, necesitan un equipo de personas para ejecutarlos correctamente.

¿Puedes hacerlo con WordPress? Claro, pero realmente necesita involucrar a un desarrollador sólido orientado a la seguridad, o a un equipo de desarrolladores, junto con la parte de seguridad de la red del negocio, y el negocio debe estar involucrado en esto.

Fuente

Quora: Estoy impulsando el sitio web de un banco usando WordPress. ¿Qué medidas de seguridad debo tomar?

Qué opinas

¿Ahora has leído lo que dicen los expertos de WordPress? ¿Crees que es una buena idea crear sitios web para bancos con WordPress?