puoi creare siti Web per banche con WordPress: spiega Matt Mullenweg

Pubblicato: 2016-02-26

È possibile creare un sito web per banche utilizzando WordPress? Dovresti usare WordPress per creare siti Web bancari. Costruire diversi tipi di siti Web è facile, ma puoi creare siti Web per banche con WordPress. In questo articolo condividerò ciò che gli esperti di WordPress hanno da dire?

Abbiamo già pubblicato un post sul blog approfondito che puoi utilizzare WordPress per creare più di 30 tipi di sito Web. Puoi utilizzare WordPress per creare qualsiasi tipo di sito Web, da un semplice blog a un complesso sito di social networking come Facebook.

Ulteriori informazioni: Lo sai: puoi creare oltre 35 tipi di siti Web con WordPress

In questo articolo condivideremo ciò che uno sviluppatore WordPress esperto ed esperto ha da dire: WordPress per siti Web bancari Sì o No.

È possibile creare siti Web per banche con WordPress, ma la maggior parte degli sviluppatori esperti afferma che dovresti utilizzare WordPress solo per l'uso front-end.

Qualcuno ha posto questa domanda su Quora: Sto alimentando il sito Web di una banca utilizzando WordPress. Quali misure di sicurezza devo adottare?

Al momento della stesura di questo articolo (febbraio 2016), 34 persone hanno risposto a questa domanda. La risposta più popolare con oltre 85.000 visualizzazioni è stata scritta da Matt Mullenweg co-fondatore di WordPress e fondatore di Automatic. Questa risposta è stata scritta il 16 aprile 2015.

Puoi usare WordPress per creare un sito Web per le banche: ha risposto Matt Mullenweg

85.400 visualizzazioni e oltre 550 voti positivi a febbraio 2016

Costruisci il sito web della banca con WordPress
Costruisci il sito web della banca con WordPress

Sono d'accordo che probabilmente non ci sono molti vantaggi nell'avere la parte banking online / billpay / ecc. del sito Web di una banca su WordPress, tuttavia non c'è motivo per cui non potresti eseguire il lato front-end e marketing del sito su WordPress e in effetti, sfrutterai la forza di WordPress come piattaforma di gestione dei contenuti flessibile, personalizzabile e facile da aggiornare e mantenere.

In termini di sicurezza, ci sono due semplici punti:

  1. Assicurati di utilizzare l'ultima versione di core e tutti i plugin che esegui e aggiorna non appena la nuova versione diventa disponibile.
  2. Usa password complesse per tutti gli account utente. Per credito extra puoi abilitare un plug-in di verifica a 2 fattori, utilizzare il sistema di accesso http://WordPress.com di Jetpack o limitare gli utenti che hanno effettuato l'accesso a un determinato intervallo IP (come dietro una VPN).

Ulteriori informazioni: 30 plugin gratuiti per WordPress più popolari

Se il tuo host non lo gestisce, assicurati di rimanere aggiornato per tutto ciò che è nel tuo stack e dal sistema operativo in poi.

La maggior parte degli host WP moderni gestisce questo (e gli aggiornamenti) per te e, naturalmente, puoi sempre eseguire il tuo sito su WordPress.com VIP insieme ad alcuni dei migliori siti al mondo.

Se si utilizza un codice di terze parti non principale, non c'è nulla di male nel fatto che una società di sicurezza controlli anche la fonte (un vantaggio dell'utilizzo dell'open source).

Per un esempio di un sito Web bancario bello e reattivo basato su WordPress, dai un'occhiata a Gateway Bank of Mesa AZ.

WordPress è anche considerato affidabile per gestire siti per alcune delle organizzazioni più grandi e più attente alla sicurezza al mondo, tra cui Facebook, SAP, The Intercept di Glenn Greenwald, eBay, McAfee, Sophos, GNOME, Mozilla, MIT, Reuters, CNN, Google Ventures , la NASA e letteralmente centinaia di altri.

Essendo il CMS più utilizzato al mondo, molte persone utilizzano e implementano la versione open source di WordPress in modo non ottimale e non sicuro, ma lo stesso si può dire di Linux, Apache, MySQL, Node, Rails, Java o qualsiasi software ampiamente utilizzato.

È possibile e in realtà non così difficile eseguire WordPress in un modo sufficientemente sicuro per una banca, un sito governativo, un sito di media o qualsiasi altra cosa.

Se hai bisogno di aiuto su questo, sentiti libero di contattare anche Automattic, ora abbiamo un decennio di esperienza nell'affrontare implementazioni ad alto rischio e su larga scala e anche affrontare il tipo di FUD disinformato che vedi in questo thread.

La risposta di Matt è stata votata positivamente da alcuni dei migliori sviluppatori, tra cui Yair Livne, Director of Product Management di Quora, David Cole Director of Design di Quora, Joel Lewenstein Product Designer di Quora.

Utilizzo di WordPress per creare un sito Web per le banche: cosa dice un altro sviluppatore

Dopo aver letto molte risposte, ho scoperto che alla maggior parte degli sviluppatori di WordPress non piace l'idea di utilizzare WordPress per creare un sito Web per le banche. C'erano molte ragioni. Consentitemi di condividere alcune altre risposte popolari.

Leonid S. Knyshov, sviluppatore JavaScript principalmente su Meteor ha scritto

51.400 visualizzazioni e oltre 200 voti positivi a febbraio 2016

Costruire un sistema che abbia accesso ai conti bancari dei clienti su WordPress è solo una pessima idea.

Per favore, non farlo. Puoi certamente eseguire il blog della banca su di esso su un sistema fisicamente separato, ma tutto ciò che tocca gli accessi dei clienti non dovrebbe essere costruito su quella piattaforma.
WordPress è composto da:

  • Nucleo
  • Tema
  • Plugin

Sebbene la sicurezza del core riceva molta attenzione, ciò non è sufficiente. È così grande e così facile da estendere in modo errato che gli aggressori adorano sfruttarlo.

Ulteriori informazioni: come scegliere un tema WordPress gratuito o premium perfetto

La maggior parte dei siti WordPress utilizza anche un tema e plug-in WordPress. Ciò che la maggior parte delle persone non si rende conto è che il tema contiene sempre codice PHP e non solo uno stile di presentazione. Non c'è sufficiente attenzione alla sicurezza del tema con poche eccezioni.

Anche i plugin di WordPress ricevono un'attenzione insufficiente per la sicurezza con poche eccezioni.

Di conseguenza, un utente malintenzionato può e utilizzerà le impronte digitali e sfrutterà i tuoi temi e plug-in.

Se non desideri utilizzare temi e plugin, non hai motivo di utilizzare WordPress e puoi scegliere un framework noto per la sua sicurezza.

Scrivere l'accesso al conto bancario come plugin di WordPress non ha senso.

Petr Chloupek osserva l'utilizzo di WordPress per i siti Web bancari

13.000 visualizzazioni

Presumo che per sito web intendi davvero un sito web, non un sito di internet banking. In tal caso questi scenari esistono altrove. Prima di tutto dovrebbero esserci persone con una reale comprensione della sicurezza informatica. Dovresti parlare con loro.

È necessario dividere rigorosamente l'ambiente di Internet banking e l'ambiente del sito Web (reti diverse). Una definizione di "sicurezza" è che l'oggetto non può essere utilizzato per scopi diversi da quello per cui è stato progettato e che non è possibile limitarne la funzionalità senza autorizzazione (come l'attacco DOS).

Questo in generale significa che dovresti filtrare le persone che vogliono sovraccaricare il sito e che vuoi non consentire modifiche non autorizzate e dovresti essere in grado di rilevare tutte le modifiche.

Dovresti essere su https (ovvio) con un certificato valido, dietro il firewall, dovresti avere test di sicurezza automatizzati, dovresti controllare il traffico di rete e dovresti controllare il sistema (essere aggiornato, registrare sia le modifiche del sistema che le modifiche del database ad alcuni altro sistema).

Se possibile, rendere il file system di sola lettura e limitare i diritti dell'utente con cui viene eseguita la presentazione Web. Ritaglia tutto ciò che non ti serve (plugin, ecc.).

Avere procedure per eventuali modifiche (insieme limitato di persone, un modo per aggiornare le cose, registrare tutto). Fai tutto questo in coordinamento con gli esperti di sicurezza, ci sono molti dettagli e ci vorranno anni per conoscerli meglio di loro.

Oscar Gonzalez, esperto di WordPress

12,6k Visualizzazioni

Sono un evangelista di WP e il 99% delle volte e penso che sia fattibile con WP. Tuttavia, secondo Leonid S. Knyshov. Non perché WP sia intrinsecamente negativo, ma perché se stai chiedendo come farlo qui, in Quora, probabilmente non hai le risorse per farlo bene, indipendentemente dalla risposta che ti diamo.

Se stai solo costruendo il sito aziendale frontale per la banca, allora fallo. Segui tutte le pratiche di sicurezza standard. Blocca le aree di amministrazione, i nomi utente e le password forti, ottieni i certificati SSL installati e riduci al minimo l'uso dei plug-in.

NON inserire qui i dati del cliente o l'accesso del cliente. Il sito dovrebbe essere servito anche fisicamente dall'esterno della rete della banca; non dovrebbe trovarsi nello stesso server o rete interna dei sistemi dell'altra banca.

Un buon punto di partenza è esaminare la documentazione e i servizi di questi ragazzi: Sucuri Security

Ulteriori informazioni: come recuperare un sito Web WordPress hackerato?

I siti finanziari e sanitari sono molto sensibili e, indipendentemente dalla piattaforma, hanno bisogno di un team di persone per eseguirli correttamente.

Puoi farlo con WordPress? Certo, ma è davvero necessario coinvolgere un forte sviluppatore orientato alla sicurezza o un team di sviluppatori, insieme alla parte della sicurezza di rete dell'azienda, e l'azienda deve essere coinvolta in questo.

Fonte

Quora: Sto alimentando il sito Web di una banca utilizzando WordPress. Quali misure di sicurezza devo adottare?

Cosa ne pensi

Ora hai letto cosa hanno da dire gli esperti di WordPress? pensi che sia una buona idea creare siti web per banche con WordPress.