czy potrafisz budować strony internetowe dla banków za pomocą WordPressa: Matt Mullenweg wyjaśnia?

Opublikowany: 2016-02-26

Czy za pomocą WordPressa można zbudować stronę internetową dla banków? Jeśli używasz WordPressa do tworzenia stron internetowych banków. Budowanie różnego rodzaju stron internetowych jest łatwe, ale możesz tworzyć strony internetowe dla banków za pomocą WordPressa. W tym artykule podzielę się tym, co mają do powiedzenia eksperci WordPressa?

Opublikowaliśmy już obszerny post na blogu, w którym możesz użyć WordPressa do zbudowania ponad 30 typów witryn internetowych. Możesz użyć WordPressa do zbudowania dowolnego rodzaju strony internetowej, od prostego bloga do złożonego serwisu społecznościowego, takiego jak Facebook.

Czytaj dalej: Czy wiesz, że za pomocą WordPressa możesz zbudować ponad 35 rodzajów stron internetowych

W tym artykule podzielimy się tym, co ma do powiedzenia ekspert i doświadczony programista WordPress: WordPress dla stron bankowych Tak lub Nie.

Możliwe jest budowanie stron internetowych dla banków za pomocą WordPressa, ale większość doświadczonych programistów twierdzi, że powinieneś używać WordPressa tylko do użytku front-end.

Ktoś zadał to pytanie na Quora: zasilam witrynę banku za pomocą WordPressa. Jakie środki bezpieczeństwa powinienem podjąć?

W momencie pisania tego artykułu (luty 2016) 34 osoby odpowiedziały na to pytanie. Najpopularniejszą odpowiedź z ponad 85 000 wyświetleń napisał Matt Mullenweg, współzałożyciel WordPressa i założyciel Automatic. Ta odpowiedź została napisana 16 kwietnia 2015 r.

Czy możesz użyć WordPressa do stworzenia strony internetowej dla banków : Matt Mullenweg odpowiedział?

85,4 tys. wyświetleń i 550+ głosów w górę od lutego 2016 r.

Zbuduj stronę internetową banku za pomocą WordPress
Zbuduj stronę internetową banku za pomocą WordPress

Zgadzam się, że prawdopodobnie nie ma wielu korzyści z posiadania części bankowości internetowej / billpay / itp. strony internetowej banku na WordPress, jednak nie ma powodu, dla którego nie można by uruchomić strony front-endowej i marketingowej witryny na WordPress, oraz w rzeczywistości wykorzystałbyś siłę WordPressa jako platformy do zarządzania treścią, która jest elastyczna, konfigurowalna i łatwa w aktualizacji i utrzymaniu.

W kwestii bezpieczeństwa istnieją dwa proste punkty:

  1. Upewnij się, że korzystasz z najnowszej wersji jądra i wszystkich wtyczek, które uruchamiasz, i aktualizuj, gdy tylko nowa wersja będzie dostępna.
  2. Używaj silnych haseł do wszystkich kont użytkowników. Aby uzyskać dodatkowy kredyt, możesz włączyć wtyczkę weryfikacji dwuskładnikowej, użyć systemu logowania http://WordPress.com Jetpack lub ograniczyć zalogowanych użytkowników do określonego zakresu adresów IP (jak za VPN).

Czytaj dalej: 30 najpopularniejszych darmowych wtyczek WordPress

Jeśli Twój host nie obsługuje tego, upewnij się, że jesteś na bieżąco ze wszystkim w swoim stosie, od systemu operacyjnego w górę.

Większość nowoczesnych hostów WP obsługuje to (i aktualizacje) za Ciebie i oczywiście zawsze możesz uruchomić swoją witrynę na WordPress.com VIP obok niektórych z najlepszych witryn na świecie.

Jeśli używasz dowolnego kodu innej firmy, który nie jest podstawowym elementem, nie zaszkodzi, jeśli firma zajmująca się bezpieczeństwem również przeprowadzi audyt źródła (zaleta korzystania z otwartego źródła).

Aby zapoznać się z przykładem pięknej, responsywnej strony bankowej zbudowanej na WordPressie, sprawdź Gateway Bank of Mesa AZ.

WordPress jest również zaufany do prowadzenia witryn dla największych i najbardziej świadomych bezpieczeństwa organizacji na świecie, w tym Facebooka, SAP, Glenn Greenwald's The Intercept, eBay, McAfee, Sophos, GNOME, Mozilla, MIT, Reuters, CNN, Google Ventures , NASA i dosłownie setki innych.

Ponieważ jest to najczęściej używany system CMS na świecie, wiele osób używa i wdraża wersję WordPress o otwartym kodzie źródłowym w sposób nieoptymalny i niepewny, ale to samo można powiedzieć o Linux, Apache, MySQL, Node, Rails, Java lub dowolne powszechnie używane oprogramowanie.

Jest możliwe i wcale nie takie trudne, aby uruchomić WordPressa w sposób, który jest wystarczająco bezpieczny dla banku, witryny rządowej, witryny medialnej lub czegokolwiek.

Jeśli potrzebujesz pomocy w tej sprawie, skontaktuj się również z Automattic, mamy dziesięcioletnie doświadczenie w radzeniu sobie z wdrożeniami o wysokim ryzyku i na dużą skalę, a także zajmując się rodzajem niedoinformowanego FUD, który widzisz w tym wątku.

Odpowiedź Matta została poparta przez jednego z czołowych programistów, w tym Yaira Livne, dyrektora ds. zarządzania produktem w Quora, Davida Cole'a, dyrektora ds. projektowania w Quora, Joela Lewensteina projektanta produktu w Quora.

Korzystanie z WordPressa do budowania strony internetowej dla banków: co mówi inny programista

Po przeczytaniu wielu odpowiedzi stwierdziłem, że większości programistów WordPress nie podoba się pomysł wykorzystania WordPressa do budowy strony internetowej dla banków. Powodów było wiele. Pozwólcie, że podzielę się kilkoma innymi popularnymi odpowiedziami.

Leonid S. Knyshov, programista JavaScript głównie na Meteor napisał

51,4 tys. wyświetleń i ponad 200 głosów od lutego 2016 r.

Zbudowanie systemu, który ma dostęp do kont bankowych klientów na bazie WordPressa, to po prostu spektakularnie zły pomysł.

Proszę, nie rób tego. Z pewnością można na nim prowadzić bloga banku w fizycznie oddzielnym systemie, ale nic, co dotyka logowania klientów, nie powinno być budowane na tej platformie.
WordPress składa się z:

  • Rdzeń
  • Motyw
  • Wtyczki

Chociaż bezpieczeństwo rdzenia cieszy się dużym zainteresowaniem, to nie wystarczy. Jest tak duży i tak łatwy do nieprawidłowego rozszerzenia, że ​​napastnicy uwielbiają go wykorzystywać.

Czytaj dalej: Jak wybrać idealny darmowy lub premium motyw WordPress

Większość witryn WordPress korzysta również z motywu i wtyczek WordPress. Większość ludzi nie zdaje sobie sprawy, że motyw zawsze zawiera kod PHP, a nie tylko styl prezentacji. Niewiele uwagi poświęca się bezpieczeństwu tematu, z kilkoma wyjątkami.

Wtyczki do WordPressa, poza kilkoma wyjątkami, nie poświęcają zbyt wiele uwagi kwestii bezpieczeństwa.

W rezultacie osoba atakująca może i będzie odciskać palca i wykorzystywać Twoje motywy i wtyczki.

Jeśli nie chcesz korzystać z motywów i wtyczek, nie masz powodu, aby korzystać z WordPressa i możesz wybrać framework znany ze swojego bezpieczeństwa.

Pisanie dostępu do konta bankowego jako wtyczek do WordPressa nie ma sensu.

Petr Chloupek myśli o korzystaniu z WordPressa w bankowych witrynach internetowych

13 tys. wyświetleń

Zakładam, że przez stronę internetową masz na myśli naprawdę stronę internetową, a nie stronę bankowości internetowej. W takim przypadku te scenariusze istnieją gdzie indziej. Przede wszystkim powinno być kilka osób, które naprawdę rozumieją bezpieczeństwo komputerowe. Powinieneś z nimi porozmawiać.

Powinieneś ściśle rozdzielić środowisko bankowości internetowej i środowisko Twojej witryny (różne sieci). Jedną z definicji „bezpieczeństwa” jest to, że rzecz nie może być używana do innych celów niż ta, do której została zaprojektowana i nie można ograniczyć jej funkcjonalności bez autoryzacji (jak atak DOS).

Ogólnie oznacza to, że powinieneś odfiltrować osoby, które chcą przeciążyć witrynę i że chcesz zabronić nieautoryzowanych zmian, a także powinieneś być w stanie wykryć wszystkie zmiany.

Powinieneś być na https (oczywiście) z ważnym certyfikatem, za firewallem, powinieneś mieć automatyczne testy bezpieczeństwa, powinieneś kontrolować ruch sieciowy i powinieneś kontrolować system (być na bieżąco, logować zarówno zmiany systemowe, jak i bazy danych do niektórych inny system).

Jeśli to możliwe, ustaw system plików tylko do odczytu i ogranicz uprawnienia użytkownika, na którym działa prezentacja internetowa. Wytnij wszystko, czego nie potrzebujesz (wtyczki itp.).

Mieć procedury dla wszelkich zmian (ograniczony zestaw osób, jeden sposób aktualizowania rzeczy, rejestrowanie wszystkiego). Zrób to wszystko w porozumieniu z ekspertami ds. Bezpieczeństwa, jest wiele szczegółów i zajmie Ci lata, aby dowiedzieć się czegoś lepszego od nich.

Oscar Gonzalez, ekspert WordPress

12,6 tys. wyświetleń

Jestem ewangelistą WP i 99% czasu i myślę, że jest to wykonalne z WP. Ja jednak drugi Leonid S. Knyshov. Nie dlatego, że WP jest z natury złe, ale dlatego, że jeśli pytasz, jak to zrobić tutaj, w Quora, prawdopodobnie nie masz zasobów, aby zrobić to dobrze, bez względu na to, jaką odpowiedź udzielimy.

Jeśli budujesz tylko frontową, korporacyjną witrynę banku, zrób to. Przestrzegaj wszystkich standardowych praktyk bezpieczeństwa. Zablokuj obszary administracyjne, silne nazwy użytkowników i hasła, zainstaluj certyfikaty SSL i zminimalizuj użycie wtyczek.

NIE umieszczaj tutaj danych klienta ani dostępu klienta. Strona powinna być również fizycznie obsługiwana spoza sieci banku; nie powinien znajdować się na tym samym serwerze lub w sieci wewnętrznej, co jakikolwiek inny system banku.

Dobrym miejscem na rozpoczęcie jest przejrzenie dokumentacji i usług tych gości: Sucuri Security

Czytaj dalej: Jak odzyskać zhakowaną witrynę WordPress?

Witryny finansowe i zdrowotne są bardzo wrażliwe i niezależnie od platformy potrzebują zespołu ludzi, aby je poprawnie wykonać.

Czy możesz to zrobić za pomocą WordPressa? Jasne, ale naprawdę musisz zaangażować silnego programistę lub zespół programistów zorientowanych na bezpieczeństwo, a także część firmy związaną z bezpieczeństwem sieci i firmę, aby się w to zaangażować.

Źródło

Quora: Zajmuję się obsługą strony internetowej banku za pomocą WordPressa. Jakie środki bezpieczeństwa powinienem podjąć?

Co myślisz

Teraz przeczytałeś, co mają do powiedzenia eksperci WordPressa? czy uważasz, że dobrym pomysłem jest tworzenie stron internetowych dla banków za pomocą WordPressa.