Можете ли вы создавать веб-сайты для банков с помощью WordPress: объясняет Мэтт Малленвег

Можно ли создать сайт для банков на WordPress? Если вы используете WordPress для создания банковских веб-сайтов. Создание различных типов веб-сайтов легко, но вы можете создавать веб-сайты для банков с помощью WordPress. В этой статье я собираюсь поделиться тем, что говорят эксперты WordPress?

Мы уже публиковали подробный пост в блоге о том, что вы можете использовать WordPress для создания веб-сайтов более чем 30 типов. Вы можете использовать WordPress для создания любого типа веб-сайта, от простого блога до сложного веб-сайта социальной сети, такого как Facebook.

Читайте также: Знаете ли вы: с помощью WordPress вы можете создавать более 35 типов веб-сайтов?

В этой статье мы поделимся мнением эксперта и опытного разработчика WordPress: WordPress для банковских сайтов — да или нет.

С помощью WordPress можно создавать веб-сайты для банков, но большинство опытных разработчиков говорят, что вы должны использовать WordPress только для внешнего интерфейса.

Кто-то задал этот вопрос на Quora: я разрабатываю веб-сайт банка с помощью WordPress. Какие меры безопасности я должен принять?

На момент написания этой статьи (февраль 2016 г.) на этот вопрос ответили 34 человека. Самый популярный ответ с более чем 85 000 просмотров написан Мэттом Малленвегом, соучредителем WordPress и основателем Automatic. Этот ответ был написан 16 апреля 2015 года.

Можете ли вы использовать WordPress для создания веб-сайта для банков: Мэтт Малленвег ответил

85,4 тыс. просмотров и более 550 голосов по состоянию на февраль 2016 г.

Я согласен, что, вероятно, нет большого преимущества в том, чтобы часть онлайн-банкинга / оплаты счетов / и т. Д. На веб-сайте банка была на WordPress, однако нет никаких причин, по которым вы не могли бы запустить внешний интерфейс и маркетинговую часть сайта на WordPress, и на самом деле вы будете использовать силу WordPress как гибкой, настраиваемой и простой в обновлении и обслуживании платформы управления контентом.

С точки зрения безопасности есть два простых момента:

1. Убедитесь, что вы используете последнюю версию ядра и всех подключаемых модулей, которые вы запускаете, и обновите их, как только новая версия станет доступной.
2. Используйте надежные пароли для всех учетных записей пользователей. Для получения дополнительных баллов вы можете включить плагин двухфакторной проверки, использовать систему входа Jetpack http://WordPress.com или ограничить зарегистрированных пользователей определенным диапазоном IP-адресов (например, за VPN).

Читайте также: 30 самых популярных бесплатных плагинов для WordPress

Если ваш хост не справляется с этим, убедитесь, что вы постоянно обновляете все в своем стеке, начиная с ОС.

Большинство современных хостов WP справляются с этим (и обновлениями) за вас, и, конечно же, вы всегда можете запустить свой сайт на WordPress.com VIP вместе с некоторыми из лучших сайтов в мире.

Если вы используете какой-либо неосновной сторонний код, не повредит, если фирма по безопасности также проверит исходный код (преимущество использования открытого исходного кода).

В качестве примера красивого, отзывчивого банковского веб-сайта, созданного на WordPress, посмотрите Gateway Bank of Mesa AZ.

WordPress также доверяют запуск сайтов для некоторых из крупнейших и наиболее заботящихся о безопасности организаций в мире, включая Facebook, SAP, The Intercept Гленна Гринвальда, eBay, McAfee, Sophos, GNOME, Mozilla, MIT, Reuters, CNN, Google Ventures. , НАСА и буквально сотни других.

Как наиболее широко используемая CMS в мире, многие люди используют и развертывают версию WordPress с открытым исходным кодом неоптимальным и небезопасным способом, но то же самое можно сказать о Linux, Apache, MySQL, Node, Rails, Java или любое широко используемое программное обеспечение.

Возможно и на самом деле не так сложно запустить WordPress так, чтобы он был достаточно безопасным для банка, правительственного сайта, медиа-сайта или чего-то еще.

Если вам нужна помощь в этом, не стесняйтесь обращаться к Automattic, у нас есть десятилетний опыт работы с высокорисковыми, крупномасштабными развертываниями, а также с решением неосведомленных FUD, которые вы видите в этой ветке.

За ответ Мэтта проголосовали некоторые ведущие разработчики, включая Яира Ливне, директора по управлению продуктами в Quora, Дэвида Коула, директора по дизайну в Quora, Джоэла Левенштейна, дизайнера продуктов в Quora.

Использование WordPress для создания веб-сайта для банков: что говорит другой разработчик

Прочитав множество ответов, я обнаружил, что большинству разработчиков WordPress не нравится идея использования WordPress для создания веб-сайта для банков. Причин было много. Позвольте мне поделиться некоторыми другими популярными ответами.

Леонид С. Кнышов, разработчик JavaScript в основном на Meteor написал

51,4 тыс. просмотров и более 200 голосов по состоянию на февраль 2016 г.

Построение системы, которая имеет доступ к банковским счетам клиентов поверх WordPress, — просто невероятно плохая идея.

Пожалуйста, не делай этого. Вы, конечно, можете запустить блог банка на физически отдельной системе, но все, что касается логинов клиентов, не должно быть построено на этой платформе.
WordPress состоит из:

• Основной
• Тема
• Плагины

Хотя безопасности ядра уделяется много внимания, этого недостаточно. Он настолько велик и его так легко неправильно расширить, что злоумышленники любят его использовать.

Читайте также: Как выбрать идеальную бесплатную или премиальную тему WordPress

Большинство сайтов WordPress также используют тему и плагины WordPress. Чего большинство людей не осознает, так это того, что тема всегда содержит PHP-код, а не только стиль представления. За некоторыми исключениями безопасности темы уделяется недостаточно внимания.

Плагины WordPress также получают недостаточно внимания с точки зрения безопасности, за некоторыми исключениями.

В результате злоумышленник может и будет использовать отпечатки ваших тем и плагинов.

Если вы не хотите использовать темы и плагины, у вас нет причин использовать WordPress, и вы можете выбрать фреймворк, известный своей безопасностью.

Писать доступ к банковскому счету как плагины WordPress не имеет смысла.

Петр Хлоупек говорит об использовании WordPress для банковских веб-сайтов

13 000 просмотров

Я предполагаю, что под веб-сайтом вы имеете в виду действительно веб-сайт, а не сайт интернет-банкинга. В этом случае эти сценарии существуют в другом месте. В первую очередь должны быть люди с реальным пониманием компьютерной безопасности. Вы должны поговорить с ними.

Вы должны строго разделить среду интернет-банкинга и среду вашего веб-сайта (разные сети). Одно из определений «безопасности» состоит в том, что вещь нельзя использовать для других целей, кроме той, для которой она была разработана, и что вы не можете ограничить ее функциональность без разрешения (например, DOS-атака).

В целом это означает, что вы должны отфильтровывать людей, которые хотят перегрузить сайт, и что вы хотите запретить несанкционированные изменения, и вы должны иметь возможность обнаруживать все изменения.

Вы должны быть на https (очевидно) с действительным сертификатом, за брандмауэром, у вас должны быть автоматизированные тесты безопасности, вы должны контролировать сетевой трафик и вы должны контролировать систему (быть в курсе, регистрировать как системные изменения, так и изменения базы данных в некоторых другая система).

По возможности сделайте файловую систему доступной только для чтения и ограничьте права пользователя, под которым запускается веб-презентация. Вырежьте все, что вам не нужно (плагины и т.д.).

Имейте процедуры для любых изменений (ограниченный набор людей, один способ обновления вещей, все регистрируйте). Делайте все это в координации с экспертами по безопасности, есть много деталей, и вам потребуются годы, чтобы знать лучше, чем они.

Оскар Гонсалес, эксперт по WordPress

12,6 тыс. просмотров

Я проповедник WP и в 99% случаев думаю, что с WP это выполнимо. Впрочем, я второй Леонид Сергеевич Кнышов. Не потому, что WP плох сам по себе, а потому, что если вы спрашиваете, как это сделать здесь, в Quora, у вас, вероятно, нет ресурсов, чтобы сделать это правильно, независимо от того, какой ответ мы вам дадим.

Если вы просто создаете фронтальный корпоративный сайт для банка, то дерзайте. Соблюдайте все стандартные правила безопасности. Заблокируйте области администрирования, надежные имена пользователей и пароли, установите SSL-сертификаты и минимизируйте использование плагинов.

НЕ размещайте здесь данные клиентов или доступ клиентов. Сайт также должен физически обслуживаться за пределами сети банка; она не должна находиться на том же сервере или во внутренней сети, что и любая из систем другого банка.

Начать стоит с изучения документации и услуг этих ребят: Sucuri Security.

Читайте также: Как восстановить взломанный сайт WordPress?

Финансовые сайты и сайты о здоровье очень чувствительны и независимо от платформы нуждаются в команде людей для их правильного выполнения.

Можете ли вы сделать это с помощью WordPress? Конечно, но вам действительно нужно привлечь сильного разработчика, ориентированного на безопасность, или команду разработчиков, а также часть бизнеса, связанную с сетевой безопасностью, и бизнес, который должен быть вовлечен в это.

Источник

Quora: Я работаю над веб-сайтом банка с помощью WordPress. Какие меры безопасности я должен принять?

Что вы думаете

Теперь вы прочитали, что говорят эксперты WordPress? как вы думаете, это хорошая идея создавать веб-сайты для банков с помощью WordPress.