De acuerdo, la mayoría de las respuestas aquí son inherentemente incorrectas o incompletas por varias razones. Abordemos eso con algunos datos de investigación y lluvia de ideas en cuenta.
A. ¿Qué es el sitio web de un banco?
En primer lugar, “impulsar el sitio web de un banco” es bastante vago. Hemos estado creando soluciones de WordPress para 3 bancos diferentes en los últimos 5 años. Las tres plataformas en particular fueron:
- Un portal informativo para el banco A, principalmente adecuado para noticias de la compañía, que enumera las sucursales del banco, todo tipo de información corporativa. También hemos creado una calculadora financiera para créditos: un sistema complejo que replica los montos de procesamiento de la aplicación de software, el interés a lo largo del tiempo y algunos algoritmos de aprendizaje automático para evaluar el riesgo.
- Una plataforma de pasarela de pago para proveedores de terceros, incluida la extensión de WordPress también. Ese era un sitio web separado (pero con la marca y mantenido por el banco) para integraciones.
- Un conjunto de módulos de seguridad y complementos y herramientas de privacidad para otro banco integrado con una plataforma de informes. Agregando extractos de tarjetas de crédito y todo tipo de detalles impulsados por el usuario relacionados con el estado de pago de uno. De hecho, se proporcionó información de datos monetarios y confidenciales, aunque el procesamiento de pagos no estaba activo en el sistema (envío de transferencias a través de otras cuentas).
Dos de las tres aplicaciones no estaban relacionadas remotamente con el sistema de pago principal que los bancos usaban para la banca electrónica. El tercero fue el más cercano, ya que fue auditado a fondo por el escuadrón de pruebas de penetración de red interna de Verizon y algunas otras organizaciones de piratería blanca de alto perfil (aprobadas con éxito).
Como conclusión, no todos los sitios web de los bancos manejan pagos o datos confidenciales.
B. Informe de vulnerabilidades de seguridad bancaria
Una de las fuentes más acreditadas con respecto a las vulnerabilidades de seguridad comunes es la Categoría: OWASP Top Ten Project. Según el informe de 2013, aquí hay una lista de las principales vulnerabilidades en línea:
Un estudio de SC Magazine de noviembre de 2013 destaca los principales ataques a sitios en los bancos más grandes del mundo:
Una empresa suiza de pruebas de penetración, High-Tech Bridge, analizó incidentes reportados públicamente que afectan a los principales sitios web de los bancos, y descubrió que, en los últimos 10 años, las vulnerabilidades de scripting entre sitios (XSS) representaron el 80 por ciento de los incidentes de seguridad.
Un método de ataque XSS común podría involucrar a un pirata informático que usa inyecciones de código para robar datos de los visitantes, como cookies, o manipula lo que las víctimas ven para engañarlos e ingresar información personal o financiera confidencial.
En el experimento, High-Tech Bridge utilizó una lista de los 50 “bancos más grandes” del mundo en 2012 (según lo determinado por la revista Global Finance) y desenterró informes de ataques públicos publicados en sitios de seguridad y piratería o archivos en línea para ataques XSS y desfiguraciones de sitios. .
Las instituciones financieras en la lista incluyeron Bank of America, HSBC, Barclays, JPMorgan Chase, Wells Fargo, Bank of Montreal y varios otros bancos importantes en todo el mundo.
De 102 incidentes reportados, ocurridos entre 2003 y el presente, High-Tech Bridge descubrió que Bank of America tenía la mayoría de los informes públicos de problemas de seguridad que afectaban su sitio.
Como conclusión, podemos esbozar dos notas separadas:
- Parece que los sitios web que no son de WordPress son tan susceptibles a los ataques web como los de WordPress (si no más)
- El 80% de todos los incidentes de seguridad son impulsados por XSS
El documento oficial de seguridad de WordPress destaca la lista de OWASP y las principales categorías de vulnerabilidad de la industria cuando se trata de revisar la base de código existente e introducir nuevas características en curso en el núcleo de WordPress.
XSS tiene un lugar especial en el documento con algunos ejemplos prácticos de lo que el equipo de seguridad de WordPress (y otros consultores de seguridad independientes) buscan con respecto a XSS:
WordPress proporciona una variedad de funciones que pueden ayudar a garantizar que los datos proporcionados por el usuario estén seguros. Los usuarios de confianza, es decir, los administradores y editores en una sola instalación de WordPress, y los administradores del sitio solo en WordPress Multisite, pueden publicar HTML o JavaScript sin filtrar según lo necesiten, como dentro de una publicación o página. Los usuarios no confiables y el contenido enviado por los usuarios se filtra de manera predeterminada para eliminar entidades peligrosas, utilizando la biblioteca KSES a través de la función wp_kses
.
Como ejemplo, el equipo central de WordPress notó antes del lanzamiento de WordPress 2.3 que la función the_search_query()
estaba siendo mal utilizada por la mayoría de los autores de temas, que no escapaban de la salida de la función para usarla en HTML. En un caso muy raro de compatibilidad con versiones anteriores que se rompe ligeramente, la salida de la función se modificó en WordPress 2.3 para que se escapara previamente.
La naturaleza de código abierto del proyecto respalda esas necesidades, dado que decenas de miles de contribuyentes, investigadores y desarrolladores que usan WordPress para decenas de millones de proyectos, en diferentes aplicaciones, pueden replicar un problema en un contexto diferente, de manera fácil y fácil. identificar rápidamente posibles problemas.
En comparación con el sistema corporativo y de código cerrado, recordaré la vulnerabilidad de BadTunnel descubierta en 2016 que ” podría dar a los atacantes una forma de organizar ataques de intermediarios contra las víctimas haciendo que hagan clic en un enlace, abran un Documento de Microsoft Office o conecte una unidad USB “y” puede exponerlo a atacantes que no están en su red, y sus firewalls no lo salvarán “. Para el registro, esta vulnerabilidad afectó a todas las versiones de Windows de 95 a 10 , o alrededor de 20 años de sistema de producción vulnerable que se ejecuta en empresas e intranets corporativas con acceso remoto explotable por los sombreros negros.
Ahí va la teoría de la “fuente cerrada”, al menos en cierta medida.
Otro estudio de 2016 cubre algunos datos sobre dónde los bancos son más vulnerables a los ataques cibernéticos ahora:
Dicho esto, investiguemos qué hace que las aplicaciones web sean más vulnerables a los ataques.
Los bancos están siendo los más afectados en sus aplicaciones web. Según el informe de Verizon, el 48% de los incidentes de seguridad de datos bancarios en 2015 involucraron aplicaciones web comprometidas.
Algunas aplicaciones se ven comprometidas a través de inyecciones de código. El malware GozNym, por ejemplo, generalmente inserta código en los sitios web de los bancos que crea pantallas emergentes que solicitan información personal. A través de la inyección SQL, el malware puede acceder a información confidencial en bases de datos u obtener acceso a otras partes de una red a través de una aplicación web.
Los ataques a aplicaciones web son difíciles de detectar ya que los bancos tienen miles, a veces millones de usuarios legítimos que acceden a sus sitios. Encontrar el mal comportamiento en el ruido es difícil, especialmente si los ciberdelincuentes usan múltiples servidores proxy y espacian sus ataques durante minutos o días.
¿La mejor defensa? Autenticación de dos factores, dijo Novak. “Todavía vemos que muchas instituciones financieras usan un nombre de usuario y contraseña de un solo factor”, dijo. Según el informe, el 63% de las violaciones de datos confirmadas en 2015 involucraron contraseñas débiles, predeterminadas o robadas.
Como Matt Mullenweg (cofundador de WordPress) se dijo en una respuesta aquí, ejecutar un software actualizado y usar contraseñas seguras es absolutamente crítico. Además, la autenticación de 2 factores también se mencionó en su respuesta, incluidos varios sistemas diferentes, incluido el componente 2FA de Jetpack que también se ha probado exhaustivamente en WordPress.com, el séptimo sitio web de mayor clasificación en los EE. UU. Ahora, entre gigantes como Google , Amazon, Facebook, eBay o Wikipedia.
C. ¿Qué hace que un sitio de WordPress sea vulnerable?
Un error común es que WordPress es inherentemente inseguro. Si bien se descubren vulnerabilidades regulares y se corrigen inmediatamente en el núcleo, su número, regularidad e impacto es significativamente menor (dada su exposición) que casi cualquier otra plataforma web existente.
Las cuatro razones principales por las que los sitios web de WordPress están siendo pirateados son:
- WordPress Core obsoleto y los temas / complementos correspondientes
- Temas o complementos inseguros (instalados voluntariamente por los propietarios de sitios web)
- Alojamiento intrínsecamente inseguro (que es independiente de la plataforma ya que los usuarios malintencionados pueden obtener acceso a cualquier software en línea que se ejecute en un host genérico)
- Contraseñas deficientes, registro desde una red Wi-Fi abierta u otro error impulsado por el usuario no relacionado con la tecnología
Casi no hay motivos para explicar por qué WordPress es inherentemente inseguro para el sitio web de un banco. Por supuesto, el procesamiento de transacciones de pago a través de una plataforma de WordPress puede no ser ideal. Muchas plataformas transaccionales ni siquiera están construidas sobre una plataforma web, y se ejecutan en C ++, Java u otro lenguaje que admite subprocesos múltiples, introduce varias capas de seguridad intermedias y pasa datos a una aplicación web utilizada para interactuar con el usuario final.
Si bien hay vulnerabilidades que se pueden señalar en WordPress Core que, de hecho, pueden explotarse en un sistema obsoleto, no ha habido una investigación exhaustiva y exhaustiva que compare una compilación de WordPress Core con otro marco o plataforma de aplicación web. Confiar en la información pública de los medios de comunicación con respecto a los propietarios de pequeñas empresas que ejecutan un sitio desactualizado en un proveedor de alojamiento web de $ 3 / mes con más de 60 complementos aleatorios no es un informe exhaustivo sobre la estabilidad de la plataforma WordPress que se ejecuta en un contexto seguro.
Como conclusión, WordPress puede no ser la mejor solución para un sitio web bancario (por otras razones, como la capa de base de datos subyacente o los componentes estándar proporcionados por el Core en ciertos casos), pero no hay una razón objetiva por la que deba descartarse en todos los casos.