Современные сайты регулярно подвергаются различным внешним угрозам — от вирусов и вредоносных скриптов до DDoS-атак. Подобные инциденты могут не только вывести ресурс из строя, но и нанести серьезный урон бизнесу, особенно если речь идет об интернет-магазине, где каждая минута простоя означает потерю прибыли.
CMS «1С-Битрикс» оснащена встроенными механизмами защиты, которые помогают снижать риски и противостоять киберугрозам. В этой статье мы расскажем, какие инструменты безопасности доступны администраторам сайта и как с их помощью поддерживать стабильную и защищенную работу веб-ресурса.
Сканер безопасности сайта
Сканер безопасности в системе «1С-Битрикс» — это мощный инструмент для комплексного анализа уязвимостей веб-проекта. Security module в связке с проактивной защитой помогает своевременно выявлять и устранять потенциальные угрозы, снижать риски взлома и сбоев в работе сайта.
Что умеет сканер безопасности:
-
Анализ внутренней среды. Проверяет параметры хранения сессий и других критически важных данных, тем самым помогает исключить утечки информации.
-
Оценка настроек сайта. Контролирует наличие и корректную настройку WAF (Web Application Firewall), а также безопасность подключения к базе данных.
-
Статический анализ кода. Проводит парсинг кода на предмет уязвимостей и указывает на проблемные участки, которые могут использоваться злоумышленниками.
-
Внешняя диагностика. Проверяет корректность конфигурации серверов (например, Nginx + PHP-FPM), доступность внешних панелей типа phpMyAdmin, а также анализирует открытые сервисы, которые не используются, но могут стать точкой входа для атак.
По итогам сканирования система формирует подробный отчет, в котором отображаются все найденные уязвимости с указанием степени их критичности. Даже если часть из них не представляет непосредственной опасности, на них все же следует обратить внимание и устранить во избежание будущих проблем.
Веб-антивирус
В системе «1С-Битрикс» предусмотрен встроенный модуль веб-антивируса, который обеспечивает дополнительную защиту сайта от вредоносного кода. Компонент автоматически проверяет загружаемые и редактируемые файлы на наличие вирусов, скрытых скриптов и подозрительных изменений.
Модуль включается буквально в один клик, не требует сложной настройки и сразу начинает сканирование в фоновом режиме. Для полноценной работы антивируса рекомендуется внести корректировки в конфигурацию PHP — файл php.ini. Это позволяет расширить функциональность инструмента и повысить точность обнаружения вредоносного кода.
Защита от DDoS-атак
DDoS-атаки представляют собой массовую отправку запросов с целью перегрузки сайта и вывода его из строя. Это один из самых распространенных и разрушительных видов кибератак, особенно опасный для интернет-магазинов и корпоративных порталов.
С 15-й версии «1С-Битрикс» реализована возможность подключения DDoS-защиты, которая помогает обеспечить устойчивость сайта даже при резком всплеске трафика. Подключить ее можно как через административную панель, так и через отдельную страницу на сайте «Битрикс», если основной доступ к панели временно заблокирован из-за атаки.
Специализированные фильтры помогают отсеивать вредоносный трафик, обеспечивать защиту от бот-сетей и разгрузку сервера при аномальной активности.
В рамках лицензии предоставляется бесплатная защита одного домена на 10 дней, которую можно активировать один раз в год, что особенно полезно при разовых атаках или в критические периоды.
Стоп-лист
В ряде случаев требуется ограничить доступ к сайту определенным категориям пользователей — например, спам-ботам, нарушителям или посетителям с подозрительной активностью. Для этого в системе «1С-Битрикс» предусмотрен инструмент «Стоп-лист», который обеспечивает гибкую фильтрацию трафика.
Возможности:
-
Автоматическая блокировка. Добавление в стоп-лист может происходить автоматически — на основе зафиксированных событий, таких как слишком частые попытки авторизации, подозрительные запросы или нестандартные действия на сайте.
-
Ручное управление. Администратор может вручную заносить в черный список IP-адреса, диапазоны (маски) сетей, а также заголовки UserAgent. Это позволяет точечно ограничивать доступ нежелательным посетителям.
-
Интеграция с «Веб-аналитикой». Позволяет дополнительно отслеживать и анализировать активность потенциально опасных пользователей. Функция доступна при наличии установленного модуля «Веб-аналитика».
Благодаря стоп-листу можно эффективно защитить сайт от вредоносного трафика и повысить его общую стабильность и безопасность.
Панель безопасности
В системе «1С-Битрикс» предусмотрена удобная панель управления безопасностью, которая позволяет гибко настроить защиту сайта в зависимости от его особенностей и потребностей. Пользователь может выбрать один из нескольких уровней безопасности:
-
Начальный. Предназначен для базовой защиты небольших или тестовых проектов. Доступен по умолчанию для всех сайтов на базе «1С-Битрикс». Не требует установки дополнительных модулей.
-
Стандартный. Подходит для большинства типовых проектов. Включает основные механизмы повышения безопасности и обеспечивает базовую устойчивость к распространенным угрозам.
-
Высокий. Предусматривает всё, что входит в стандартный уровень, а также дополнительные меры защиты:
-
ведение журналов активности основного модуля;
-
хранение сессий в базе данных;
-
усиленная защита административного раздела;
-
смена идентификаторов сессий для предотвращения их перехвата.
-
Продвинутый. Предназначен для проектов с повышенными требованиями к конфиденциальности, например, интернет-магазинов или корпоративных порталов. Включает в себя расширенные меры безопасности:
Система автоматически предлагает рекомендации по настройке в соответствии с выбранным уровнем, что помогает выстроить надежную защиту сайта даже без глубоких технических знаний.
Защита сессий
Сессии пользователей — один из главных объектов интереса для злоумышленников. Именно они позволяют получить доступ к аккаунтам, в том числе с административными правами. Поэтому защита сессий играет ключевую роль в системе информационной безопасности сайта.
Включение данного механизма обеспечивает:
-
Хранение данных сессий в защищённой таблице базы данных, а не во временных файлах на сервере.
-
Изоляцию от внешнего доступа — данные сессий не могут быть перехвачены через уязвимости в конфигурации хостинга.
-
Снижение нагрузки на файловую систему сервера за счёт отказа от хранения сессий в файловом виде.
-
Минимизацию рисков компрометации прав доступа, особенно при использовании shared-хостинга или неправильно настроенного окружения.
Защита сессий — это не просто технический параметр, а важный шаг к построению по-настоящему безопасной веб-среды. В «1С-Битрикс» этот механизм включается централизованно и работает в связке с другими средствами защиты, повышая общую устойчивость сайта к внешним угрозам.
Защита от фреймов
Один из способов атак на сайты — это загрузка их содержимого во фреймах сторонних ресурсов. Метод используется для фишинга, кражи данных пользователей или визуальной подмены интерфейса. Чтобы исключить такую угрозу, в «1С-Битрикс» реализована защита от загрузки сайта через фреймы.
При активации функции система автоматически устанавливает HTTP-заголовок X-Frame-Options: SAMEORIGIN. Это означает, что страницы сайта могут быть отображены во фреймах только с того же домена, и никакой внешний ресурс не сможет встроить себе его содержимое.
Обратите внимание: при включенной защите возможны проблемы с отображением «Вебвизора» от «Яндекс.Метрики», так как он также использует фреймы. Чтобы сохранить корректную работу этой аналитической функции, можно применить обходное решение:
-
Настроить исключения в веб-сервере (например, через конфигурацию Nginx).
-
Отключить заголовок X-Frame-Options только для запросов, связанных с «Вебвизором».
Для этого стоит обратиться в службу поддержки хостинга — специалисты помогут корректно настроить исключения и сохранить текущий уровень защиты остального сайта.
Двухэтапная аутентификация и одноразовые пароли
Для защиты административного доступа и персональных данных пользователей важно применять многоуровневые методы авторизации. Один из самых надежных подходов — это двухэтапная аутентификация с использованием одноразовых паролей (OTP).
В данном случае для авторизации нужно выполнить следующие действия:
-
Ввести стандартные учетные данные (логин и пароль).
-
Подтвердить вход с помощью одноразового кода, который ограничен по времени.
В «1С-Битрикс» поддерживаются два подхода к внедрению двухфакторной авторизации:
-
Аппаратный способ. Использование физических токенов, например, eToken PASS. Такие устройства генерируют уникальные коды и подходят для крупных компаний с повышенными требованиями к информационной безопасности.
-
Программный способ. Генерация OTP-кодов через мобильные приложения (Google Authenticator, Bitrix OTP и др.) или встроенные механизмы сайта. Пользователь синхронизирует приложение с учётной записью и вводит полученный код при каждом входе.
При включении двухэтапной авторизации для администраторов и сотрудников рекомендуется настроить резервные коды или контактные адреса на случай утери доступа к генератору OTP.
Резервное копирование
Это один из ключевых элементов системы безопасности, который позволяет не только предотвратить потерю данных, но и быстро восстановить сайт после сбоя, атаки или ошибочных действий пользователей.
Платформа «1С-Битрикс» предлагает несколько сценариев настройки резервного копирования:
-
Полное резервное копирование. Подразумевает создание копии всего сайта: файлов, базы данных, структуры и настроек. Это универсальный вариант для регулярного сохранения актуального состояния ресурса.
-
Выборочное копирование. Позволяет определить, какие элементы подлежат дублированию— например, только контент, ядро или база данных. Подходит для крупных порталов, где важно исключить из копии временные или часто изменяемые папки.
-
Автоматическое резервное копирование. Можно задать расписание, по которому система будет самостоятельно создавать бэкапы. Также доступны настройки по автоматическому удалению устаревших копий, чтобы экономить дисковое пространство.
-
Облачное копирование. Наиболее надежный способ защиты. Резервные копии сохраняются на удаленном сервере, что минимизирует риск утраты информации в случае сбоев хостинга, физической поломки или вирусной атаки.
Резервное копирование в «1С-Битрикс» — это страховка, которая стоит на страже вашего бизнеса 24/7. Рекомендуется включить данную функцию сразу после запуска сайта, чтобы быть готовым к любой непредвиденной ситуации.
Подпишитесь на нас в Telegram
Получайте свежие статьи об интернет-маркетинге и актуальные новости о наших готовых решениях
Рекомендации для владельцев сайтов
Чтобы ваш сайт оставался защищенным от киберугроз, важно соблюдать комплексный подход к безопасности. Ниже — базовые правила, которые помогут выстроить устойчивую защитную систему:
-
Обновляйте платформу «1С-Битрикс», готовые решения и модули. Это позволяет своевременно закрывать уязвимости и поддерживать систему в актуальном состоянии.
-
Включите систему мониторинга безопасности. Она поможет оперативно выявлять подозрительную активность и потенциальные попытки взлома.
-
Проводите регулярный аудит кода. Выявляйте и устраняйте уязвимости на ранних этапах, чтобы в дальнейшем снизить риски возникновения ошибок.
-
Настройте двухфакторную аутентификацию (2FA). Это простая, но эффективная мера для усиления контроля доступа к административным разделам.
-
Ограничьте доступ к важным файлам и директориям. Защитите конфигурационные файлы, базы данных и другие критические ресурсы от внешнего вмешательства.
-
Проводите обучение сотрудников. Повышение цифровой грамотности персонала снижает вероятность ошибок, связанных с человеческим фактором.
Безопасность сайта — это постоянная работа, а не разовая настройка. Платформа «1С-Битрикс» предлагает всё необходимое для организации эффективной защиты: от базовых настроек до продвинутых инструментов мониторинга и восстановления.
RU
