Обеспечение безопасности сайтов на 1С-Битрикс

Наверх

1С-Битрикс — это популярная в России коммерческая система управления сайтами (CMS) и корпоративными порталами, разработанная компанией «1С-Битрикс». Платформа широко используется благодаря своей универсальности, удобству и интеграции с продуктами «1С», что делает её особенно востребованной в бизнес-среде. Система предлагает широкий набор инструментов для создания и управления сайтами, интернет-магазинами, корпоративными порталами и другими веб-проектами. 1С-Битрикс известна своей надежностью, высокой производительностью и безопасностью, что подтверждается её использованием в крупных компаниях и государственных структурах. Благодаря регулярным обновлениям, активной поддержке и большому сообществу разработчиков, платформа продолжает оставаться одним из лидеров на рынке CMS в России.

Однако сайты на платформе 1С-Битрикс, как и любые другие веб-ресурсы, подвержены риску взлома и заражения вирусами. Хакеры могут использовать уязвимости в коде, плагинах, конфигурации сервера или человеческий фактор для получения доступа к сайту. В этой статье мы рассмотрим комплекс мер, которые помогут защитить ваш сайт от атак и вирусов.

Общие рекомендации по безопасности

Регулярное обновление

• Ядро 1С-Битрикс: Устанавливайте обновления сразу после их выхода. После установок обновлений обязательно проверяйте ваш сайт, чтобы весь функционал работал корректно.
• Модули и плагины: Удаляйте неиспользуемые модули и обновляйте актуальные.
• Сторонние компоненты: Проверяйте их на наличие уязвимостей специализированными средствами.

Настройка прав доступа

• Установите правильные права на файлы и папки:
• Папки: 755 (или 750, если доступ ограничен).
• Файлы: 644 (или 640).
• Владелец файлов: пользователь веб-сервера (например, www-data:www-data).

Пример:

	 sudo chown -R www-data:www-data /var/www/site/
	 sudo find /var/www/site/ -type d -exec chmod 755 {} \;
	 sudo find /var/www/site/ -type f -exec chmod 644 {} \;

Способы защиты сайта от вирусов и хакерских атак

Защита файловой системы

Использование атрибута Immutable

Атрибут Immutable (chattr +i) блокирует изменение файлов и папок. Однако для работы Битрикса некоторые директории должны оставаться доступными для записи.

	 # Установить атрибут Immutable для всех файлов и папок рекурсивно
	 sudo chattr -R +i /var/www/site/
	 # Снять атрибут Immutable для критических папок
	 sudo chattr -R -i /var/www/site/upload/
	 sudo chattr -R -i /var/www/site/bitrix/cache/
	 sudo chattr -R -i /var/www/site/bitrix/managed_cache/
	 sudo chattr -R -i /var/www/site/bitrix/stack_cache/
	 sudo chattr -R -i /var/www/site/bitrix/htmlpages/
	 sudo chattr -R -i /var/www/site/bitrix/tmp/
	 sudo chattr -R -i /var/www/site/resized_images/

Какие директории исключить из Immutable:

1. /upload/ — хранение загруженных пользователем файлов.
2. /bitrix/cache/ — кэш данных.
3. /bitrix/managed_cache/ — управляемый кэш.
4. /bitrix/stack_cache/ — стековый кэш.
5. /bitrix/htmlpages/ (или /bitrix/html_pages/) — кэш HTML-страниц.
6. /bitrix/tmp/ — временные файлы.
7. /bitrix/backup/ — резервные копии (если используется встроенное резервное копирование).
8. /bitrix/updates/ — обновления платформы и модулей.
9. /bitrix/log/ — логи системы (если включено логирование).
10. /resized_images/ — автоматически генерируемые изображения.
11. /bitrix/components/ — если используются динамические компоненты (редко, но зависит от конфигурации).

Запрет выполнения PHP в пользовательских папках

Добавьте в .htaccess (для Apache) или конфиг Nginx правила, запрещающие выполнение PHP в папках с пользовательским контентом.

Настройка для веб-сервера Apache .htaccess:

	 <FilesMatch "\.(php|pl|py|jsp|asp|sh|cgi)$">
	 Deny from all
	 </FilesMatch>

Настройка для Nginx:

	 location ~* ^/upload/.*\.(php|pl|py|jsp|asp|sh|cgi)$ {
	 deny all;
	 }

Защита административной панели

Смена пути к админке

Измените стандартный путь /bitrix/admin/ на кастомный. Это можно сделать через настройки 1С-Битрикс:

• Авторизуйтесь в административной панели вашего сайта на 1С-Битрикс.
• В административной панели перейдите в раздел Настройки → Настройки продукта → Настройки модулей.
• Найдите и выберите модуль Главный модуль (main).
• В настройках главного модуля найдите параметр Путь к административному разделу (или аналогичный).
• Измените значение этого параметра с /bitrix/admin/ на ваш кастомный путь, например /custom-admin/.
• После изменения пути обязательно очистите кеш сайта. Это можно сделать через раздел Система → Очистка кеша.
• Попробуйте перейти по новому пути, например https://ваш-сайт.ru/custom-admin/.
• Убедитесь, что административная панель открывается по новому адресу.

Ограничение доступа по IP

Разрешите доступ к админке только с доверенных IP-адресов.

Настройки для Apache:

	 <Directory "/var/www/site/bitrix/admin/">
	 Order Deny,Allow
	 Deny from all
	 Allow from 192.168.1.1
	 </Directory>

Настройки для Nginx:

	 location /bitrix/admin/ {
	 allow 192.168.1.1;
	 deny all;
	 }

где 192.168.1.1 - это внешний ваш IP-адрес.

Двухфакторная аутентификация

Включите двухфакторную аутентификацию в настройках 1С-Битрикс.

Подробнее о подключении двухфакторной аутентификации читайте в статье на сайте производителя.

Включите HTTPS

Обязательно используйте SSL-сертификат для шифрования трафика на вашем сайте. Ваш сайт должен открываться по адресу https://site.ru/.

Использование WAF (Web Application Firewall)

Мы недавно писали о бесплатном сервисе Cloudflare CDN: Обзор возможностей, преимуществ и тарифов, который можно использовать в качестве WAF.

ModSecurity

Установите и настройте ModSecurity для защиты от SQL-инъекций, XSS и других атак.

Apache:

	 <IfModule security2_module>
	 SecRuleEngine On
	 SecRule ARGS "@rx <script>" "id:1,deny,status:403,msg:'XSS Attack'"
	 </IfModule>

Nginx:

	 modsecurity on;
	 modsecurity_rules_file /etc/nginx/modsec/main.conf;

Bitrix Security Module / Проактивная защита

Включите встроенный модуль безопасности 1С-Битрикс для мониторинга и блокировки подозрительных действий.

Bitrix Security Module (Проактивная защита) — это встроенный инструмент в платформе 1С-Битрикс, который помогает защитить сайт от различных угроз, таких как SQL-инъекции, XSS-атаки, брутфорс-атаки и другие. Чтобы обеспечить максимальную безопасность вашего сайта, важно правильно настроить этот модуль. Ниже приведены рекомендации по настройке Проактивной защиты.

Включение модуля

1. Перейдите в административную панель 1С-Битрикс.
2. Перейдите в раздел Настройки → Настройки продукта → Настройки модулей.
3. Найдите модуль Проактивная защита (security) и убедитесь, что он включен.

Основные настройки модуля

После включения модуля перейдите в его настройки:

1. Перейдите в раздел Маркетинг → Проактивная защита.
2. Настройте следующие параметры:

Общие настройки

• Включить проактивную защиту: Активируйте эту опцию.
• Режим работы: Выберите режим:
• Тестовый режим: Модуль будет только логировать угрозы, но не блокировать их.
• Рабочий режим: Модуль будет блокировать подозрительные действия.
• Уведомления: Настройте уведомления о блокировках (например, на email администратора).

Защита от брутфорса

• Включить защиту от подбора паролей: Активируйте эту опцию.
• Количество попыток ввода пароля: Установите лимит (например, 5 попыток).
• Время блокировки: Укажите время блокировки после превышения лимита (например, 30 минут).

Защита от SQL-инъекций и XSS

• Включить защиту от SQL-инъекций: Активируйте эту опцию.
• Включить защиту от XSS-атак: Активируйте эту опцию.
• Блокировать подозрительные запросы: Включите блокировку.

Защита от спама

• Включить защиту от спама: Активируйте эту опцию.
• Проверять формы на сайте: Укажите, какие формы нужно проверять (например, формы обратной связи, комментарии).

Защита от файловых угроз

• Включить проверку загружаемых файлов: Активируйте эту опцию.
• Типы файлов для проверки: Укажите, какие типы файлов нужно проверять (например, .php, .exe, .js).

Защита от ботов

• Включить защиту от ботов: Активируйте эту опцию.
• Использовать CAPTCHA: Включите CAPTCHA для подозрительных действий.

Дополнительные настройки

Белый список IP-адресов

• Добавьте IP-адреса, которым можно доверять (например, IP-адреса администраторов или доверенных пользователей). Это предотвратит случайную блокировку.

Черный список IP-адресов

• Добавьте IP-адреса, которые нужно блокировать (например, известные источники атак).

Логирование

• Включите логирование всех событий, чтобы отслеживать подозрительные действия.

Мониторинг и резервное копирование

Аудит изменений

Используйте инструменты, такие как inotify или Tripwire, для отслеживания изменений в файловой системе.

Резервное копирование

Настройте ежедневное резервное копирование файлов и базы данных. Храните копии вне сервера.

Это можно и даже нужно сделать как средствами платформы 1С-Битрикс, так и дополнительно на уровне операционной системы или хостинг-провайдера.

Возможности резервного копирования в 1С-Битрикс:

1. Полное резервное копирование:
• Создание резервной копии всей системы, включая:
• Файлы сайта.
• Базу данных.
• Настройки системы.
• Возможность восстановления сайта из резервной копии.
2. Частичное резервное копирование:
• Создание резервной копии только базы данных или только файлов сайта.
3. Автоматическое резервное копирование:
• Настройка расписания для автоматического создания резервных копий.
4. Хранение резервных копий:
• Локальное хранение на сервере.
• Возможность загрузки резервных копий на внешние хранилища (например, FTP, облачные сервисы).
5. Восстановление из резервной копии:
• Простое восстановление сайта из созданной резервной копии.

Как настроить резервное копирование:

1. Включение модуля резервного копирования

1. Перейдите в административную панель 1С-Битрикс.
2. Перейдите в раздел Настройки → Настройки продукта → Настройки модулей.
3. Найдите модуль Резервное копирование и восстановление и убедитесь, что он включен.

2. Создание резервной копии вручную

1. Перейдите в раздел Настройки → Резервное копирование.
2. Нажмите кнопку Создать резервную копию.
3. Выберите тип резервной копии:
• Полная резервная копия (файлы + база данных).
• Только файлы.
• Только база данных.
4. Укажите параметры:
• Сжатие: Выберите, нужно ли сжимать резервную копию (например, в ZIP).
• Хранение: Укажите, где хранить резервную копию (локально или на внешнем хранилище).
5. Нажмите Создать резервную копию.

3. Настройка автоматического резервного копирования

1. Перейдите в раздел Настройки → Резервное копирование.
2. Перейдите на вкладку Автоматическое резервное копирование.
3. Настройте параметры:
• Периодичность: Выберите, как часто создавать резервные копии (ежедневно, еженедельно, ежемесячно).
• Тип резервной копии: Выберите, что включать в резервную копию (файлы, база данных или всё).
• Хранение: Укажите, где хранить резервные копии (локально или на внешнем хранилище).
• Количество хранимых копий: Укажите, сколько копий хранить (старые копии будут автоматически удаляться).
4. Сохраните настройки.

4. Настройка внешнего хранилища

1. Перейдите в раздел Настройки → Резервное копирование.
2. Перейдите на вкладку Внешние хранилища.
3. Нажмите Добавить хранилище.
4. Выберите тип хранилища (например, FTP, Яндекс.Диск, Google Drive и др.).
5. Укажите параметры подключения к хранилищу (логин, пароль, путь и т.д.).
6. Сохраните настройки.

5. Восстановление из резервной копии

1. Перейдите в раздел Настройки → Резервное копирование.
2. Найдите нужную резервную копию в списке.
3. Нажмите кнопку Восстановить.
4. Выберите, что нужно восстановить (файлы, базу данных или всё).
5. Подтвердите восстановление.

Рекомендации по использованию резервного копирования:

1. Регулярность:
• Настройте автоматическое резервное копирование с периодичностью, соответствующей частоте обновления сайта (например, ежедневно).
2. Хранение:
• Храните резервные копии на внешних хранилищах, чтобы обеспечить их сохранность в случае сбоя сервера.
3. Проверка:
• Периодически проверяйте целостность резервных копий, чтобы убедиться, что они не повреждены.
4. Безопасность:
• Ограничьте доступ к резервным копиям (например, с помощью паролей или шифрования).
5. Документация:
• Ведите журнал резервного копирования, чтобы отслеживать, когда и какие копии были созданы.

Дополнительные возможности:

• Используйте сторонние инструменты для резервного копирования (например, скрипты для работы с базой данных или файловой системой).
• Интегрируйте резервное копирование с облачными сервисами (Amazon S3, Dropbox и др.).

Пример скрипта для бэкапа базы данных на уровне операционной системы:

	 #!/bin/bash
	 mysqldump -u user -p'password' database > /backup/db_$(date +%F).sql
	 tar -czf /backup/files_$(date +%F).tar.gz /var/www/site/

Дополнительные меры

Защита от брутфорса

Ограничьте количество попыток входа в админку.

Nginx:

	 location /bitrix/admin/ {
	 auth_basic "Admin Area";
	 auth_basic_user_file /etc/nginx/.htpasswd;
	 limit_req zone=one burst=5;
	 }

Использование CAPTCHA

Добавьте CAPTCHA на формы входа и регистрации.

Что делать, если сайт уже заражен?

Если ваш сайт уже заражен, немедленно обратитесь к специалистам. Самостоятельные попытки восстановления могут усугубить ситуацию. Компания Цифровой Элемент предлагает профессиональные услуги по:

• Лечению зараженных сайтов.
• Восстановлению данных.
• Усилению защиты от будущих атак.

Заключение

Защита сайта на 1С-Битрикс требует комплексного подхода. Регулярное обновление, настройка прав доступа, использование WAF и мониторинг — это лишь часть мер, которые помогут вам избежать взлома. Если ваш сайт уже заражен, не теряйте время — обратитесь к профессионалам из компании Цифровой Элемент для оперативного восстановления и усиления защиты.

Обратитесь к нам уже сегодня, чтобы ваш сайт был надежно защищен!