В Битриксе предусмотрена целая экосистема инструментов, объединенных под названием «Активная система защиты». Эти инструменты доступны уже с редакции «Стандарт», правда, часть функций заработает только после установки специального модуля веб-аналитики.
Теперь подробнее рассмотрим каждый элемент защитной системы.
Фильтр активности защиты
Фильтр активности защиты – ваш надежный щит от большинства распространенных интернет-угроз. Он похож на строгого охранника, который тщательно проверяет всех посетителей, изучает их запросы и куки-файлы, и оперативно пресекает любые подозрительные действия, защищая сайт от попыток взлома и вирусных атак.
Именно этот фильтр предотвращает самые частые ошибки безопасности, которые могли возникнуть в ходе разработки интернет-проекта — например, XSS-атаки, инъекции SQL, PHP Inclusion и другие. Каждое подозрительное действие он фиксирует в специальном журнале, а администратор моментально получает уведомление об инциденте. Если атакующий проявляет особую настойчивость, его IP-адрес автоматически отправляется в бан-лист.
Анализатор безопасности сайта
Найти инструмент можно так: зайти в «Администрирование», затем перейти в «Настройки», после чего открыть раздел «Активная защита» и выбрать «Анализатор безопасности».
Анализатор безопасности – это своего рода «антивирус», который постоянно мониторит и проверяет уязвимости вашего веб-проекта. В паре с системой активной защиты сервис «Security Scanner» проводит детальный анализ безопасности сайта и заранее предупреждает о потенциальных угрозах.
Сканер тщательно изучает окружение сайта, просматривает параметры защиты и выявляет слабые места в коде проекта, используя методику статического анализа.
Для запуска проверки достаточно кликнуть по кнопке «Начать проверку». После окончания анализа появляется подробный отчет, где перечислены все обнаруженные угрозы. Не стоит сразу паниковать: не каждая обнаруженная особенность обязательно является опасностью. Однако следовать рекомендациям в отчете все-таки желательно.
Возможности сканера безопасности сайта на Битрикс:
- Он оценивает внутреннюю безопасность окружения. Например, проверяет, надежно ли защищены сессии пользователей.
- Он проверяет корректность основных настроек вашего сайта. К примеру, работает ли firewall (WAF), установлен ли надежный пароль на базу данных и прочие детали.
- Он занимается поиском потенциальных уязвимостей в коде сайта, применяя статический анализ исходных файлов.
- Кроме того, сканер способен провести и внешнюю проверку, выясняя правильность конфигурации веб-сервера Nginx и php-fpm, доступность и защищенность настроек PhpMyAdmin и других важных сервисов. Не забывайте, что внутренние службы сайта лучше не выставлять на обозрение внешнему миру, а этот инструмент как раз проверит, какие из них открыты для доступа извне.
Отчет после проверки содержит не только описание найденных уязвимостей, но и практические советы, как их устранить. Самые важные пункты отчетливо выделены красным цветом и сопровождаются значком восклицания.
Если при работе анализатора вы столкнулись с проблемами, которые не можете устранить сами, не стесняйтесь обращаться за помощью к разработчикам сайта — некоторые ошибки могут быть действительно критичными.
Встроенный веб-антивирус сайта
Путь к инструменту:
«Администрирование» → «Настройки» → «Активная защита» → «Веб-антивирус»
Веб-антивирус работает, словно цифровой хирург, который выявляет и оперативно удаляет подозрительные фрагменты HTML-кода, тем самым предотвращая попадание вирусов и прочего вредоносного содержимого на ваш сайт.
При обнаружении опасного кода администратор немедленно получает уведомление. В настройках веб-антивируса предусмотрена возможность добавить исключения для безопасных, но вызывающих подозрения фрагментов кода, чтобы избежать ложных срабатываний.
Проверка безопасности PHP-кода
Путь к инструменту:
«Администрирование» → «Настройки» → «Инструменты» → «Монитор качества»
Монитор качества – это своего рода цифровой ревизор, который анализирует PHP-код вашего сайта и подсказывает, какие его части могут стать лазейкой для хакеров. Причём система не просто сигнализирует о потенциальной уязвимости, но и помогает найти её корень и устранить угрозу до того, как её кто-то использует против вас.
После анализа вы получите отчёт с чёткими рекомендациями о том, какие места стоит исправить, чтобы повысить безопасность сайта.
Анти-DDoS-защита сайта
DDoS-атаки напоминают массовый флешмоб из бессмысленных запросов, способных вывести сайт из строя. Борьба с ними требует профессионального подхода.
С версии 15 в 1С-Битрикс предусмотрена встроенная защита от DDoS. Её можно активировать прямо из админ-панели сайта, либо через специальную страницу сервиса Битрикс, если админка уже не открывается из-за атаки. Лицензия позволяет бесплатно защитить сайт от DDoS-атак сроком на 10 дней в течение года.
Кстати, на нашем специализированном хостинге для 1С-Битрикс защита от DDoS-атак уже встроена во все тарифы – аппаратная и программная.
Чёрный список нежелательных посетителей
Стоп-лист – это ваш виртуальный фейс-контроль. Он позволяет запретить доступ сомнительным пользователям и ботам. Вот его основные возможности:
- Перенаправляет нежелательных посетителей, параметры которых совпадают с вашим стоп-листом.
- Позволяет заблокировать пользователей по IP-адресам.
- Можно вручную добавлять новые записи и параметры для блокировки.
- Ведёт статистику пользователей, которым запрещён доступ.
- Позволяет задать период блокировки для пользователя, целой IP-сети, маски подсети, UserAgent или реферера, с которого зашёл посетитель.
- Даёт возможность изменять сообщение, отображаемое заблокированным пользователям.
Контроль пользовательской активности
Этот инструмент напоминает электронного вышибалу, отсеивающего слишком активных пользователей и роботов, пытающихся подобрать пароли или устроить мини-DDoS. Настройки позволяют указать максимальное число запросов в секунду, которые допустимы для одного посетителя.
Вот что он умеет:
- Защищает сайт от излишне активных посетителей и автоматизированных ботов.
- Пресекает попытки подбора паролей методом перебора.
- Ограничивает максимальную активность посетителей до уровня, характерного для обычного человека.
- Записывает случаи превышения допустимого лимита активности в Журнал вторжений.
- Блокирует пользователей, превысивших допустимое число запросов, и показывает им специальную страницу с уведомлением.
Ограничение доступа к админ-панели
Этот инструмент устанавливает жёсткие правила, разрешающие доступ к административному разделу сайта только с указанных вами IP-адресов. Благодаря этому злоумышленники не смогут провести атаки вроде XSS или перехватить данные авторизации, так как вход с любого постороннего устройства будет невозможен.
Также этот инструмент обеспечивает защиту от возможной блокировки доступа администраторов к сайту извне.
Проверка файлов сайта на целостность
Путь к инструменту:
«Администрирование» → «Настройки» → «Активная защита» → «Контроль целостности»
Контроль целостности файлов – это инструмент, который быстро покажет, если кто-то вносил изменения в файлы вашего сайта. Можно в любой момент проверить целостность ядра, системных файлов и публичной части сайта, убедившись, что ничего подозрительного не произошло.
Также есть возможность проверить и сам скрипт, отвечающий за контроль целостности.
Защита сеансов авторизации пользователей
Защита сессий — крайне полезный инструмент. Основная цель многих атак на сайты – похищение авторизационных данных пользователей. При включённой защите сеансов такой перехват становится невозможным.
Хранение данных сеансов в таблице модуля гарантирует, что никто из соседних сайтов на сервере не сможет считать ваши сессии из-за ошибок конфигурации виртуального хостинга или неправильных прав доступа к временным файлам.
Кроме того, такой подход уменьшает нагрузку на файловую систему и переносит её на сервер баз данных, увеличивая стабильность сайта.
Центр управления безопасностью сайта
Панель безопасности даёт возможность легко выбрать подходящий уровень защиты вашего сайта: базовый, типовой, усиленный или максимальный. В процессе выбора система автоматически подскажет, какие настройки лучше установить для текущего уровня защиты.
- Базовый уровень назначается всем новым сайтам на Битриксе, у которых пока не активирован модуль активной защиты.
- Типовой уровень актуален для проектов, которые используют базовые инструменты встроенной защиты системы.
- Усиленный уровень рекомендован большинству сайтов, поскольку помимо стандартных инструментов включает дополнительные опции:
- Ведение журнала событий;
- Ограничение доступа к административному разделу;
- Хранение данных сессий в базе;
- Регулярную смену идентификатора сессий.
- Ведение журнала событий;
- Максимальный уровень ориентирован на сайты, работающие с конфиденциальными данными пользователей. Помимо всех вышеупомянутых инструментов он предлагает:
- Поддержку одноразовых паролей;
- Проверку целостности файла мониторинга.
- Поддержку одноразовых паролей;
Авторизация с защищённой передачей паролей без SSL
Эта технология делает перехват паролей практически невозможным. Пароли шифруются надёжным алгоритмом RSA с длиной ключа 1024 бита, после чего уже зашифрованные данные передаются на сервер сайта.
Такой подход исключает передачу пароля в открытом виде и не требует обязательного подключения SSL. Все прежние способы авторизации при этом продолжают работать без изменений.
Журнал событий и попыток вторжения
Журнал вторжений фиксирует любые подозрительные события на сайте. Все записи ведутся в режиме реального времени, так что любые необычные действия можно заметить практически сразу после их появления.
Это позволяет оперативно реагировать на любые попытки атак, своевременно блокируя злоумышленников и предотвращая ущерб.
Двухфакторная авторизация и одноразовые пароли
Использование одноразовых паролей существенно повышает безопасность авторизации на сайте. В дополнение к обычному логину и паролю, пользователь подтверждает вход одноразовым кодом.
Такие коды можно получать с помощью физических устройств, например брелоков eToken PASS, либо с помощью специального мобильного приложения-генератора ОТР-кодов для сайта.
Защита ссылок и редиректов от фишинга
Как и большинство CMS, 1С-Битрикс позволяет использовать перенаправления (редиректы) для подсчёта переходов по ссылкам. Чтобы не допустить подмены ссылок и защититься от фишинга, предусмотрены специальные настройки:
- Проверка HTTP-заголовка источника ссылки: инструмент будет проверять наличие заголовка с описанием страницы-источника.
- Проверка сайта-источника: убедится, что страница-источник действительно относится к текущему сайту.
- Добавление цифровой подписи: адреса из списка специально отмеченных URL будут автоматически подписываться цифровым ключом.
Запрет загрузки страниц во фреймах
Опция позволяет заблокировать загрузку страниц сайта внутри сторонних iframe, устанавливая HTTP-заголовок X-Frame-Options в значение SAMEORIGIN.
Важно: при включении защиты от фреймов перестаёт работать инструмент «Вебвизор» от Яндекс.Метрики. Однако это можно обойти через дополнительные настройки на уровне веб-сервера Nginx. Техническая поддержка вашего хостинга сможет вам помочь с настройкой исключений.
Блокировка нежелательных доменов и хостов
Функция защищает ваш сайт от открытия по адресам, которые вы не добавляли в список разрешённых. Это предотвращает подмену заголовка Host.
Вы можете выбрать: либо полностью блокировать попытки открыть сайт с таких адресов, либо перенаправлять посетителей на правильный домен.
Дополнительные инструменты безопасности 1С-Битрикс
Резервные копии сайта
Первое, о чём стоит позаботиться любому владельцу сайта — регулярное резервное копирование. Это ваша страховка на случай неожиданных сбоев или хакерских атак.
На хостинге Джихост автоматическое резервное копирование выполняется раз в неделю, а копии хранятся на отдельных серверах, не занимая ваше дисковое пространство.
Однако лучше создавать бэкапы и вручную — особенно перед крупными обновлениями сайта. Сделать это можно через панель управления хостинга в разделе:
«Инструменты» → «Резервные копии» → «Новый».
Сам Битрикс также предлагает несколько вариантов резервного копирования:
- Полный бэкап: копируется весь сайт целиком.
- Выборочное копирование: вы сами выбираете, что именно сохранить (например, базу данных, файлы контента или ядро). Удобно для экономии места.
- Регулярное резервное копирование: автоматическое создание копий по расписанию с возможностью автоматически удалять устаревшие копии.
- Резервное копирование в облако: хранение копий в облаке — самый безопасный способ защитить данные от потери.
Защита от атак типа CSRF при выходе пользователей
Битрикс позволяет защитить пользователей от атак типа межсайтовой подделки запросов (CSRF) буквально одной кнопкой в панели управления сайтом.