Безопасность сайта в 1С-Битрикс

Тема сегодня – безопасность сайта. Почему это надо знать любому, кто хоть раз сталкивался с необходимостью разрабатывать сайт, или заказывал проект сайта у разработчиков.

Хочу напомнить, что почти половина всех сделок в наше время происходит на виртуальных торговых площадках, то есть в интернете. Лицо каждой фирмы, представленное в интернете – это сайт. А сайт – это просто кладовая различного рода информации. В личном кабинете пользователи оставляют контактную информацию, через сайт производят онлайн-платежи за разного рода товар, на сайте очень много различного рода данных, которые могут быть использованы для разного рода афер недобросовестными «посетителями».

Большая проблема - кража конфиденциальной информации с сайта, которая может нанести значительный имиджевый урон владельцу этого сайта. Вот почему крепкий хозяйственник при выборе CMS будет прежде всего ориентироваться на предложенный уровень безопасности, который такая CMS может ему предоставить. Конечно, технический потенциал 1С-Битрикс в этом случае, как нельзя лучше подходит для осуществления системы безопасности сайтов. Коротко хочу пройтись по основным пунктам, которые будут обеспечивать защиту вашего интернет-магазина, корпоративного сайта или лендинга.

Важно сразу отметить, в 1С-Битрикс существует несколько уровней защиты, каждый соответственно повышает надежность от взлома вашего сайта.

Во-первых – это распределенное хранение данных. В данном случае система осуществляет подключение облачных хранилищ, в которых происходит размещение файлов и производит в автоматическом режиме их резервное копирование. Для подключения доступны: Google Storage, Amazon S3, Windows Azure Storage от Microsoft, RackSpace, OpenStack и другие.

Второе – это резервирование данных в облако. Облако 1С-Битрикс позволяет хранить 3 резервных копии вашего сайта, единственно, размер предоставленного места в облаке будет зависеть от типа выбранной лицензии.

Третий уровень защиты – это защита от вирусов. Не каждый разработчик GSM может похвастаться встроенным антивирусом в систему управления сайтом. Функции антивируса заключаются в препятствовании внедрению вредоносного кода в сайт, выявляет в коде опасные участки и вырезает подозрительные объекты. Такие мероприятия не позволяют вирусу проникнуть на компьютер пользователя, при этом происходит уведомление администратора портала, что присутствует посторонняя зараза.

Четвертый уровень – это проактивный фильтр атак и вторжений. Он обеспечивает защиту от большинства известных атак, распознает угрозу и осуществляет блокировку вторжения на сайт. Проактивный фильтр является самым эффективным способом защиты от различного рода ошибок безопасности, которые могут быть допущены при реализации сайта, при этом все атаки фиксируются в журнале и производится уведомление администратора портала. Использование модуля «Проактивная защита» позволяет использовать систему одноразовых паролей, что будет дополнять систему авторизации на сайте, тем самым усилит систему безопасности интернет-магазина. Для включения используют приложение Bitrix OTP. Также фильтр заблокирует атаку, добавив атакующего в стоп-лист. Стоп-лист – это таблица с определенными параметрами, которые используются для ограничения доступа посетителей. Все посетители, включенные в стоп-лист, при попытке захода на сайт, автоматически блокируются. Однако, используя функцию стоп-листа необходимо проявить осторожность, иначе рискуете отправить в бан большинство ваших пользователей, пользующихся определенным браузером или робота-паука поисковой системы. При этом, если посетитель был заблокирован можно использовать сообщение стандартного характера, которое будет видно пользователю: - «Ваш IP-адрес заблокирован, в связи с повышенной активностью». Обычно, через какое-то время посетителю опять дается возможность посещать указанный сайт, для этого выставляется время, в течение которого действует блокировка, после чего она снимается в автоматическом режиме. Это может быть полезным, так как часто многие IP-адреса бывают динамическими и не закреплены за одним и тем же пользователем.

1С – Битрикс безопасность включает в себя также аудит безопасности кода – это инструмент для разработчика, который проверяет потенциально уязвимые места в коде PHP, предотвращает уязвимость и позволяет устранить источник такой опасности, что, в свою очередь усиливает защиту сайта от взлома.

Следующий инструмент, который заложен в систему – это контроль целостности файлов. Он необходим для выявления внесенных в файловую систему сайта изменений и позволяет проверить целостность ядра, системных областей и публичную часть, что, в свою очередь сделает безопасным сайт от изменений самых важных его частей, которые не были санкционированы. Проверка изменений производится при помощи лицензионного ключа «1С-Битрикс.Управление сайтом».

Настройки безопасности битрикс включают в себя и защиту административного раздела. Что обеспечивает данная функция? Все сети строго регламентируются на безопасные, из которых можно редактировать сайт и распознавание IP-адресов которых позволяет работу в администрировании сайта и опасные. При этом инструменте атаки любого характера типа XSS/CSS будут неэффективными и похищенные данные для авторизации с чужого компьютера совершенно бесполезны.

Защита сессий тоже один из способов безопасной работы сайта на bitrix. Хранение данных сессий в таблице модуля защиты обеспечивает защиту чтения этих данных через скрипты других сайтов, которые находятся на этом же сервере, исключает ошибки конфигураций виртуального хостинга, а также ошибки прав доступа, применяемых во временных каталогах и некоторые другие настройки операционной среды. Также данный модуль «защита сессий» разгрузит файловую систему и перенесет нагрузку на сервер базы данных.

Нельзя не коснуться актуальной темы, которая часто позволяет взломать сайт – это DDoS-атаки. Простым языком – это распределенная атака при помощи огромного числа так называемых «мусорных» запросов. Источником такой атаки может быть: атаки от ботнет-сети, целевые атаки конкурентов, большое количество HTTP-запросов. Получить защиту, при активной лицензии Битрикс можно бесплатно только на короткий срок в 10 дней, далее за пользование данной услугой придется платить, но, что важно, данная возможность защиты сайта предусмотрена в стандартном блоке лицензий, а решение, платить или нет за дополнительную безопасность сайта – это уже на усмотрение его владельца.

Настройки безопасности битрикс включают в себя и контроль активности. Эта защита позволяет установить барьер на сайте от слишком активных пользователей и различного рода программных роботов. Для этого в настройках нужно отметить максимальную активность посетителей для вашего сайта настроив количество запросов в секунду, которое может выполнить посетитель сайта.

Думаю, что вы уже убедились, что CMS Битрикс – это хороший набор встроенных функций, которые, кроме других плюсов имеет еще и очень важное преимущество перед остальными CMS – отличная, качественная и продуманная защита информации вашего сайта, максимально оснащенная целым комплексом мероприятий по защите информации на сайте.

Можно дать несколько советов, которые будут полезны при дальнейшем освоении, развитии и эксплуатации сайта или портала Битрикс24 вашей компании.

  1. Соблюдайте меры безопасности в личном кабинете. Нельзя передавать свои доступы в личный кабинет, даже на короткое время, даже лицу, которому вы доверяете. Можете столкнуться с тем, что, воспользовавшись информацией, другой пользователь просто сменит пароль к доступу вашего личного кабинета и сможет нанести определенный вред, используя базы данных, которые там хранятся.

  2. Ограничивайте доступ к важным файлам. Пусть это будет ваша вторая привычка. Для этого оформите доступы определенному кругу сотрудников, чтобы случайный пользователь не нанес ущерба существующей информации в панели администрирования сайта.

  3. При использовании разовой работы наемных работников, например, фрилансеров, которые выполняют задания удаленно, позаботьтесь о создании места отдельного пользователя с ограниченным доступом к хостингу, имейте в наличии резервную копию сайта, на которой будут выполнены все работы, после проверки которых, можно будет переносить на боевой сайт.

  4. Используйте постоянный IP-адрес для входа в административный раздел. Данную функцию можно сделать, войдя в меню «настройки» - проактивная защита – защита административной части. При этом, не надо забывать, что если работает несколько человек с разных IP-адресов, то остальным будет заблокирован вход в панель администрирования. Значит этот способ может подойти не всем, однако о возможности такой защиты знать нужно.

  5. Удаляйте служебные скрипты. Если вы это забудете сделать, то вы оставите определенные лазейки в безопасности вашего сайта для злоумышленников. Используя это они могут скачать файлы, загрузит зараженные файлы, войти в админку сайта и натворить там, чего их душа пожелает. Ваша забывчивость может нанести непоправимый урон для самого сайта и, следовательно, для всей хозяйственной деятельности компании или организации.

Поэтому, как только вы завершили работу со скриптами, сразу же удалите его. Для этого на панели управления хостингом выберите вкладку «Главное» - «Менеджер файлов» - выберите нужный файл и выполните действие «Удалить». Далее проверьте наличие других скриптов в административном разделе. Для этого в настройках в разделе инструменты в проверке системы надо просто запустить функцию тестирования, в результате чего появится результат: «служебные скрипты в корне сайта».

Надеюсь, советы, написанные выше, будут полезны всем, кто имеет сайт или сейчас стоит перед выбором: его модернизации или создания совершенно нового продукта для эффективной хозяйственной деятельности вашей организации, право выбора за вами, просто прислушайтесь к мнению специалистов.

При этом, безопасность, а также мероприятия, которые служат этой безопасности, одно из главных критериев при выборе или использовании CMS «1С-Битрикс. Управление сайтом».

Нельзя недооценивать количество мошенников и постоянно развивающиеся схемы этого мошенничества, поэтому защита информации работающего в определенной сфере бизнеса компании, очень важна и актуальна сегодня. Все больше данных хранится в интернете, поэтому особое внимание разработчики уделяют именно сохранения этих данных в безопасном режиме и на сегодня самой эффективной платформой, которая может предоставить достаточные гарантии такой безопасности является CMS «1С-Битрикс. Управление сайтом». Поэтому веб-студия «РУМРУМ» выбрала за основу при создании сайтов именно данную платформу, как одну из самых надежных на сегодня, поэтому наши клиенты не беспокоятся о защите и безопасности своих сайтов. Все это им обеспечивает CMS «1С-Битрикс. Управление сайтом».

Ну и стандартно, кто дочитал до конца: правильного вам выбора и профессиональных специалистов на вашем пути. 

06.07.2021
1C-Битрикс или Wordpress: какую CMS выбрать для лучшей работы сайта?