Безопасность сайтов на 1С-Битрикс

Безопасность сайтов на 1С-Битрикс

Важно: 26 мая 2022г от 1С-Битрикс поступило следующее письмо:

Добрый день!
В Сети обнаружена информация с описанием устаревших способов атак на продукты компании.

На протяжении всего времени мы оперативно выпускали все необходимые обновления системы безопасности. Мы настойчиво рекомендуем обновить все продукты компании до последней версии (main 22.0.200).

Если вы этого еще не сделали — немедленно свяжитесь с ответственным IT-специалистом. Или напишите в нашу техподдержку.

Компания рекомендует всегда тщательно отслеживать и устанавливать обновления всех продуктов. Регулярно меняйте пароли администраторов, используйте двухфакторную авторизацию. Не используйте «слабые» пароли.

В последнее время и мы стали наблюдать повышенную активность в попытках взломов сайтов и интернет-магазинов. Мы не специализируемся на услугах в области информационной безопасности, но кое-что для защиты ваших сайтов предложить можем. Мы все , что описано ниже, неоднократно настраивали на проектах наших клиентов и получали хорошие результаты по безопасности.

 И так, начнём:

1. Установка файервола веб-приложений

Он располагается перед основным веб-приложением и анализирует входящий трафик. В режиме реального времени он принимает решение о предоставлении либо отклонении доступа. К сожалению, файервол может блокировать и вполне невинные запросы, в связи с чем первое время после установки такой защиты необходимо наблюдать за работой системы и оперативно пополнять список исключений. Эта защита не даёт 100%-гарантий от заражений или вирусной активности, но сильно затрудняет внешние атаки на сайт, а также блокирует какие-то обращения извне к уже заложенным "дырам" на сайте, если он подвергался вирусным атакам ранее.

Данная мера обеспечения безопасности является серьёзным первичным барьером на пути вредоносных атак.

2. Прохождение сканера безопасности 1С-Битрикс

Вот что умеет сканер безопасности:

• Выполнять внутреннее сканирование окружения проекта (к примеру, безопасно ли хранятся файлы сессий);
• Выполнять проверку настроек сайта (к примеру, включен ли WAF, установлен ли пароль к базе данных и т. д.);
• Выполнять поиск потенциальных уязвимостей в коде проекта с помощью статического анализа;
• Запускать внешнее сканирование.

К сожалению, одним из пунктов наверняка будет уменьшение времени активности сессии, что может немного раздражать (опять разлогинило!), но в некоторых случаях это оправдывает себя. 

Статья о том, как сделать самостоятельный аудит сайта: https://webformat.kz/~ZvgvV

3. Настройка скрипта поточного резервного копирования

Наши программисты разработали скрипт, который позволяет создавать резервную копию во внешнее хранилище (например, на depositfiles или любой FTP-сервер) напрямую, без предварительного сохранения резервной копии локально. В чём преимущество?

• Скрипт не сохраняет копию резервной копии локально, а сразу загружает на внешний ресурс;
• У посторонних нет доступа к резервной копии, а значит её не скачать и не использовать в своих целях.

В стандартном функционале, даже если резервная копия сохраняется в облако 1С-Битрикс, сначала создаётся локальная копия, которая позднее загружается в облако. Но если место заканчивается, то при попытке создания резервной копии место заканчивается совсем и сервер перестаёт работать. Кроме этого, если резервные копии не хранятся локально, то экономится драгоценное пространство на сервере.

4. Установка антиспам-фильтра

Данный фильтр блокирует большинство спам-ботов, заполняющих формы на сайте. При необходимости сигнатуры фильтра могут быть скорректированы индивидуально для каждого сайта.

Межсетевой экран на страже вашего сайта. В статье рассказываем, что такое межсетевой экран и почему так важно устанавливать его на свои сайты: https://webformat.kz/~JreyF

5. Защита SSH-доступа и закрытие портов

Дополнительные меры предосторожности не помешают. Возможно, Вы когда-то давали доступы тем или иным подрядчикам, а сменить пароли после их работ забыли. Включает в себя: 

• Перевод SSH-подключения на нестандартный порт;
• Запрет аутентификации root-пользователя по паролю  –  перевод на аутентификацию по ssh-ключу;
• Закрытие всех портов в iptables, кроме списка разрешённых.

6. Установка php-антивируса

Мы готовы установить и настроить один или несколько php-сканеров, созданных для обнаружения троянов, вирусов и прочих угроз и уязвимостей. Они будут по расписанию проверять код сайта и сообщать, если в коде появилось что-то подозрительное. Их можно устанавливать даже на shared-хостинги, а также они подходят для любых систем на PHP.

7. Самодиагностика (установка и настройка)

Представляет собой модуль для 1С-Битрикс, который отправляет уведомления по e-mail при возникновении потенциально опасных для работоспособности сайта ситуаций на сервере: исчерпание дискового пространства, оперативной памяти, файловых дескрипторов, подозрительных записей в логах и т.д.

Конечно, вышеперечисленный комплекс мер не сделает ваш сайт неуязвимым, но однозначно повысит уровень его защиты. Но даже выполнив все требования относительно безопасности сайта и сервера, нельзя забывать об осторожности и проверять, кому вы даёте доступы, какие скрипты запускаете и какие файлы сохраняете на сервер.

Заказать услугу можно любым удобным для Вас способом: оставить заявку на нашем сайте, заказать звонок, написать нам в чат или позвонить по номеру +7 (717) 269-66-29