Найти в Дзене
IT DevOps Web SEO от Алексея
263 подписчика

Обеспечения минимальной безопасности сайта на 1С-Битрикс.

2
3 мин
Мы разберём не только «что делать», но и «почему это критично» — с техническими нюансами. Представьте, что ваш сайт — это автомобиль. Ездить на нём без замены масла можно месяц, год, но однажды двигатель заклинит. Точно так же работают устаревшие версии Битрикс и PHP. Что делать: Для безопасного обновления: Почему это важно:
В 2022-2024 годах 63% взломов сайтов на Битрикс произошли из-за устаревших компонентов (данные Positive Technologies). Помните: даже если «всё работает», отсутствие обновлений — это тикающая бомба. Каждый неиспользуемый модуль — это: Пример из практики:
Модуль «Опросы» (vote) — частый источник проблем. В 2021 году через его компонент uf.php хакеры массово внедряли скрипты для майнинга криптовалюты. Решение простое: зайдите в «Настройки» → «Настройки продукта» → «Модули» → деактивируйте всё, что не используется. Что включить вместо этого: Сканер безопасности Битрикс — это базовый инструмент, но его часто игнорируют. Его главный плюс — интеграция с ядром системы. О
Оглавление

Мы разберём не только «что делать», но и «почему это критично» — с техническими нюансами.

1. Обновления: Не роскошь, а необходимость

Представьте, что ваш сайт — это автомобиль. Ездить на нём без замены масла можно месяц, год, но однажды двигатель заклинит. Точно так же работают устаревшие версии Битрикс и PHP.

Что делать:

  • Обновляйте ядро Битрикс не реже раза в квартал. В новых версиях ( появляются не только фичи, но и «заплатки» для уязвимостей типа SQL-инъекций или XSS.

Для безопасного обновления:

  1. Создайте полный бэкап (о нём позже).
  2. Отключите все сторонние модули.
  3. Запустите обновление через /bitrix/admin/update_system.php.
  • Внешние модули из Маркетплейса — это как приложения на смартфоне. Если их не обновлять, рано или поздно хакеры найдут брешь. Например, модуль «Интернет-магазин» версии ниже 20.0.500 уязвим к подмене цен через манипуляции с cookies.

Почему это важно:
В 2022-2024 годах 63% взломов сайтов на Битрикс произошли из-за устаревших компонентов (данные Positive Technologies). Помните: даже если «всё работает», отсутствие обновлений — это тикающая бомба.

2. Чистка и настройка: Отключите всё лишнее

Каждый неиспользуемый модуль — это:

  • Дополнительные точки входа для атак.
  • Лишняя нагрузка на сервер.
  • Риск конфликтов при обновлениях.

Пример из практики:
Модуль «Опросы» (vote) — частый источник проблем. В 2021 году через его компонент uf.php хакеры массово внедряли скрипты для майнинга криптовалюты. Решение простое: зайдите в «Настройки» → «Настройки продукта» → «Модули» → деактивируйте всё, что не используется.

Что включить вместо этого:

  • Проактивный фильтр — это ваш «антивирус» Битрикс. Он анализирует запросы на предмет подозрительных паттернов (например, ../ в URL для Path Traversal). Настройки находятся в «Настройки» → «Проактивная защита».
  • Контроль активности — детектирует аномалии: 100 попыток входа за минуту, подозрительные действия от одного IP. Советую настроить оповещения в Telegram через вебхуки.

3. Сканирование и резервные копии: Не надейтесь на авось

Сканер безопасности Битрикс — это базовый инструмент, но его часто игнорируют. Его главный плюс — интеграция с ядром системы. Он проверяет:

  • Наличие файлов с правами 777.
  • Подозрительные изменения в /bitrix/modules/.
  • Открытые порты на сервере через CRON-задачи.

Но этого мало. Установите модуль «Поиск троянов» — он ищет сигнатуры известных эксплойтов (например, eval(base64_decode(...))). Для параноиков: запускайте раз в неделю ручной поиск через консоль:

grep -r --include=*.php 'eval(' /path/to/site/

Бэкапы — ваша страховка. Настройте их по правилу 3-2-1:

  • 3 копии данных.
  • 2 разных носителя (например, облако + локальный диск).
  • 1 автономное хранилище (offline).
    Используйте     /bitrix/backup/ для ежедневных снимков и дублируйте их на S3-совместимые хранилища (Yandex Cloud).

4. Серверные настройки: Забудьте про PHP 5.6

PHP 8.x — это не просто «новая версия». Это:

  • JIT-компилятор (ускоряет выполнение кода на 30-50%).
  • Типизация аргументов (снижает риск ошибок в модулях).
  • Улучшенная безопасность (например, автоматическое экранирование строк в mysql).

Как обновить без простоев:

  1. Установите параллельно PHP 8.x.
  2. Протестируйте сайт через поддомен с новой версией.
  3. Переключите основной сайт через .htaccess:
<IfModule mod_php8.c>
php_value engine On
</IfModule>

Защита файлов: Закройте доступ к скриптам в .htaccess:

<FilesMatch "^(upload|mail_entry|virtual_file_system|ajax|uf|html_editor_action)\.php$">
Deny from all
</FilesMatch>

Пояснение: Эти файлы часто используются для внедрения вредоносного кода (например, upload.php позволяет загружать произвольные файлы при неправильных настройках прав).

5. Логирование: Ваш детектив для расследования инцидентов

Access-логи — это хлеб и масло для анализа атак. Включите их в php.ini:

log_errors = On
error_log = /var/log/php_errors.log

Что искать в логах:

  • Повторяющиеся POST-запросы к /bitrix/admin/ — признак брутфорса.
  • HTTP-код 200 для несуществующих страниц — возможно, бот ищет уязвимости.
  • Необычные User-Agent (например, «sqlmap» или «nmap»).

Заключение: Не геройствуйте

Да, все эти настройки можно сделать самостоятельно. Но если вы не уверены в своих навыках — доверьтесь профессионалам. Одна ошибка в .htaccess может «положить» сайт на несколько часов.

Автоматизация в процессах и производстве
24,6 тыс интересуются