Безопасность Битрикс: 15+ обязательных пункта - рекомендации поддержки

За последние 3 года 67, 5% взломов корпоративных сайтов на 1С-Битрикс произошли из-за типовых ошибок в настройках безопасности, а не из-за сложных атак. По данным аналитиков студии Imagos, 42,7% утечек данных в 2022-204 годах начались с банального:

• Неизмененного стандартного пути к админке (/bitrix/admin/),
• Пароля admin123 у учетной записи менеджера,
• Просроченных обновлений модулей (у 80% взломанных сайтов были неактуальные версии).

Это не теория — в нашу поддержку еженедельно обращаются с инцидентами, которых можно было избежать: от подмены платежных реквизитов в интернет-магазинах до утечек баз клиентов через уязвимости в самописных модулях.

Кому и зачем читать этот гайд:

• Администраторам: инструкции по закрытию «дыр», которые пропускают даже опытные специалисты.
• Разработчикам: как писать код, устойчивый к SQL-инъекциям (примеры из практики взлома).
• Владельцам бизнеса: контрольные точки для аудита безопасности без погружения в технические детали.

1. Базовые настройки: то, что нельзя игнорировать

Смена стандартных путей админки

Проблема: сканеры злоумышленников за 2 минуты находят /bitrix/admin/ и /bitrix/php_interface/.

Решение:

1. Переименуйте папку /bitrix/ через Главный модуль → Настройки → Производительность:# в файле /bitrix/php_interface/dbconn.php
   define("BITRIX_ROOT", "/custom_folder/");
2. Для /admin/ создайте правило в .htaccess:RedirectMatch 404 ^/admin/?$
   Важно: не используйте популярные альтернативы вроде /myadmin/ — их тоже брутфорсят.

Обновления: не только ядро

Цифры: 60% эксплойтов используют уязвимости модулей, обновленных позже 30 дней после выхода патча.

Что делать:

• Автообновления включайте только для критичных модулей (ядро, security), для остальных — ручной контроль после тестирования.
• Проверяйте актуальность версий в Маркетплейсе Битрикс и через composer show bitrix/*.

Пароли + 2FA

Статистика:

• 91% компрометаций учетных записей — из-за слабых паролей (данные Verizon DBIR).
• SMS-коды перехватываются через SIM-свопинг в 23% случаев (лучше TOTP).

Настройки:

• Минимальная длина пароля — 10 символов + обязательные цифры и спецзнаки (политика в Настройки → Безопасность).
• Для 2FA используйте Битрикс24.Авторизация или Google Authenticator.

Права доступа: зачем контент-менеджеру «админка»?

Кейс: у 45% компаний в базе поддержки есть минимум 1 сотрудник с избыточными правами.

Рекомендации:

• Роли:
  Контент-менеджер — только «Работа с документами» и «Добавление товаров».
  Разработчик — доступ к /bitrix/, но без прав на «Управление пользователями».
• Контроль: ежемесячный аудит через отчет «Журнал событий».

2. Защита от внешних угроз: закрываем "дыры", которые эксплуатируют хакеры

Настройка .htaccess и nginx: не даем злоумышленникам шанса

Проблема:

• 38% успешных атак на сайты Битрикс начинаются с эксплуатации уязвимостей в загрузочных директориях или через SQL-инъекции (данные Sucuri, 2023).
• В 65% случаев хакеры используют стандартные пути к служебным скриптам (/upload/php_uploader.php, /bitrix/tools/upload.php).

Решение:

Блокировка SQL-инъекций и XSS

Добавьте в .htaccess (Apache) или конфиг nginx следующие правила:

# Блокируем распространенные SQL-инъекции
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00) [NC,OR]
RewriteCond %{QUERY_STRING} (union|select|insert|drop|update|md5|benchmark) [NC]
RewriteRule ^(.*)$ - [F,L]

# Защита от XSS
RewriteCond %{QUERY_STRING} (<|%3C|script|javascript|alert|document.cookie) [NC]
RewriteRule ^(.*)$ - [F,L]

Для nginx:

location ~* \.(php|pl|cgi)$ {
if ($query_string ~* "(;|<|>|'|\"|\)|%0A|%0D|%22|%27|%3C|%3E|%00)") { return 403; }
if ($query_string ~* "(union|select|insert|drop|update|md5|benchmark)") { return 403; }
}

Запрет выполнения PHP в upload-директориях

Частая ошибка: загруженный через форму вредоносный shell.php исполняется на сервере.

Фикс:

# В .htaccess внутри /upload/
<FilesMatch "\.(php|phtml|pl|py|jsp|asp|sh|cgi)$">
Require all denied
</FilesMatch>

WAF и фильтрация трафика: останавливаем атаки до попадания на сервер

Встроенный WAF Битрикс

• Включите в Настройки → Безопасность → Web Application Firewall:
  Режим: "Параноидальный" (блокирует даже подозрительные запросы).
  Фильтрация ботов: Googlebot, Yandex – разрешены, остальные – в серый список.

Статистика:

• WAF Битрикс блокирует ~92% массовых сканирований уязвимостей (данные Bitrix24 за 2024).

Интеграция с Cloudflare или Яндекс.Shield

• Cloudflare:
  Включите "Under Attack Mode" при DDoS.
  Настройте Firewall Rules для блокировки стран, откуда идут атаки (например, Китай, Бразилия – 41% брутфорс-трафика).
• Яндекс.Shield:
  Капча для подозрительных IP + автоматический бан при 10+ failed-логинах.

Антибрутфорс-защита: не пускаем перебор паролей

Цифры:

• Средний бот пробует 500+ паролей/час на один аккаунт (Akamai, 2024).

Настройки:

1. Лимиты попыток входа (в Настройки → Безопасность):
   Макс. 5 попыток с одного IP.
   Бан на 1 час после 3 ошибок.
2. CAPTCHA для подозрительных запросов:
   Включите reCAPTCHA v3 (менее назойлива, чем v2).

Контроль файловой системы: кто и что меняет?

Запрет на редактирование файлов через файл-менеджер

• В Настройки → Настройки модулей → Файлы и папки:
  Отключите "Разрешить редактирование PHP-файлов".
  Запретите доступ к /bitrix/ для всех, кроме администраторов.

Мониторинг изменений в /bitrix/ и /local/

• Используйте inotifywait (Linux) для отслеживания изменений:inotifywait -m -r /var/www/site/bitrix/ -e modify,create,delete | tee -a /var/log/bitrix_changes.log
• Альтернатива: сервис Tripwire (авто-оповещения о подозрительных правках).

Резервное копирование: последняя линия обороны

Автоматические бэкапы (cron + cloud-хранилища)

• Пример скрипта для ежедневного бэкапа:tar -czf /backups/bitrix_$(date +%Y-%m-%d).tar.gz /var/www/site/ \
  && rclone copy /backups/ YandexDisk:backups/
  
• Где хранить:
  Яндекс.Диск (шифрование через Cryptomator).
  AWS S3 с политикой "Immutable" (нельзя удалить файлы раньше срока).

Тестирование восстановления

• Каждые 3 месяца разворачивайте бэкап на тестовом сервере.
• Проверяйте:
  Целостность БД (mysqlcheck -r bitrix_db).
  Работоспособность API и платежных модулей.

3. Безопасность данных: защищаем то, что нельзя терять

Шифрование соединений: HTTPS — не роскошь, а необходимость

Проблема:

• 28% сайтов на Битрикс до сих пор используют HTTP или устаревшие SSL-протоколы (TLS 1.0/1.1), что делает их уязвимыми к MITM-атакам.
• В 2023 году 41-43% фишинговых атак имитировали легитимные сайты из-за ошибок в сертификатах (данные экспертов Imagos).

Решение:

Обязательный HTTPS + HSTS

1. Настройка HTTPS:
   Купите сертификат Wildcard (если поддомены) или DV/OV (для одного домена).
   Не используйте самоподписанные сертификаты — их блокируют браузеры.
2. Включите HSTS (HTTP Strict Transport Security) в .htaccess:Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
   
   Это навсегда запретит доступ по HTTP.
3. Проверка SSL:
   Используйте SSL Labs Test — оценка A+ должна быть целью.
   Отключите TLS 1.0/1.1, оставьте только TLS 1.2/1.3.

Защита API и интеграций

Статистика:

• 61% утечек данных в API происходят из-за статичных ключей и отсутствия IP-фильтрации (OWASP, 2024).

Что делать:

Ограничение IP-адресов для API

• В Настройки → REST/SOAP-API:
  Разрешите доступ только с IP вашего сервера и доверенных облачных сервисов (например, 1С, CRM).

Ротация API-ключей

• Меняйте ключи каждые 30 дней.
• Для автоматизации используйте Bitrix API Key Manager (есть в Маркетплейсе).

Работа с пользовательскими данными

Очистка персональных данных (GDPR/152-ФЗ)

• В Настройки → Настройки модулей → Веб-формы:
  Установите срок хранения данных (например, 1 год).
  Включите автоудаление неактивных аккаунтов.

Шифрование  данных в БД

• Для полей с паролями, платежными реквизитами используйте:// В /bitrix/php_interface/dbconn.php
  define("ENCRYPTION_KEY", "ваш_уникальный_ключ_32_символа");
• Не храните CVV-коды карт — это нарушение PCI DSS.

4. Дополнительные меры: проактивная защита

Мониторинг и логирование

Анализ логов доступа

• Путь к логам: /bitrix/modules/security/logs/.
• Что искать:
  Повторяющиеся 404-ошибки (сканирование уязвимостей).
  POST-запросы к /bitrix/admin/ (попытки брутфорса).

Интеграция с SIEM

• Splunk или ELK Stack:
  Настройте алерты на >50 запросов/сек к API.
  Пример правила для Wazuh:"rule": {
  "level": 12,
  "description": "Множественные failed-логины в Битрикс"
  }

Аудит кода

Проверка кастомных модулей

• Bitrix Advisor (бесплатно):
  Ищет уязвимые функции (eval(), shell_exec()).
• Acunetix (платно):
  Тестирует XSS/SQL-инъекции в API.

Пример опасного кода:

// Уязвимость: SQL-инъекция
$user = $_GET['id'];
$DB->Query("SELECT * FROM users WHERE ID = $user"); // Ошибка!

Исправление:

$user = (int)$_GET['id']; // Фильтрация
$DB->Query("SELECT * FROM users WHERE ID = ?", [$user]); // Подготовленный запрос

План реагирования на инциденты

Шаги при взломе:

1. Блокировка аккаунтов:
   Отключите все сессии в Настройки → Пользователи → Активные сессии.
2. Откат бэкапа:
   Восстановите файлы + БД за последнюю «чистую» дату.
3. Анализ вектора атаки:
   Проверьте /bitrix/security/logs/ на аномалии.

Безопасность Битрикс — это постоянный процесс, а не разовое действие

Чек-лист для ежеквартального аудита

Каждые 3 месяца проверяйте критические точки:

1. Обновления:
   Ядро Битрикс и все модули — последние версии.
   Устаревшие компоненты — главная причина 68% успешных атак (данные Kaspersky, 2024).
2. Доступы:
   Нет пользователей с правами «Администратор», которым это не нужно.
   Все API-ключи сменились за последние 30 дней.
3. Резервы:
   Бэкапы тестируются на восстановление (37% компаний обнаруживают, что их копии нерабочие).
4. Логи:
   Анализ /bitrix/security/logs/ на подозрительную активность (например, массовые запросы к /bitrix/admin/).

Где учиться безопасности

• Официальные курсы Битрикс:
  «Администрирование Битрикс» — обязательный минимум для администраторов.
  «Безопасность веб-приложений» — разбор реальных кейсов взломов.
• Вебинары от Cloudflare и Яндекса:
  Как настроить WAF без замедления сайта.
  Защита от DDoS для малого бизнеса (бесплатные инструменты).

Профессиональная поддержка — не роскошь

• Статистика: Компании, которые используют проактивный мониторинг, обнаруживают взломы в 7 раз быстрее (IBM, 2024).
• Что дает специалист:
  Ежедневная проверка логов на аномалии.
  Экстренный ответ при атаке (например, блокировка IP за 5 минут).
  Аудит кода перед внедрением новых модулей.

Безопасность — это не про паранойю, а про контроль. Даже базовые меры (HTTPS, 2FA, бэкапы) снижают риски на 80%.

Сайты с ежеквартальным аудитом взламывают на 94% реже. Не надейтесь на «авось» — действуйте или обращайтесь в профессиональную поддержку.