Мастеркласс: лечим сайт от вирусов и возвращаем трафик. Как проверить сайт битрикс на вирусы


Что делать если на 1С-Битрикс обнаружен вирус?

Не секрет, что 1С-Битрикс оснащена довольно сильным веб-антивирусом. Что же делать, если вирус обнаружен? Как разобраться с проблемой, чтобы не нанести вреда сайту?

В первую очередь, надо выяснить, действительно ли веб-антивирус нашел вирусную ссылки или же мы имеем дело с ложным срабатыванием? Так как работа веб-антивируса 1С-Битрикс опирается на эвристический анализ html кода, количество минимальных срабатываний нельзя свести к нулю. Веб-антивирус просматривает потенциально опасные блоки html кода и может по ошибке распознать некоторые из них, как вирусные.

s90_kaspersky

 

Грубо говоря, речь идет о двух типах блоков, которые могут быть обнаружены веб-антивирусом и помечены, как вирусные. Первые — легитимные блоки. Они добавлены программистом, а не вирусной программой (ложное срабатывание). Вторые — по-настоящему вирусные блоки. Отметим, что отличить вирусный блок от легитимного довольно легко. С этой задачей справится и человек. В то же время, если сканировать блоки персональными антивирусами, результат оставляет желать лучшего, ведь вирусные блоки не содержат вирусы, а лишь ссылки на них.

Итак, если веб-антивирус обнаруживает вирус, но блок проверен и помечен, как легитимный, то значит, мы имеем дело с ложным срабатыванием. Чтобы избежать этой ошибки в дальнейшем, возьмите строку из «вирусного» блока (постарайтесь, чтобы она была длинной и уникальной) и добавьте ее в список исключений веб-антивируса. Если же ссылка на вирус присутствует, то возникает проблема.

Дело в том, что вирусная ссылка есть не что иное, как прямое указание на то, что на вашем сервере находится сторонний код. Это подводит нас к неутешительному выводу: если «вражеский» код на сервере, то значит, что произошла компрометация, то есть злоумышленник имеет доступ ко всем файлам, хранящимся на сервере. Как правило, если веб-антивирус 1С-Битрикс обнаруживает вирусный блок, это означает, что машина программиста, администратора или вебмастера заражена. Воспользовавшись доступом машины к серверу через FTP (SSH, SFTP), вирус похищает пароль от сервера.

Если вирус на сайте обнаружен и подтвержден, то надо проверить все машины, которые имеют доступ к сайту, а также к панели администрирования 1С-Битрикс. Проверка проводится с помощью стандартного персонального антивируса. Когда «чистка» завершена, надо сменить пароли от сервера, включая пароли от FTP, SSH, рутовые пароли, пароли базы данных и пользователей 1С-Битрикс с доступом к панели администрирования.

После смены паролей необходимо удалить весь сторонний код с сервера. Советуем использовать контроль целостности файлов из 1С-Битрикс для контроля за изменением файлов. К сожалению, контроль целостности файлов поможет вам только в том случае, если вы проводите регулярные проверки. Если вы никогда раньше не запускали контроль целостности файлов, то найти все изменения в коде, оставленные хакером, будет очень непросто.

Что же делать, если контроль целостности файлов никогда не запускался, а проблема есть? В таком случае, надо осуществить поиск вирусного блока или строки на всех файлах сервера, провести ручную проверку недавно измененных файлов, проанализировать логи http сервера.

В общем, надо надеяться, что вы столкнулись с обыкновенным хакером, который внедрил пару java скриптов, не оставил скрытых бекдоров и ушел восвояси. Конечно, на везение полагаться не стоит — хакеры могут скрывать бекдоры десятками разных способов, что затрудняет их поиск и обнаружение. Случаи, когда скрытые бекдоры остаются, достаточно редки, но все же случаются. Запомните: если вы проделали все вышеописанные процедуры, но сайт по-прежнему плохо работает, то на сайте есть скрытый бекдор. В таком случае, можно пожелать вам удачи в поисках.

singree.com

Как проверить сайт на вирусы? — Вопросы и ответы — Джино • Спектр / 1С-Битрикс

Проверить сайт на вирусы можно прямо в контрольной панели хостинга «Джино».

  1. Авторизуйтесь в личном кабинете на jino.ru и перейдите в панель управления хостингом.

  2. В разделе «Управление» выберите «Антивирус».

  3. На странице «Антивирус» нажмите на кнопку «Новая проверка» и в открывшемся окне укажите путь к сайту, который необходимо проверить. Чтобы правильно указать путь, вы можете воспользоваться функцией «Обзор» и выбрать папку с доменом сайта.

    Пример указания пути к папке с файлами сайта, который нужно проверить:

    Таким же образом вы можете проверить не только весь сайт, но и отдельную папку или файл сайта.

  4. Когда путь к сайту будет указан, нажмите кнопку «Начать проверку».

    Когда проверка на вирусы начнется, вы увидите дату и время проверки, путь к проверяемому объекту, сколько объектов проверено и сколько заражено. Данные обновляются автоматически, и как только проверка будет завершена, вы увидите оповещение.

    При переходе по ссылке откроются подробные результаты:

    Проверка сайта на вирусы может производиться в течение длительного времени. На работоспособность сайта это не влияет, и во время проверки он может работать в штатном режиме.

Примечания: Если сайт содержит большое количество файлов и папок, его лучше проверять на вирусы по частям.

Если вирусы на проверяемом сайте были обнаружены, то необходимо не только удалить их из файлов сайта, но и обязательно проверить на вирусы компьютер, на котором создавался и редактировался данный сайт. Вирусы попадают на сайты не с хостинга, а с зараженных устройств, у которых есть доступ к файлам сайтов.

Помните: если ваш компьютер или мобильное устройство не защищены от вирусов, то и ваши сайты будут под угрозой заражения. Найденные и удаленные с сайта вирусы могут возвращаться снова. В разделе «Антивирус» можно не только проверить сайт на вирусы, но и приобрести антивирус от Dr.Web на выгодных условиях.

Материал подготовлен пользователем «Джино» в рамках программы обмена опытом. «Джино» не несет ответственности за его содержание и не гарантирует корректность и актуальность представленной информации.

bitrix.jino.ru

Как проверить сайт на вирусы? — Вопросы и ответы — Джино • Спектр / 1С-Битрикс

Проверить сайт на вирусы можно прямо в контрольной панели «Джино».

  1. Зайдите в раздел «Спектр» контрольной панели «Джино» и выберите ваш проект.

  2. В разделе «Управление» выберите «Антивирус».

  3. На странице «Антивирус» нажмите на кнопку «Новая проверка» и в открывшемся окне укажите путь к сайту, который необходимо проверить. Чтобы правильно указать путь, вы можете воспользоваться функцией «Обзор» и выбрать папку с доменом сайта. Таким же образом вы можете проверить не только весь сайт, но и отдельную папку или файл сайта.

  4. Когда путь к сайту будет указан, нажмите кнопку «Начать проверку».

    Когда проверка на вирусы начнется, вы увидите дату и время проверки, путь к проверяемому объекту, сколько объектов проверено и сколько заражено. Данные обновляются автоматически, и как только проверка будет завершена, вы увидите оповещение. При переходе по ссылке откроются подробные результаты.

    Проверка сайта на вирусы может производиться в течение длительного времени. На работоспособность сайта это не влияет, и во время проверки он может работать в штатном режиме.

Примечания: Если сайт содержит большое количество файлов и папок, его лучше проверять на вирусы по частям.

Если вирусы на проверяемом сайте были обнаружены, то необходимо не только удалить их из файлов сайта, но и обязательно проверить на вирусы компьютер, на котором создавался и редактировался данный сайт. Вирусы попадают на сайты не с хостинга, а с зараженных устройств, у которых есть доступ к файлам сайтов.

Помните: если ваш компьютер или мобильное устройство не защищены от вирусов, то и ваши сайты будут под угрозой заражения. Найденные и удаленные с сайта вирусы могут возвращаться снова. В разделе «Антивирус» можно не только проверить сайт на вирусы, но и приобрести антивирус от Dr.Web на выгодных условиях.

Материал подготовлен пользователем «Джино» в рамках программы обмена опытом. «Джино» не несет ответственности за его содержание и не гарантирует корректность и актуальность представленной информации.

bitrix.jino.ru

лечим сайт от вирусов и возвращаем трафик

Чем сайту грозят вирусы? Не только изменением информации или файлов. В большинстве случаев страдает бизнес. Компания МастерКласс узнала о проблемах с сайтом в первую очередь потому, что в 3 раза снизилось количество заявок на ремонтные услуги! Вместо 10 звонков в день поступали 1 - 3. Трафик на сайт снизился до минимума.

Если на вашем сайте проявляется подозрительная активность, описанная в статье, рекомендуем немедленно обратиться в отдел сопровождения сайтов к специалистам для проведения исследования.

Подозрение на вирусы

Введение — Рекогносцировка

15 марта — начало истории. Клиент заметил падение трафика и через несколько дней обратился к нам.

Проблема видна невооруженным взглядом по Метрике. С начала марта посещаемость сайта поползла вниз.

Мы нашли подтверждение проблемы в вебмастере — снижение числа проиндексированных страниц в 4 раза. Трафик просел.

Внимательно посмотрев на сайт, обнаружили, что файл настроек адресов страниц urlrewrite.php и конфигурационный файл .htaccess изменились. Из-за этого все страницы каталога поменяли адреса. Поисковик не успел их проиндексировать, а старые удалил.

Тревожным звонком было то, то при первой попытке изменить файл .htaccess, он через несколько минут вернулся в прежнее состояние. Напоминаю, мы грешили на хостинг, и эту проблему устранили настройкой прав доступа к .htaccess.

На тот момент решили, что, возможно, клиент или хостинг случайно поменяли настройки. Мы починили файлы и отчитались клиенту о результате.

Через несколько дней файл сломался вновь, равно как и адреса страниц.

Удаление вредоносных файлов

Первая попытка — Разговор дипломатов

  1. Мы нашли на сайте несколько подозрительных файлов, похожих на вирусы, удалили их. На скриншоте видно, что 3 марта на сайте 1С-Битрикс появилась папка /wp-admin/ (для непосвященных, так называется системный каталог платформы Wordpress;) Мы поняли, что сайт был взломан.
  2. Поменяли все пароли от хостинга, FTP, админки.
  3. Файл robots.txt заменили на тот, который был полгода назад (скопировали из веб-архива).
  4. Обновили битрикс до последней версии.

Причина падения трафика и выпадения страниц из индекса.

В недрах сайта был специальный php-файл, который делал 2 вещи:

  1. «обнулял» robots.txt для того, чтобы весь сайт был открыт для индексации;
  2. по GET-запросам к самому себе показывал страницу с текстом на корейском (или китайском) языке, нашпигованную ссылками на корейские же (или китайские) сайты.

Внутри этот феномен мы назвали «суровое китайское SEO».

Так как сайт был открыт для индексации, эти ссылки попали в поиск. Собственно, так и удалось найти этот файл — из отчета «Внешние ссылки» Яндекс.Вебмастера. Яндекс посчитал эти ссылки спамом, начал понижать позиции сайта. Это вторая причина падения трафика.

Дополнительно, провели несколько «реанимирующих» SEO работ:

  1. Собрали небольшое семантическое ядро и сгруппировали фразы по категориям каталога.
  2. Проверили и исправили все рекомендации в Яндекс.Вебмастере, добавили сайт в Search Console для ускорения индексации Google и возврата трафика.
  3. Нашли существующие 404-е ошибки, составили список страниц, отдали заказчику на исправление.
  4. Нашли дубли META-информации, настроили шаблоны для меты с помощью SEO-свойств 1С-Битрикс.

17 мая — продолжение истории. Сайт превратился в «абракадабру» — не применялась верная кодировка, все кириллические символы отображались “?”. Одновременно техподдержка хостинга сообщила о подозрительных рассылках с нашего сайта и заблокировала отправку почты через php.

Решили отделаться «малой кровью».

  1. Нашли последний рабочий архив (делали после SEO-реанимации).
  2. Развернули на поддомене, проверили, работает.
  3. Заменили сайты.
Если есть подозрение на вирус на сайте, рекомендуем обратиться в наш отдел сопровождения за услугой Технический аудит сайта .

Прошло несколько дней, проблема повторилась. В этот раз решили провести тщательное исследование.

Очистка сайта от вирусов

Артподготовка — Применили тяжелую артиллерию

После сканирования файлов сайта антивирусом AVG было обнаружено 4 файла вирусов-троянов.

Один из файлов отличался размером, после проверки выяснили, что этот файл попал на сайт в то же время, что и не заражённые файлы сайта. Вероятно, этот файл был добавлен ещё в старую версию сайта. Остальные 3 файла были созданы позже. То есть, сайт долгое время был заражен, но это никак не проявлялось.

Отчет антивирусной программы

Содержимое зараженного файла

Далее выполнили ручной анализ в папке /bitrix/admin и найдено еще несколько файлов с вредоносным кодом.

Выполнили поиск по сайту по подстрокам из вирусных файлов, но больше ничего не нашли.

Зараженные файлы находились в ядре битрикса.

Версии возникновения вирусов:

1) в старую версию сайта несколько лет назад был добавлен (вручную или автоматически) файл /bitrix/admin/mobile/bitrixcloud_monitoring_ini.php который использовался злоумышленником для добавления остальных файлов (для спама, рассылки и пр.). Этот файл не является частью ядра 1С-Битрикс.

2) на сайте были формы с уязвимостью и был некорректно настроен модуль Проактивная защита — это привело к тому, что в разное время были автоматически внедрены вредоносные файлы.

Решение:

  1. просканировали файлы (AVG + Касперский) сайта на наличие вирусов;
  2. вручную сделали анализ некоторых подозрительных файлов;
  3. выполнили поиск по подстрокам из зараженных файлов;
  4. удалили все найденные файлы с вредоносным кодом;
  5. усилили безопасность сайта через настройки проактивной защиты;
  6. проверили все файлы tools.php, о котором сообщил сотрудник хостинга (источник рассылки спама): /bitrix/modules/catalog/general/tools.php и подобные.
  7. развернули сайт из очищенной резервной копии.
  8. Затаились, стали ждать.

Прошло ровно 5 дней, проблема повторилась. Вирус (или злоумышленник) каждый раз оказывался хитрее нас. На этот раз:

1) в файлы index.php в начало добавляется include файла из /upload, инклудится файл вида favicon-<случайные символы>.ico

2) в подключаемом файле после расшифровки оказался код загрузки вирусных плагинов через POST-запрос.

У всех измененных файлов дата изменения устанавливается в <= настоящее время, поэтому большую часть зараженных файлов мы нашли командой bash (изменения 6 дней назад и ранее):

find ./ -mtime +6 -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r

Победа над вирусами

Зачистка — высадили десант

  1. Восстановили сайт из свежей чистой резервной копии.
  2. Поменяли все пароли от всех хостингов, админок, итд.
  3. Оставили только одного пользователя в админах, остальным ограничили доступ к структуре.
  4. Проверили ядро на наличие изменений.
  5. Удалили все сторонние модули.
  6. Руками и глазами проверили все подозрительные места.

Сайт работает без проблем, попросили хостинг включить отправку почты. Трафик удалось удержать. Выдохнули.

Как распознать и предотвратить распространение вируса на сайте

  1. Проверяйте сообщения хостинга. Они помогают найти подозрительную активность на сайте.
  2. Следите за числом проиндексированных страниц, внутренних и внешних ссылок. При любом резком изменении исследуйте причину.
  3. Заведите в Вебмастере Яндекса список “важных страниц” и отслеживайте их изменения.
  4. Периодически проверяйте уведомления Вебмастера и Search Console.
  5. Периодически проверяйте сайт на вредоносный код онлайн-сканерами ( https://aw-snap.info/file-viewer/ , https://virustotal.com/ и др.)
  6. В корне сайта и других папках появляются файлы с непонятными названиями, которых там раньше не было.

Рекомендации, чтобы не стать жертвой злоумышленников

  1. Храните пароли как зеницу ока на бумажке под подушкой.
  2. Обновляйте платформу и всегда продлевайте лицензию 1С-Битрикс.
  3. Если даете доступы фрилансерам или подрядчикам, всегда заводите для них временные пароли и ограничивайте доступ.
  4. Храните резервные копии отдельно от сайта.

Больше рекомендаций в статьей « Как мы лечим сайты от вирусов ».

Благодарим Евгения Молчанова (ООО “МастерКласс”) за терпение и участие в совместном решении проблемы!

Оцените статью:

Спасибо, ваш голос успешно добавлен!

www.intervolga.ru

Как мы лечим сайты от вирусов

Сайт, как и любой программный продукт, подвержен вирусной атаке. Заражение сайта для владельца обычно происходит неожиданно и в самый неподходящий момент.  

Все последствия заражения крайне негативны:

  1. Потеря трафика в результате пометки сайта как «небезопасный» или «вредоносный».

  2. Снижение позиций сайта в выдаче поисковых систем в результате его блокировки.

  3. Кража информации о заказах и клиентах

  4. Перебои в работе сайта.

Причин заражения сайтов не так много:

  1. Пренебрежение элементарными правилами безопасности: одинаковые логин и пароль; отправка логина и пароль по скайпу, электронной почте и т.д.

  2. Неправильная настройка сайта: пренебрежение системой защиты с целью повышения скорости работы сайта; открытый доступ для всех ко всему что есть на сайте, вместо создания дополнительных групп пользователей и разграничение между ними прав; отсутствие пароля к базе данных.

  3. Установка плагинов и модулей из непроверенных источников (не marketplace bitrix)

  4. Сайт может быть установлен в уже зараженную среду: размещение сайта на одном хостинге с ранее зараженным сайтом.

Чаще всего мы сталкиваемся с вредоносным кодом, который не ворует заказы, не портит данные, а перенаправляет ваших посетителей на другие сайты. Современные поисковые системы научились распознавать такие вставки на сайтах и помечают сайт как зараженный. Большинство хостинг-провайдеров и поисковых систем умеют сами определять наличие такого вредоносного кода на сайтах.

Реже мы встречаемся с другим видом вредоносного кода - “Бэкдоры”. Бэкдор, backdoor (от англ. back door — «чёрный ход» (буквально «задняя дверь») — чёрный ход в админку вашего сайта. В последнем случае, это была определенная страничка на сайте, которая позволяла злоумышленнику получить доступ к базе данных и файлам сайта. Это все равно что дать административный логин и пароль злоумышленнику. 

К сожалению, ни хостинг, ни поисковые системы никак не реагируют на такие “заражения”. Кстати, модуль “Проактивная защита” замечает такой код в том случае, если он зашифрован. Только в этом случае он вызывает подозрение 1С-Битрикс.

Возможные способы устранения проблем с вредоносным кодом:

  1. Самый простой способ - восстановить сайт из резервной копии. Если вы регулярно создаёте резервные копии и можете вспомнить, когда с сайтом начались неполадки, нужно взять максимально свежую резервную копию и восстановиться из неё. Это самый быстрый и дешёвый способ решения проблемы. После восстановления необходимо сменить все административные пароли.

  2. Более сложный и трудоёмкий сценарий - поиск и удаление вредоносного кода. Если о проблеме с вредоносным кодом стало известно из уведомлений хостинг-провайдера, необходимо запросить у них список зараженных файлов. Это позволит сузить область поиска и сократить время и бюджет решения проблемы. Если списка файлов нет, необходимо проверять все файлы сайта. В 1С-битрикс их десятки тысяч. Скачиваем все файлы к себе на компьютер или загружаем специальный антивирус на хостинг и выполняем проверку. Делать нужно осторожно, обычно лечение заключается в удалении подозрительных файлов, а не вредоносного кода в них.

Для поиска вредоносного кода в нашем арсенале имеется ряд утилит и методик. Десктопные версии антивирусов: Касперский, Dr.Web и их бесплатные аналоги. 

«Серверный веб-антивирус» Manul . Поиск по файлам с использованием регулярных выражений, ручной перебор файлов и анализ исходного кода “глазами”. Наибольший интерес представляет Manul. В отличие от десктопных антивирусов, его работа не требует загрузки всех файлов сайта на компьютер специалиста.

Manul - антивирусная программа, которая собирает информацию о сайте: перечень файлов и фрагменты потенциально опасного кода. Manul легко установить. Ему не нужен доступ к учётным записям администратора. Достаточно загрузить его через FTP в корень сайта и запустить.

После проверки сайта, отчет Manul необходимо загрузить в анализатор

Вредоносный код обычно встречается в обфусцированном виде, т.е. зашифрован и нечитабелен. Manul находит его и отмечает подозрительным. Вместе с вредоносным кодом он помечает и платные модули из marketplace, т.к. они тоже поставляются в зашифрованном виде. Важно, после автоматической проверки, вручную пройтись по всем помеченным файлам, отделить платные модули от вредоносного кода и вырезать последний. Для небольшого сайта вся процедура выполняется за рабочий день. Для интернет-магазинов и сайтов с “кучерявой” логикой 2-4 рабочих дня.

Последний опыт исцеления был связан с сайтом teslael.ru. На сайте были обнаружено несколько бэкдоров, а также самораспространяющийся вредоносный код, который перенаправлял посетителей с мобильными браузерами на другие сайты. Всё нашли, удалили, перенесли сайт на хороший хостинг.

Как известно, нет на 100% безопасных и неприступных крепостей и систем. Не важно какой у вас сайт - несколько страниц о компании или федеральный интернет-магазин, не пренебрегайте его безопасностью, соблюдайте простые правила:

  1. Используйте сложные пароли

  2. Размещайте сайт на проверенном хостинге

  3. Устанавливайте обновления

  4. Меняйте пароли несколько раз в год

  5. Регулярно создавайте резервные копии сайта

  6. Периодически проверяйте сайт антивирусом

  7. Устанавливайте дополнения из проверенных источников

  8. Работайте с надёжным и опытным подрядчиком

Оцените статью:

Спасибо, ваш голос успешно добавлен!

  • 24.05.2016
  • Сергей Горелов

www.intervolga.ru

Вирус битрикс

CMS Битрикс является хорошо защищенной от воздействия вирусов, имеет множество систем защиты, позволяет настроить политику безопасности, разграничивает доступ с помощью системы прав. Немаловажную роль в системе играют обновления, которые рекомендуется устанавливать регулярно.

К сожалению, как и все массовые системы, эта cms постоянно подвергается хакерским атакам. Ведь в случае нахождения уязвимости в одном проекте – возникает угроза сразу для всех сайтов под управлением CSM Битрикс. Особенно уязвимы сайты, которые редко обновляются. Логично предположить, что cms также давно не обновлялась и попробовать применить к ней существующие эксплойты. Часто хакерские системы автоматом формируют список сайтов, работающих на той или иной систме. Частично избежать этого позволяет возможность скрытия доступа к стандартной админ – панели: /bitrix/admin/. О методах защиты подробнее расскажу в другой статье.

Вирус битрикс

Сейчас рассмотрим вариант, когда нет резервной копии, а ваш сайт схватил вирус. Битрикс предоставляет возможность установки антивируса. Если удается зайти в админ-панель – зайдите в marketplace и найдите bitrix.xscan. Установите его и просканируйте Ваш сайт. Вероятно, будет выведено куча файлов, зараженных вирусом, с подписью строки, которые поглотил вирус. Битрикс пометит эти файлы. К огромному сожалению, не все помеченные файлы являются вирусами и нельзя просто взять и удалить их. Это делать надо очень аккуратно. Вполне возможно что в списке окажутся системные файлы, при неправильном редактировании которых система работать не будет. Перед чисткой настоятельно рекомендую сделать резервную копию. Если у вас возникают проблемы с восстановлением работоспособности сайта – лучше самостоятельно не продолжать, пока еще можно что то сделать. Советую вам обратиться к разделу услуги нашего сайта.

Вирус битрикс

К сожалению, в последнее время проблема заражения вирусами сайтов, не только на CMS Битрикс, стала очень остро. Поймать вирус Битрикс не составляет труда, особенно при отсутствии своевременных обновлений.

www.bbitrix.ru

Безопасность сайта в 1С-Битрикс. Инструменты против взлома

Безопасность сайта в 1С-Битрикс. Инструменты против взлома

Знаю по опыту работы с клиентами, что вопрос безопасности далеко не последний, который их интересует. Правда, клиенты обычно не разбирается в деталях и просто боятся хакеров, взлома сайта или что сайт сломается. Но в целом в своих опасениях правы.

Если вы выбираете CMS для сайта или интернет-магазина и безопасность — это один из критериев, то мой пост позволит вам разобраться, дает ли Битрикс достаточно уверенности.

Сначала выводы

Статья получилось большой, да и тематика скучновата. Поэтому я выводы решил написать в самом начале, чтобы увеличить шансы, что вы их прочтете. Так вот, глядя на объем этого поста, может показаться, что во всем разнообразии инструментов безопасности Битрикса легко запутаться. Но это не так. Все они достаточно простые.

Для рядового пользователя, который не слишком разбирается в технических деталях разработки сайтов, достаточно знать, где смотреть отчет по текущей безопасности сайта, уметь запускать сканер безопасности и монитор качества (и то и другое делается в один клик). Есть места, где можно посмотреть единые сводки — просто и понятно. Таким образом, не надо быть спецом по безопасности, чтобы мониторить безопасность в Битриксе так же как не нужно быть экспертом по веб-аналитике, чтобы смотреть посещаемость своего сайта в Лайвинтернете или Яндекс.Метрике.

Безопасность веб-сайта, это штука которую нельзя игнорировать. Или можно, до тех пор, пока первый раз не прилетит проблем. Битрикс в плане безопасности прокачан очень круто. А самое главное, он дает владельцу сайта понятные инструменты, чтобы безопасность оценивать (а также множество других важных мелочей). Обо всем этом будет в статье.​ 

Поехали.

Проактивная защита против взлома сайта

В битриксе есть целый ряд технических инструментов и организационных мер в безопасности, которые объединены под названием «Проактивная защита».

Все инструменты, перечисленные в этом разделе, доступны начиная с редакции 1С-Битрикс «Стандарт» и выше (в редакции «Старт» их нет). Для некоторых требуется модуль «Веб-аналитика», об этом говорится отдельно.

Проактивный фильтр (Web Application Firewall)

Защищает сайт от взлома посредством большинства известных атак. Фильтр выявляет потенциальные угрозы и блокирует вторжения на сайт, анализирует все данные, которые поступают от посетителя, и отфильтровывает те, что считает подозрительными. Фильтр защищает сайт от взлома, в том числе из-за ошибок в безопасности, допущенных разработчиками. Проактивный фильтр фиксирует попытки атак в специальном журнале, а также информирует администратора сайта о случаях вторжения. Фильтр позволяет блокировать атакующего, добавляя его IP-адрес в стоп-лист.

Нужно отметить, что иногда некоторые действия посетителей сайта, могут выглядеть подозрительно, хотя угрозы не представляют, тогда у фильтра будет ложное срабатывание. Но это дань бдительности. Как слишком чувствительная сигнализация на машине соседа у вас под окнами :-).

Проактивная защита сайта от взлома

Сканер безопасности веб-сайта

Это сервис, который позволяет проверить сайт на безопасность, выявить возможные уязвимости в программной части и определить неверные настройки безопасности CMS, PHP, сервера.

Обычному владельцу интернет-магазина сканер безопасности дает дополнительную причину спать спокойнее. Можно самостоятельно провести тестирование безопасности, посмотреть, что не так и понять как защитить веб-сайт, обратиться к разработчику за консультацией и / или устранением .

Пож​алуйста, если что-то обнаружится, не надо сразу спускать на программистов всех собак. Сканер зачастую излишне привередлив.

Анализ безопасности сайта при помощи встроенного сканера

Отличный инструмент, чтобы проверить, все ли порядке с безопасностью на вашем проекте. Аналогичная проверка, простейший аудит безопасности сайта и отчет с рекомендациями от специалистов в этой области будут стоить от 10-15 т.р. и выше.

Запуск сканирования осуществляется одной кнопкой. После окончания проверки, выводятся результаты со списком всех угроз безопасности, найденных на сайте:

  • Сканер покажет недочеты во внутренней организации сайта, например, хранятся ли сессии безопасно.
  • Покажет, какие возможности системы для обеспечения безопасности сайта не используются (не включены), какие настройки не выполнены.
  • Модуль также выведет все неопасные, но потенциально слабые места в безопасности (простой пароль на базу данных, пониженный уровень безопасности для администраторов) и т.п. мелочи, которые, тем не менее часто оказываются полезными. Например, когда разработчик забыл по окончании работы что-то подправить «как нужно».

Результаты сканирования. Список обнаруженных угроз

Результаты сканирования. Список обнаруженных угроз.

Еще сканер умеет искать потенциальные уязвимости в PHP-коде проекта. Кому интересно как это реализовано, можно подробнее прочитать в блоге Битрикса.

Проверка на безопасность кода PHP

Проверка на безопасность кода PHP на сайте.

Для большинства пользователей, которым технические детали не слишком важны, скажу главное — это инструмент для разработчика, который, вполне может что-то забыть предусмотреть в плане безопасности веб-проекта или просто не знать. Этот инструмент позволяет выявлять возможные проблемы, показывает их чтобы можно было устранить. А вот чтобы разработчик не  забыл им воспользоваться, да и не упустил из вида массу других мелочей, относящихся не только к безопасности, в 1С-Битрикс присутствует «Монитор качества», о нем тоже будет сказано в этой статье.

Кроме результатов проверки сайта на уязвимости, даются конкретные рекомендации по устранению. Особенно важные моменты в отчете выделяются красным цветом и обозначены специальным значком.

Важные моменты выделены красным цветом

Веб-антивирус. Защищает сайт от вирусов.

Самый простой способ защитить сайт от вируса — использовать антивирус на своем компьютере. Заражение сайта вирусом обычно происходит от компьютера администратора, который имеет к нему доступ, а не потому, что сайт много времени сидит в интернете :-). Поэтому основная задача веб-антивируса — уведомить администратора сайта о заражении. Вирус на сайте означает что вирус возможно есть и на компьютере администратора, и нужно принять меры.

Веб-антивирус работает на сайте, а не на компьютере администратора, поэтому обычный антивирус обязательно нужен.

В зависимости от настроек, которые будут в нем выставлены, Веб-антивирус, может либо только информировать администратора сайта о подозрении на наличие вируса, либо автоматически выявлять в HTML коде сайта опасные участки и «выпиливать» подозрительные iframe и javascript. Есть возможность добавлять исключения, чтобы антивирус перестал срабатывать на безопасные, но подозрительные (по его мнению) части кода.

Проще говоря, веб-антивирус делает большое доброе дело — блокирует распространение вируса вашим интернет-магазином.

Что это значит на практике? Это значит что ваши посетители не получат от своего антивируса или браузера предупреждение что вашему сайту нельзя доверять. И это хорошо!

Сколько раз вы сами сталкивались с тревожным сообщением «Этот сайт угрожает безопасности вашего компьютера» или «У этого сайта проблемы с безопасностью». Кроме того, поисковые системы не исключат ваш сайт из выдачи за распространение вирусов. А именно так бывает, если сайт долгое время заражен.

Стоп-лист. Забанить мерзавцев!

Иногда хочется заблокировать (забанить) некоторых пользователей или ботов, чтобы запретить доступ к сайту. Это бывает полезно, если пользователи делают тестовые заказы с непонятной целью, систематически пишут неадекватные комменты, спамят рекламой или создают излишнюю активность. Для таких случаев в 1С-Битрикс предусмотрен «Стоп-лист».

Настройка параметров в стоп-листе

Нежелательных пользователей можно добавлять в стоп-лист вручную или автоматически по некоторым событиям.

У стоп-листа есть несколько полезных возможностей:

  • Чтобы не забыть разбанить пользователя, а это бывает полезным, поскольку у многих IP-адреса динамические и надолго за одним и тем же юзером не закрепляются, можно выставлять время, в течение которого будет действовать блокировка, после чего снимется автоматически.
  • Можно выводить заблокированным посетителям произвольное сообщение, например «Ваш IP-адрес был заблокирован, в связи с повышенной активностью». Или что на мой взгляд интереснее, перенаправлять на сторонние сайты. К конкурентам, например. Пусть ведут свою деструктивную деятельность у них.
  • Доступ посетителям и ботам можно ограничивать не только по IP-адресу, но и по маске сети и UserAgent`у (при наличии модуля «Веб-аналитика»), что особенно полезно для блокирования нежелательных ботов.

Используя стоп-лист нужно быть осторожным, чтобы случайно не забанить половину интернета, всех пользователей какого-либо браузера или робота-паука от любимой поисковой системы.

Функционал стоп-листа связан с другими инструментами безопасности (например, с «Проактивным фильтром» или «Контролем активности») это дает возможность блокировать нарушителей (в том числе автоматически), которых выявили другие инструменты.

Контроль подозрительной активности на сайте. Кто здесь? 

Много хорошо — плохо. Поэтому излишнюю активность на сайте, особенно исходящую от ботов, нужно блокировать. Конечно, вреда особого от нее нет, но и пользы тоже. Например, если ваш сайт размещен на обычном виртуальном хостинге, который легко справляется с 500-700 посетителей в сутки, то попытка выкачать целиком весь ваш сайт, в 10 потоков, используя TeleportPro, вполне может затруднить его работу для других пользователей или привести к сбою. Не говоря уже о том, кому и с какой целью понадобилось выкачивать ваш сайт.

Вот в таких случаях и приходит на помощь контроль активности. Он позволяет блокировать излишне активных юзеров, ботов, защищает от не особо массивных DDoS-атак, плюс, что очень важно, запрещает попытки подбора пароля к сайту. А чтобы все было аккуратно, и администратор сайта при желании мог контролировать процесс, все действия автоматически пишутся в журнал, где администратор их может время от времени просматривать.

В настройках можно выставить ряд параметров: Какую активность считать «излишней», после которой принимать меры, на какое время блокировать источник активности, какое сообщение ему выводить или куда редиректить.

Настройка автоматической блокировки при повышенной активности на сайте

Настройка автоматической блокировки при повышенной активности на сайте

Как видите, штука вполне полезная и найдет применение в работе сайта. Но к сожалению этот инструмент доступен только в редакциях, с модулем «Веб-аналитика» («Эксперт» и «Бизнес»).

Защита административной части

Сердце сайт — административная часть. Это командный центр, откуда ведется управление Скайнетом проектом. Получив доступ к админке, злоумышленник (или просто криворукий сотрудник-экспериментатор) может натворить много бед, которые долго придется разгребать. Чем сложнее пароль, тем сильне хочется сохранить его на рабочем столе в файле «Пароль от сайта.txt», или в браузере, откуда его тоже обычно не составляет труда достать.

Защита административной части по IP-адресу — еще одна линия обороны. Для этого и предназначен этот инструмент. Его использование делает бессмысленными XSS атаки на компьютер администратора / редактора сайта / контент-менеджера. Кража пароля тоже ничего не даст.

Запрет доступа к админке всех кроме указанных IP

Настройка запрета доступа к административной части.

Защита административной части позволяет открыть доступ для управления сайтом только с определенных IP-адресов или диапазонов.

Для удобства настройки, система показывает текущий IP-адрес пользователя. Кроме того, проверяет, не заблокировал ли пользователь доступ самому себе. Но если так получилось, что вы все же оказались заблокированными, например, у вас поменялся IP-адрес и вы не можете войти в админку, вы можете снять ограничение по IP-адресам, создав (по FTP или через панель управления хостингом) специальный файл (с любым содержимым, можно пустой), но по определенному пути и с нужным названием. Путь до файла и его имя задается в настройках модуля «Проактивная защита». Позаботьтесь заранее о том, чтобы в случае блокировки знать какой файл и где нужно создать.

Создание секретного файла, если заблокировали сами себя

Путь и имя файла, который нужно записать, на случай если заблокировали сами себя.

Контроль целостности файлов

В 1С-Битрикс, присутствует возможность отслеживать наличие изменений в файлах, как ядра системы, так и публичной части сайта.

Такая функциональность может быть использована, например, для контроля работы стороннего программиста, чтобы понимать в какие файлы вносились изменения, какие новые файлы добавились и не модифицировалось ли ядро.

Для большей безопасности, предусмотрена возможность проверки на целостность самого скрипта, который осуществляет контроль.

Проверка целостности файлов на сайте

Защита сессий

Если злоумышленник получает доступ к авторизованной сессии администратора, то сможет получить доступ и к сайту. Чтобы обезопасить сайт от подобного рода взломов, в 1С-Битрикс предусмотрена защита сессий, использование которой делает кражу сессии бессмысленной.

Помимо функционала защиты сессий, имеющегося в настройках групп пользователей, инструмент «Защита сессий» позволяет хранить сессии пользователей в базе данных, что исключает доступ к ним в случае неверных настроек безопасности на виртуальном хостинге. Кроме того, можно задать время жизни идентификатора сессии, чтобы он изменялся через заданные промежутки времени. Тогда даже украденная сессия перестанет быть актуальной через этот промежуток времени. По умолчанию выставлена 1 минута.

Включение хранения сессий пользователей в базе данных

Включение хранения сессий пользователей в базе данных.

Защита от показа сайта во фреймах

Простейший пример — если вы посмотрите на источники переходов на ваш сайт, то увидите, что некоторые ссылки это ваш собственный сайт только с другим адресом. Это и есть открытие во фрейме. Есть сервисы типа snip.ly, которые позволяют ставить ссылки через них, и показывать на стороннем сайте рекламу. Например, если кликнуть по этой ссылке, то вы перейдете в бложик Тёмы Лебедева, где внизу будет моя реклама. При желании к этой рекламе можно будет прикрутить аватарку Тёмы, тогда эффективность будет еще выше.

Открытие сайта во фрейме

Чтобы подобные штуки нельзя было провернуть на вашем сайте, в Битриксе есть защита от фреймов.

Защита от открытия сайта во фреймах

А вот что об этом пишут сами парни из Битрикса:

Запрет отображения страниц сайта во фреймах других доменов позволяет защитить проект от Clickjacking'a (подсовывание невидимого фрейма с целевого ресурса для получения клика от посетителя), Framesniffing'а и значительно уменьшает вероятность Cross-site scripting атак.

Защита редиректов от фишинга

Фишинг — разновидность интернет-мошенничества.

В Битриксе, как и в любой CMS или сервисе, где необходимо считать клики, есть возможность ставить ссылки через редиректы. Например, в модуле «Реклама». Чтобы злоумышленники не использовали их в своих коварных целях, необходимо включить защиту редиректов.

При включенной защите все ссылки с сайта через редиректы защищаются дополнительным параметром индивидуальным для сайта и для этого перехода. Другие внешние переходы не будут работать.

Настройка параметров защиты редиректов

Перенаправлением на другой сайт, заведомо безопасный (можно задать в настройках). Там же в настройках, можно задать текст с предупреждением пользователя о возможной попытке фишинга.

Настройка действий при злонамеренном редиректе

Хосты/домены

Режим предотвращает подмену HTTP-заголовка Host. Проще говоря, не дает открывать ваш сайт по любым адресам, отличающимся от разрешенных вами. Можно настроить либо блокирование таких попыток открытия сайта, либо переадресовывать посетителя на нужный вам, разрешенный адрес.

Настройка переадресации на разрешенный домен

Настройка переадресации на разрешенный домен.

Панель безопасности

Инструментов безопасности в Битриксе много, чтобы упростить настройку и определить текущее состояние каждого, предусмотрена Панель безопасности. Это раздел, в котором на одной странице сведена воедино и структурирована вся информация о текущей безопасности сайта в настоящий момент. Здесь же, если необходимо, даются рекомендации по улучшению безопасности. Сразу приведена ссылка на соответствующий инструмент, который нужно включить или настроить.

Панель безопасности 1С-Битрикс

Панель безопасности 1С-Битрикс.

Чтобы определить уровень безопасности созданного сайта, достаточно зайти в панель безопасности.

Безопасная авторизация без SSL

Если вам приходится работать с сайтом из разных мест, в том числе через открытые точки Wi-Fi, вы подвергаете безопасности сайт, рискуя, что ваши логин и пароль, через которые вы входите на сайт, будут получены злоумышленниками. Перехват паролей не представляет большой проблемы, если сайт не поддерживает шифрование или вы не используете VPN-соединение.

В Битриксе, есть возможность обезопасить авторизацию без необходимости подключать SSL. Для этого в административной панели, в настройках Главного модуля, нужно включить эту возможность, поставив соответствующую галочку. После этого пароли станут шифроваться по алгоритму RSA с ключом 1024 бит и в таком виде передаются на сервер. Взломать их будет невозможно.

Включение безопасной авторизации

Журнал вторжений

В 1С-Битрикс, все необычные или злонамеренные действия автоматически заносятся в Журнал вторжений. Это дает администратору сайта возможность выявлять попытки атак как сразу, в момент проведения (например, получив соответствующее уведомление на емейл) и блокировать IP-адрес злоумышленникам, так и просматривая события в журнале позже. В журнале в зависимости от основных типов атак делаются соответствующие записи: внедрение SQL, атаки через XSS, попытка внедрения PHP. Журнал вторжений отличный инструмент для администратора сайта, позволяющий проводить профилактику и предупреждать попытки взлома анализируя записи.   

CMS 1С-Битрикс - журнал вторжений

Журнал вторжений.

Двухэтапная авторизация и одноразовые пароли

Для входа на сайт традиционно используются логин и пароль. Но минус их в том, что стащить их особой сложности не составляет. Есть клавиатурные шпионы, вирусы, которые могут «подсмотреть» пароль и передать злодеям. Пароль может быть украден из запомненных в браузере, подслушан в незащищенных wi-fi сетях.

Поэтому во всех критически важных местах, таких как вход в интерне-банк, при переводе денег в платежных системах, используются одноразовые пароли. 

Битрикс тоже так умеет. Одноразовые пароли могут генерироваться специальным устройством, брелоком размером с флешку или приложением, установленным на смартфор с Андроидом на борту.

Ключи, которыми можно генерировать одноразовый пароль

«Брелоки» для генерации одноразовых паролей.

Таким образом, авторизация на сайте будет проходить в два этапа. Первый, когда вводится логин и пароль. Второй, когда вводится одноразовый пароль, сгенерированный брелоком или специальным приложением в смартфоне.

При таком подходе к авторизации, даже если логин и пароль будут известны злодею, он не сможет ими воспользоваться, поскольку одноразового пароля для второго этапа авторизации у него не будет.

Защита сайта от DDoS

Проактивный фильтр в какой-то мере защищает сайт от DoS-атак, позволяя автоматически заносить в стоп-лист пользователей и ботов, проявляющих на сайте излишнюю активность и тем самым снижать нагрузку, которую они генерируют на сервер. Но против серьезных DDos этого недостаточно.

Совсем недавно, в 15-й версии в Битриксе появилась новая возможность, быстро подключить защиту от DDoS-атак, предоставляемую сервисом Qrator. Сделать это можно как из админки, так и со специальной страницы на сайте Битрикса (если админка Битрикса у вас на сайте будет недоступна из-за DDos-атаки). В лицензию входит бесплатно 1 защита сайта от ddos в год сроком на 10 дней. Больше уже за деньги. Подобный сервис будет интересен, прежде всего крупным проектам. Но говоря про инструменты безопасности, встроенные в Битрикс, не сказать о нем нельзя. 

Важные мелочи

Есть еще мелочи, которые относятся к безопасности, но не такие крутые, как те что я описывал выше. Но поскольку совсем не сказать о них в этой статье нельзя, перечислю их, не вдаваясь в подробности. Всё перечисленное в этом разделе доступно в Битриксе начиная с младшей редакции «Старт».

Политики безопасности сайта для групп пользователей

Для разных групп пользователей в Битриксе задаются соответствующие права, разграничивающие доступ к модулям и контенту на сайте. Чтобы пользователи, из разных групп имели доступ только к той информации и логическим операциям, которые им нужны для работы.

Кроме того, для каждой группы пользователей можно настроить свою политику безопасности: Привязать сессию к IP-адресу или сети по маске, определить срок активности сессии и время пока авторизация будет оставаться активной, определить, сколько одновременных авторизаций может быть выполнено для одного пользователя, задать длину пароля и его сложность.

Таким образом, для группы пользователей, которые не имеют на сайте никаких прав кроме просмотра контента в публичной части, можно задать низкий уровень безопасности, а для группы Администраторов установить высокий или даже включить двухэтапную авторизацию, о которой говорилось выше.

Журнал событий

Помимо Журнала вторжений, о котором я уже писал выше, в Битриксе есть еще один — Журнал событий. Здесь логируются события, связанные с авторизацией и регистрацией пользователей, работой разных юзеров с правами доступа, редактирование ими файлов и меню, работа с контентом в информационных блоках (новости, товары, фото и т. п.), что позволяет вести мониторинг основных действий в системе.

Не все возможности журналирования включены по умолчанию, нужно включить их для главного модуля (установив соответствующие галочки) и сделать то же самое в настройках каждого инфоблока.

Настройка главного модуля

Настройка в Главном модуле параметров журнала событий.

Настройки журналирования в инфоблоке

Настройки параметров для журнала событий в инфоблоке.

На первый взгляд скучная и малополезная штука. Но иногда помогает разобраться кто прав, а кто крайний. Например, когда между контент-менеджерами возникнет спор, кто редактировал последним ту или иную статью на сайте или товар в каталоге и жестко накосячил. Тогда бывает очень полезным заглянуть в журнал событий. Еще журнал событий помогает выявлять попытки автоматического подбора логина и пароля на сайте. Неудачные попытки в журнале видны, если их много, можно принимать профилактические меры.

Монитор качества

Нельзя отрицать, что безопасность сайта, равно как и другие его характеристики (например, быстродействие), зависят во многом от качества разработки. Чтобы помочь владельцу сайта оценить, насколько хорошо сделан его проект, все ли важные нюансы были учтены и/или включены и настроены разработчиком, в битриксе реализован этот инструмент.

Сканирование сайта монитором качества

Результаты автоматического тестирования сайта монитором качества.

Это набор автоматических тестов для проверки качества разработки вашего сайта, интеграции дизайна, анализа безопасности, производительности, настроек хостинга и много чего еще. Монитор качества не просто показывает на недоработки, а дает рекомендации по устранению.

Не стоит сразу звонить разработчику и ругаться если вы прогоните тест, а он покажет много обязательных пунктов которые не выполнены на вашем сайте. Часто на устранение той или иной «недоработки» требуется всего пара минут.

Детальная настройка CAPTCHA

Капча (CAPTCHA)  – старый добрый инструмент защиты от действий ботов. У стандартной капчи есть большой минус, они легко решаются в полуавтоматическом режиме. В 1С-Битрикс есть возможность гибко настраивать капчу. Задавать массу параметров в ее отображении, изменять шрифт, определять какие символы будут выводиться в капче, а какие нет. Такая настройка очень удобная. Например, отличный вариант — капча с кириллицей. А чтобы пользователи не путались, какую буквe им нужно написать, английскую или русскую, можно оставить только цифры и буквы алфавита, которых нет в латинице. Часто этого бывает достаточно, чтобы обмануть и ботов и индусов, которые промышляют решением капч.

Гибкая настройка капчи в битриксе

Настройка параметров отображения капчи.

Защита от автоматических регистраций

Чтобы боты не регистрировались на сайте автоматически, в настройках главного модуля есть возможность включить подтверждения регистрации по емейл, а чтобы с одного емейла не регистрировались дважды, включить проверку на уникальность. Там же, в настройках главного модуля, можно включить Капчу для регистрации новых пользователей.

Защита от авторегистраций ботов

Защита от подбора пароля

В Битриксе защита от автоматического подбора пароля реализована двумя способами. Первый — вывод капчи после определенного количества неудачных попыток авторизации. Второй — блокировка пользователя, создающего на сайте повышенную активность. То есть если робот, подбирающий логин и пароль, будет делать это слишком быстро, то проактивный фильтр его просто заблокирует, уведомит об этом администратора сайта и занесет действие в журнал вторжений. 

Работоспособность сайта

Безопасность сайта это не только защита от хакеров. Это еще и возможность в случае аварии быстро восстановить сайт. Поэтому в данной статье будут рассмотрены, в том числе и эти инструменты.

Все перечисленные в этом разделе возможности, доступны в Битриксе начиная с младшей редакции «Старт».

Резервное копирование

Сайт — это софт — программное обеспечение и информация. Сам по себе софт сломаться не может. Но может сломаться железо на котором все ваше добро работает. Хостеры серьезно подходят к такого рода безопасности, но шансы потерять все что нажито непосильным трудом тем не менее имеются. Можно найти в интернете немало случаев, когда после аварии у хостера клиент терял свой сайт. Резервных копий у хостера почему-то не оказывалось, владелец их тоже не имел. Остается один вариант – заказывать сайт / интернет-магазин заново. Ждать пару месяцев пока все будет готово, наполнять материалами, продвигать.

Чтобы такого не случалось, продуманные пользователи делают резервные копии и держат их в другом месте, не в той же корзине где лежат все яйца. Не каждый это умеет делать, поэтому в Битриксе возможность резервного копирования реализована очень просто и в разных вариантах. Фактически в пару кликов мышкой. Что именно есть:

Свернуть весь сайт в архив

В этом случае весь сайт (или на выбор, контент /ядро / база данных) будет свернут в аккуратный архив и размещен в специальной папке на сайте. Есть настройка, по которой можно отключить резервное копирование какой-то одной папки или файлов определенного типа. Например, если на сайте хранится видео, можно исключить эту папку из бакапа, чтобы он не был слишком большим. Или если вы знаете, что ядро сайта у вас не менялось, но работа с данными идет каждый день, можно бакапить только публичную часть и БД.

Настройка архивирования сайта

Если сайт большой, то архив будет автоматически порезан на части, размер каждой части можно задавать вручную или оставить по умолчанию. При желании архив можно защитить паролем.

Настройка режима архивации

Настройки сжатия хорошо продуманы и подходят для любых хостеров. Можно выставит время работы скрипта и паузы в работе, чтобы процесс не отваливался по таймауту. Можно отключить сжатие, чтобы еще сильнее снизить нагрузку на процессор. Тогда архив будет большим, но сделан будет быстро. Есть галочка, по которой, по завершении архивации, архив будет проверен на ошибки.

Автоматическое регулярное резервное копирование

Чтобы сократить ручную работу и человеческий фактор («забыл сделать очередной бакап»), в Битриксе можно настроить автоматическое резервное копирование по расписанию.

Настройка резервного копирования порасписанию

Это здорово упрощает жизнь и позволяет иметь актуальные резервные копии. Чтобы бакапы со временем не заняли все место на сервере, можно настроить автоматическое удаление старых копий.

Удаление старых резервных копий

Автоматический backup в «облако»

Но у хранения резервных копий, там же где лежит сайт, есть минус — в случае серьезной проблемы на сервере, резервная копия тоже будет потеряна. Поэтому хранить резервную копию нужно отдельно от сайта. Это значит, что время от времени нужно копировать резервные копи на другой сервер / хостинг / в облако или к себе в компьютер.

Правило надежного бекапа: «Хранить бекап нужно не на том сервере, где лежит то, что бекапишь».

Чтобы снять с пользователя эту рутину, в Битриксе есть возможность делать резервные копии сразу в облако. Всё то же самое, что описано выше, но после завершения архивации, копия автоматически заливается в облачное хранилище Битрикса или внешнее подключенное к сайту облачное хранилище, например Amazon S3. Плюс для рядового пользователя в том, что облачное хранилище встроено в Битрикс и ничего подключать и настраивать не нужно.

В своем облаке 1С-Битрикс выделяет бесплатно для каждой лицензии определенный объем места под хранение резервных копий:

  • 1 Гб. Для редакции Старт,
  • 2 Гб. Для «Стандарт»,
  • 6 Гб. Для редакции «Эксперт»,
  • 4 Гб. Для «Малого бизнеса»
  • 10 для Бизнес-редакции.

Не слишком много, но этого достаточно чтобы держать в безопасности 1-2 последних резервных копии. При желании бесплатное место в облаке битрикса можно расширить просто докупив его. Или подключить стороннее облако.

Резервное копирование сайта в облако

Поддержка облачных хранилищ

Напрямую к безопасности это отношения не имеет, но раз уж начал говорить про облачные хранилища, нужно сказать, что облака подключаются без проблем и работают не только для резервного копирования. За это отвечает специальный модуль, доступный во всех редакциях, начиная со «Старт». После подключения облака к Битриксу, можно настроить в нем хранение файлов любых типов. Например, чтобы все видео, загружаемое на сайт, автоматически размещалось в облаке и для пользователя отдавались именно оттуда. Для некоторых задач это полезно, позволяет разгрузить хостинг и ускорить загрузку инфы посетителями.

Подключаем к Битриксу внешние облачные хранилища

Инспектор сайтов

Облачный сервис от 1С-Битрикс, который позволяет мониторить несколько простых, но важных параметров на сайтах и интернет-магазинах, которые работают под управлением битрикса:

  • Мониторит работу сайта. Открывается сайт или нет, сколько времени простаивал. Яндекс.Метрика это тоже делает, но этот сервис показывает инфу более детально.
  • Проверяет когда закончится домен и уведомляет по почте. Регистратор тоже уведомляет, но бывают случаи когда лицо ответственное за сайт и тот на кого зарегистрирован домен — разные люди. Тогда ответственный за сайт, может не получить емейла от регистратора домена. Чтобы такого не произошло, его уведомит инспектор сайтов.
  • Срок истечения лицензии 1С-Битрикс. Казалось бы, не слишком важно. На самом деле экономит деньги. Ведь приобретение льготного продления составляет 20% от стоимости лицензии. Главное, успеть его приобрести в течение 30 дней после окончания лицензии. Не успели, в следующий раз придется оплачивать уже 60% от стоимости. Поэтому важно не пропустить нужную дату.
  • Проверять отвечает ли сайта по протоколу https.
  • Срок действия SSL сертификата. Проверит и напомнит, когда придет время продлевать SSL-сертификат.

Настройка параметров инспектирования

Проставляем галочки что хотим инспектировать.

Результаты инспектирования

Так выглядят результаты инспектирования.

Заключение

Сложно спорить, что безопасность сайта, штука важная. Особенно если это интернет-магазин или сайт компании, от работы которого зависит репутация и заработок.  Битрикс дает отличные инструменты для работы с безопасностью. Не берусь утверждать, но думаю что в плане защищенности это одна из лучших коробочных CMS в мире.

Все выводы по этой статье я вынес в начало. Повторять их здесь нет смысла. Надеюсь, эта статья помогла вам. Если да, сделайте репост, мне будет приятно :-)

 

Facebook

Вконтакте

Google+

Twitter

Pinterest

webdela.ru