• Оптимизация
  • Социальные сети
  • Sitemap
  • Drupal
  • Usability
  • Юзабилити
  • B2b
  • Антивирус
  • Семантическое ядро
  • Новости
    • <

    Безпека сайту в 1С-Бітрікс. Інструменти проти злому

    1. спочатку висновки
    2. Проактивний захист проти злому сайту
    3. Проактивний фільтр (Web Application Firewall)
    4. Сканер безпеки веб-сайту
    5. Веб-антивірус. Захищає сайт від вірусів.
    6. Стоп-лист. Забанити мерзотників!
    7. Контроль підозрілої активності на сайті. Хто тут?
    8. Захист адміністративної частини
    9. Контроль цілісності файлів
    10. захист сесій
    11. Захист від показу сайту у фреймах
    12. Захист редиректів від фішингу
    13. Хости / домени
    14. панель безпеки
    15. Безпечна авторизація без SSL
    16. Журнал вторгнень
    17. Двоетапна авторизація та одноразові паролі
    18. Захист сайту від DDoS
    19. Важливі дрібниці
    20. Політики безпеки сайту для груп користувачів
    21. Журнал подій
    22. монітор якості
    23. Детальне налаштування CAPTCHA
    24. Захист від автоматичних реєстрацій
    25. Захист від підбору пароля
    26. працездатність сайту
    27. Резервне Копіювання
    28. Згорнути весь сайт в архів
    29. Автоматичне регулярне резервне копіювання
    30. Автоматичний backup в «хмару»
    31. Підтримка хмарних сховищ
    32. інспектор сайтів
    33. Висновок

    Знаю з досвіду роботи з клієнтами, що питання безпеки далеко не останній, який їх цікавить. Правда, клієнти зазвичай не розбирається в деталях і просто бояться хакерів, злому сайту або що сайт зламається. Але в цілому в своїх побоюваннях праві.

    Якщо ви вибираєте CMS для сайту або інтернет-магазину і безпека - це один із критеріїв, то мій пост дозволить вам розібратися, чи дає Бітрікс досить впевненості.

    спочатку висновки

    Стаття вийшло великий, та й тематика нудна. Тому я висновки вирішив написати на самому початку, щоб збільшити шанси, що ви їх прочитаєте. Так ось, дивлячись на обсяг цього поста, може здатися, що в усьому розмаїтті інструментів безпеки Бітрікс легко заплутатися. Але це не так. Всі вони досить прості.

    Для рядового користувача, який не надто розбирається в технічних деталях розробки сайтів, досить знати, де дивитися звіт за поточною безпеки сайту, вміти запускати сканер безпеки і монітор якості (і те й інше робиться в один клік). Є місця, де можна подивитися єдині зведення - просто і зрозуміло. Таким чином, не треба бути фахівцем з безпеки, щоб моніторити безпеку в Бітрікс так само як не потрібно бути експертом по веб-аналітиці, щоб дивитися відвідуваність свого сайту в ЛайвІнтернет або Яндекс.Метрика.

    Безпека веб-сайту, це штука яку не можна ігнорувати. Або можна, до тих пір, поки перший раз не прилетить проблем. Бітрікс в плані безпеки прокачаний дуже круто. А найголовніше, він дає власнику сайту зрозумілі інструменти, щоб безпеку оцінювати (а також безліч інших важливих дрібниць). Про все це буде в статті.

    Поїхали.

    Проактивний захист проти злому сайту

    У Бітрікс є цілий ряд технічних інструментів і організаційних заходів в безпеці, які об'єднані під назвою «Проактивний захист».

    Всі інструменти, перераховані в цьому розділі, доступні починаючи з редакції 1С-Бітрікс «Стандарт» і вище (в редакції «Старт» їх немає). Для деяких потрібно модуль «Веб-аналітика», про це йдеться окремо.

    Проактивний фільтр (Web Application Firewall)

    Захищає сайт від злому за допомогою більшості відомих атак. Фільтр виявляє потенційні загрози і блокує вторгнення на сайт, аналізує всі дані, які надходять від відвідувача, і відфільтровує ті, що вважає підозрілими. Фільтр захищає сайт від злому, в тому числі з-за помилок в безпеці, допущених розробниками. Проактивний фільтр фіксує спроби атак в спеціальному журналі, а також інформує адміністратора сайту про випадки вторгнення. Фільтр дозволяє блокувати атакуючого, додаючи його IP-адресу в стоп-лист.

    Потрібно відзначити, що іноді деякі дії відвідувачів сайту, можуть виглядати підозріло, хоча загрози не становлять, тоді у фільтра буде помилкове спрацьовування. Але це данина пильності. Як занадто чутлива сигналізація на машині сусіда у вас під вікнами :-).

    Як занадто чутлива сигналізація на машині сусіда у вас під вікнами :-)

    Сканер безпеки веб-сайту

    Це сервіс, який дозволяє перевірити сайт на безпеку, виявити можливі уразливості в програмній частині і визначити невірні настройки безпеки CMS, PHP, сервера.

    Звичайному власнику інтернет-магазину сканер безпеки дає додаткову причину спати спокійніше. Можна самостійно провести тестування безпеки, подивитися, що не так і зрозуміти як захистити веб-сайт, звернутися до розробника за консультацією та / або усуненням.

    Пож алуйста, якщо щось виявиться, не треба відразу спускати на програмістів всіх собак. Сканер часто надмірно вибагливий.

    Відмінний інструмент, щоб перевірити, чи всі порядку з безпекою на вашому проекті. Аналогічна перевірка, найпростіший аудит безпеки сайту і звіт з рекомендаціями від фахівців в цій області будуть коштувати від 10-15 т.р. і вище.

    Запуск сканування здійснюється однією кнопкою. Після закінчення перевірки, виводяться результати зі списком усіх загроз безпеки, знайдених на сайті:

    • Сканер покаже недоліки у внутрішній організації сайту, наприклад, зберігаються чи сесії безпечно.
    • Покаже, які можливості системи для забезпечення безпеки сайту не використовуються (не включені), які налаштування не виконано.
    • Модуль також виведе всі безпечні, але потенційно слабкі місця в безпеці (простий пароль на базу даних, знижений рівень безпеки для адміністраторів) і т.п. дрібниці, які, тим не менш часто виявляються корисними. Наприклад, коли розробник забув після закінчення роботи щось підправити «як потрібно».

    Наприклад, коли розробник забув після закінчення роботи щось підправити «як потрібно»

    Результати сканування. Список виявлених загроз.

    Ще сканер вміє шукати потенційні уразливості в PHP-коді проекту. Кому цікаво як це реалізовано, можна докладніше прочитати в блозі Бітрікс .

    Перевірка на безпеку коду PHP на сайті.

    Для більшості користувачів, яким технічні деталі не надто важливі, скажу головне - це інструмент для розробника, який, цілком може щось забути передбачити в плані безпеки веб-проекту або просто не знати. Цей інструмент дозволяє виявляти можливі проблеми, показує їх щоб можна було усунути. А ось щоб розробник не забув ним скористатися, та й не випустив з уваги масу інших дрібниць, що відносяться не тільки до безпеки, в 1С-Бітрікс присутній «Монітор якості», про нього теж буде сказано в цій статті.

    Крім результатів перевірки сайту на уразливості, даються конкретні рекомендації щодо усунення. Особливо важливі моменти в звіті виділяються червоним кольором і позначені спеціальним значком.

    Веб-антивірус. Захищає сайт від вірусів.

    Найпростіший спосіб захистити сайт від вірусу - використовувати антивірус на своєму комп'ютері. Зараження сайту вірусом зазвичай відбувається від комп'ютера адміністратора, який має до нього доступ, а не тому, що сайт багато часу сидить в інтернеті :-). Тому основне завдання веб-антивіруса - повідомити адміністратора сайту про зараження. Вірус на сайті означає що вірус можливо є і на комп'ютері адміністратора, і потрібно вжити заходів.

    Веб-антивірус працює на сайті, а не на комп'ютері адміністратора, тому звичайний антивірус обов'язково потрібен.

    Залежно від налаштувань, які будуть в ньому виставлені, Веб-антивірус, може або тільки інформувати адміністратора сайту про підозру на наявність вірусу, або автоматично виявляти в HTML коді сайту небезпечні ділянки і «випилювати» підозрілі iframe і javascript. Є можливість додавати виключення, щоб антивірус перестав спрацьовувати на безпечні, але підозрілі (на його думку) частини коду.

    Простіше кажучи, веб-антивірус робить велику добру справу - блокує поширення вірусу вашим інтернет-магазином.

    Що це означає на практиці? Це означає що ваші відвідувачі не отримають від свого антивіруса або браузера попередження що вашому сайту не можна довіряти. І це добре!

    Скільки разів ви самі стикалися з тривожним повідомленням «Цей сайт загрожує безпеці вашого комп'ютера» або «У цього сайту проблеми з безпекою». Крім того, пошукові системи не виключать ваш сайт з видачі за поширення вірусів. А саме так буває, якщо сайт довгий час заражений.

    Стоп-лист. Забанити мерзотників!

    Іноді хочеться заблокувати (забанити) деяких користувачів або ботів, щоб заборонити доступ до сайту. Це буває корисно, якщо користувачі роблять тестові замовлення з незрозумілою метою, систематично пишуть неадекватні коменти, спамлять рекламою або створюють зайву активність. Для таких випадків в 1С-Бітрікс передбачений «Стоп-лист».

    Небажаних користувачів можна додавати в стоп-лист вручну або автоматично по деяких подій.

    У стоп-листа є кілька корисних можливостей:

    • Щоб не забути розбанити користувача, а це буває корисним, оскільки у багатьох IP-адреси динамічні і надовго за одним і тим же користувачем не закріплюються, можна виставляти час, протягом якого буде діяти блокування, після чого зніметься автоматично.
    • Можна виводити заблокованим відвідувачам довільне повідомлення, наприклад «Ваш IP-адреса був заблокований, в зв'язку з підвищеною активністю». Або що на мій погляд цікавіше, перенаправляти на сторонні сайти. До конкурентам, наприклад. Нехай ведуть свою деструктивну діяльність у них.
    • Доступ відвідувачам і ботам можна обмежувати не тільки по IP-адресою, а й по масці мережі і UserAgent`у (при наявності модуля «Веб-аналітика»), що особливо корисно для блокування небажаних ботів.

    Використовуючи стоп-лист потрібно бути обережним, щоб випадково не забанити половину інтернету, всіх користувачів будь-якого браузера або робота-павука від улюбленої пошукової системи.

    Функціонал стоп-листа пов'язаний з іншими інструментами безпеки (наприклад, з «проактивних фільтром» або «Контролем активності») це дає можливість блокувати порушників (в тому числі автоматично), яких виявили інші інструменти.

    Контроль підозрілої активності на сайті. Хто тут?

    Багато добре - погано. Тому зайву активність на сайті, особливо що виходить від ботів, потрібно блокувати. Звичайно, шкоди особливого від неї немає, але і користі теж. Наприклад, якщо ваш сайт розміщений на звичайному віртуальному хостингу, який легко справляється з 500-700 відвідувачів на добу, то спроба викачати цілком весь ваш сайт, в 10 потоків, використовуючи TeleportPro, цілком може утруднити його роботу для інших користувачів або привести до збою. Не кажучи вже про те, кому і з якою метою знадобилося викачувати ваш сайт.

    Ось в таких випадках і приходить на допомогу контроль активності. Він дозволяє блокувати зайве активних користувачів, ботів, захищає від не особливо масивних DDoS-атак, плюс, що дуже важливо, забороняє спроби підбору пароля до сайту. А щоб все було акуратно, і адміністратор сайту при бажанні міг контролювати процес, всі дії автоматично пишуться в журнал, де адміністратор їх може час від часу переглядати.

    В налаштуваннях можна виставити ряд параметрів: Яку активність вважати «зайвої», після якої вживати заходів, на який час блокувати джерело активності, яке повідомлення йому виводити або куди редирект.

    Установлення автоматичного блокування при підвищеній активності на сайті

    Як бачите, штука цілком корисна і знайде застосування в роботі сайту. Але на жаль цей інструмент доступний тільки в редакціях, з модулем «Веб-аналітика» ( «Експерт» і «Бізнес»).

    Захист адміністративної частини

    Серце сайт - адміністративна частина. Це командний центр, звідки ведеться управління Скайнетом проектом. Отримавши доступ до адмінки, зловмисник (або просто криворукий співробітник-експериментатор) може накоїти багато лиха, які довго доведеться розгрібати. Чим складніше пароль, тим сильнішими хочеться зберегти його на робочому столі в файлі «Пароль від сайта.txt», або в браузері, звідки його теж зазвичай не складає труднощів дістати.

    Захист адміністративної частини по IP-адресою - ще одна лінія оборони. Для цього і призначений цей інструмент. Його використання робить безглуздими XSS атаки на комп'ютер адміністратора / редактора сайту / контент-менеджера. Крадіжка пароля теж нічого не дасть.

    Крадіжка пароля теж нічого не дасть

    Налаштування заборони доступу до адміністративної частини.

    Захист адміністративної частини дозволяє відкрити доступ для управління сайтом тільки з певних IP-адрес або діапазонів.

    Для зручності настройки, система показує поточний IP-адреса користувача. Крім того, перевіряє, чи не заблокував користувач доступ самому собі. Але якщо так вийшло, що ви все ж виявилися заблокованими, наприклад, у вас змінився IP-адреса і ви не можете увійти в адмінку, ви можете зняти обмеження по IP-адресами, створивши (по FTP або через панель управління хостингом) спеціальний файл ( з будь-яким вмістом, можна порожній), але за певним шляху і з потрібним назвою. Шлях до файлу і його ім'я задається в настройках модуля «Проактивний захист». Подбайте заздалегідь про те, щоб в разі блокування знати який файл і де потрібно створити.

    Подбайте заздалегідь про те, щоб в разі блокування знати який файл і де потрібно створити

    Шлях і ім'я файлу, який потрібно записати, на випадок якщо заблокували самі себе.

    Контроль цілісності файлів

    В 1С-Бітрікс, присутня можливість відстежувати наявність змін в файлах, як ядра системи, так і публічної частини сайту.

    Така функціональність може бути використана, наприклад, для контролю роботи стороннього програміста, щоб розуміти в які файли вносилися зміни, які нові файли додалися і не модифікувався чи ядро.

    Для більшої безпеки, передбачена можливість перевірки на цілісність самого скрипта, який здійснює контроль.

    захист сесій

    Якщо зловмисник отримує доступ до авторизованої сесії адміністратора, то зможе отримати доступ і до сайту. Щоб убезпечити сайт від подібного роду зломів, в 1С-Бітрікс передбачений захист сесій, використання якої робить крадіжку сесії безглуздою.

    Крім функціоналу захисту сесій, наявного в налаштуваннях груп користувачів, інструмент «Захист сесій» дозволяє зберігати сесії користувачів в базі даних, що виключає доступ до них в разі невірних налаштувань безпеки на віртуальному хостингу. Крім того, можна задати час життя ідентифікатора сесії, щоб він змінювався через задані проміжки часу. Тоді навіть вкрадена сесія перестане бути актуальною через цей проміжок часу. За замовчуванням виставлена ​​1 хвилина.

    За замовчуванням виставлена ​​1 хвилина

    Включення зберігання сесій користувачів в базі даних.

    Захист від показу сайту у фреймах

    Найпростіший приклад - якщо ви подивіться на джерела переходів на ваш сайт, то побачите, що деякі посилання це ваш власний сайт тільки з іншою адресою. Це і є відкриття у фреймі. Є сервіси типу snip.ly , Які дозволяють ставити посилання через них, і показувати на сторонньому сайті рекламу. Наприклад, якщо клікнути по цьому посиланню , То ви перейдете в бложік Тьоми Лебедєва, де внизу буде моя реклама. При бажанні до цієї реклами можна буде прикрутити аватарку Тьоми, тоді ефективність буде ще вище.

    Щоб подібні штуки не можна було провернути на вашому сайті, у Бітрікс є захист від фреймів.

    А ось що про це пишуть самі хлопці з Бітрікс:

    Заборона відображення сторінок сайту у фреймах інших доменів дозволяє захистити проект від Clickjacking'a (підсовування невидимого фрейму з цільового ресурсу для отримання кліка від відвідувача), Framesniffing'а і значно зменшує ймовірність Cross-site scripting атак.

    Захист редиректів від фішингу

    фішинг - різновид інтернет-шахрайства.

    У Бітрікс, як і в будь-який CMS або сервісі, де необхідно вважати кліки, є можливість ставити посилання через перенаправлення. Наприклад, в модулі «Реклама». Щоб зловмисники не використали їх в своїх підступних цілях, необхідно включити захист редиректів.

    При включеному захисті все посилання з сайту через редіректи захищаються додатковим параметром індивідуальним для сайту і для цього переходу. Інші зовнішні переходи не працюватимуть.

    Перенаправленням на інший сайт, свідомо безпечний (можна задати в налаштуваннях). Там же в налаштуваннях, можна задати текст з попередженням користувача про можливу спробу фішингу.

    Хости / домени

    Режим запобігає підміну HTTP-заголовка Host. Простіше кажучи, не дає відкривати ваш сайт з будь-яких адресами, що відрізняється від дозволених вами. Можна налаштувати або блокування таких спроб відкриття сайту, або переадресовувати відвідувача на потрібний вам, дозволений адресу.

    Встановлення перенаправлення на дозволений домен.

    панель безпеки

    Інструментів безпеки у Бітрікс багато, щоб спростити настройку та визначити поточний стан кожного, передбачена Панель безпеки. Це розділ, в якому на одній сторінці зведена воєдино і структурована вся інформація про поточну безпеки сайту зараз. Тут же, якщо необхідно, даються рекомендації щодо поліпшення безпеки. Відразу наведено посилання на відповідний інструмент, який потрібно включити або налаштувати.

    Панель безпеки 1С-Бітрікс.

    Щоб визначити рівень безпеки створеного сайту, досить зайти в панель безпеки.

    Безпечна авторизація без SSL

    Якщо вам доводиться працювати з сайтом з різних місць, в тому числі через відкриті точки Wi-Fi, ви піддаєте безпеки сайт, ризикуючи, що ваші логін і пароль, через які ви входите на сайт, будуть отримані зловмисниками. Перехоплення паролів не представляє великої проблеми, якщо сайт не підтримує шифрування або ви не використовуєте VPN-з'єднання.

    У Бітрікс, є можлівість убезпечити авторізацію без необхідності підключаті SSL. Для цього в адміністративній панелі, в настройках Головного модуля, нужно Включити Цю можлівість, поставивши відповідну галочку. Після цього паролі стануть шифруватися за алгоритмом RSA з ключем 1024 біт і в такому вигляді передаються на сервер. Зламати їх буде неможливо.

    Зламати їх буде неможливо

    Журнал вторгнень

    В 1С-Бітрікс, все незвичайні або зловмисні дії автоматично заносяться в Журнал вторгнень. Це дає адміністратору сайту можливість виявляти спроби атак як відразу, в момент проведення (наприклад, отримавши відповідне повідомлення на емейл) і блокувати IP-адреса зловмисникам, так і переглядаючи події в журналі пізніше. У журналі в залежності від основних типів атак робляться відповідні записи: впровадження SQL, атаки через XSS, спроба впровадження PHP. Журнал вторгнень відмінний інструмент для адміністратора сайту, що дозволяє проводити профілактику і попереджати спроби злому аналізуючи записи.

    Журнал вторгнень.

    Двоетапна авторизація та одноразові паролі

    Для входу на сайт традиційно використовуються логін і пароль. Але мінус їх в тому, що поцупити їх особливої ​​складності не складає. Є клавіатурні шпигуни, віруси, які можуть «підглянути» пароль і передати лиходіям. Пароль може бути вкрадений з запам'ятали в браузері, підслухано в незахищених wi-fi мережах.

    Тому у всіх критично важливих місцях, таких як вхід в интерне-банк, при переказі грошей в платіжних системах, використовуються одноразові паролі.

    Бітрікс теж так вміє. Одноразові паролі можуть генеруватися спеціальним пристроєм, брелоком розміром з флешку або додатком, встановленим на смартфор з андроїдом на борту.

    «Брелоки» для генерації одноразових паролів.

    Таким чином, авторизація на сайті буде проходити в два етапи. Перший, коли вводиться логін і пароль. Другий, коли вводиться одноразовий пароль, згенерований брелоком або спеціальним додатком в смартфоні.

    При такому підході до авторизації, навіть якщо логін і пароль будуть відомі лиходієві, він не зможе ними скористатися, оскільки одноразового пароля для другого етапу авторизації у нього не буде.

    Захист сайту від DDoS

    Проактивний фільтр в якійсь мірі захищає сайт від DoS-атак , Дозволяючи автоматично заносити в стоп-лист користувачів і пошукових роботів, які виявляють на сайті зайву активність і тим самим знижувати навантаження, яку вони генерують на сервер. Але проти серйозних DDos цього недостатньо.

    Зовсім недавно, в 15-й версії у Бітрікс з'явилася нова можливість, швидко підключити захист від DDoS-атак, що надається сервісом Qrator. Зробити це можна як з адмінки, так і зі спеціальної сторінки на сайті Бітрікс (якщо админка Бітрікс у вас на сайті буде недоступна через DDos-атаки). У ліцензію входить безкоштовно 1 захист сайту від ddos ​​в рік терміном на 10 днів. Більше вже за гроші. Подібний сервіс буде цікавий, перш за все великим проектам. Але говорячи про інструменти безпеки, вбудовані в Бітрікс, не сказати про нього не можна.

    Важливі дрібниці

    Є ще дрібниці, які відносяться до безпеки, але не такі круті, як ті що я описував вище. Але оскільки зовсім не сказати про них в цій статті не можна, перерахую їх, не вдаючись у подробиці. Все перераховане в цьому розділі є у Бітрікс починаючи з молодшої редакції «Старт».

    Політики безпеки сайту для груп користувачів

    Для різних груп користувачів у Бітрікс задаються відповідні права, що розмежовують доступ до модулів і контенту на сайті. Щоб користувачі, з різних груп мали доступ тільки до тієї інформації і логічних операцій, які їм потрібні для роботи.

    Крім того, для кожної групи користувачів можна налаштувати свою політику безпеки: Прив'язати сесію до IP-адресою або мережі по масці, визначити термін активності сесії і час поки авторизація буде залишатися активною, визначити, скільки одночасних авторизаций може бути виконано для одного користувача, задати довжину пароля і його складність.

    Таким чином, для групи користувачів, які не мають на сайті ніяких прав крім перегляду контенту в публічній частині, можна задати низький рівень безпеки, а для групи Адміністраторів встановити високий або навіть включити двоетапну авторизацію, про яку говорилося вище.

    Журнал подій

    Крім Журналу вторгнень, про який я вже писав вище, у Бітрікс є ще один - Журнал подій. Тут логіруются події, пов'язані з авторизацією і реєстрацією користувачів, роботою різних користувачів з правами доступу, редагування ними файлів і меню, робота з контентом в інформаційних блоках (новини, товари, фото і т. П.), Що дозволяє вести моніторинг основних дій в системі.

    Не всі можливості журналирования включені за замовчуванням, потрібно включити їх для головного модуля (встановивши відповідні галочки) і зробити те ж саме в налаштуваннях кожного Інфоблоки.

    Не всі можливості журналирования включені за замовчуванням, потрібно включити їх для головного модуля (встановивши відповідні галочки) і зробити те ж саме в налаштуваннях кожного Інфоблоки

    Налаштування в Головному модулі параметрів журналу подій.

    Налаштування в Головному модулі параметрів журналу подій

    Налаштування параметрів для журналу подій в Інфоблоки.

    На перший погляд нудна і малокорисна штука. Але іноді допомагає розібратися хто правий, а хто крайній. Наприклад, коли між контент-менеджерами виникне суперечка, хто редагував останнім ту чи іншу статтю на сайті або товар в каталозі і жорстко накосячілі. Тоді буває дуже корисним заглянути в журнал подій. Ще журнал подій допомагає виявляти спроби автоматичного підбору логіна і пароля на сайті. Невдалі спроби в журналі видно, якщо їх багато, можна вживати профілактичних заходів.

    монітор якості

    Не можна заперечувати, що безпеку сайту, так само як і інші його характеристики (наприклад, швидкодія), залежать значною мірою від якості розробки. Щоб допомогти власнику сайту оцінити, наскільки добре зроблений його проект, чи всі важливі нюанси були враховані і / або включені і налаштовані розробником, у Бітрікс реалізований цей інструмент.

    Результати автоматичного тестування сайту монітором якості.

    Це набір автоматичних тестів для перевірки якості розробки вашого сайту, інтеграції дизайну, аналізу безпеки, продуктивності, налаштувань хостингу і багато чого ще. Монітор якості не просто показує на недоробки, а дає рекомендації щодо усунення.

    Не варто відразу телефонувати розробнику і лаятися якщо ви виженете тест, а він покаже багато обов'язкових пунктів які не виконані на вашому сайті. Часто на усунення тієї чи іншої «недоробки» потрібно всього пара хвилин.

    Детальне налаштування CAPTCHA

    Капча (CAPTCHA) - старий добрий інструмент захисту від дій спамерських пошукових роботів. У стандартній капчі є великий мінус, вони легко вирішуються в напівавтоматичному режимі. В 1С-Бітрікс є можливість гнучко налаштовувати капчу. Задавати масу параметрів в її відображенні, змінювати шрифт, визначати які символи будуть виводитися в капчі, а які ні. Така настройка дуже зручна. Наприклад, відмінний варіант - капча з кирилицею. А щоб користувачі не плуталися, яку буквe їм потрібно написати, англійську або російську, можна залишити тільки цифри і букви алфавіту, яких немає в латиниці. Часто цього буває достатньо, щоб обдурити і ботів і індусів, які промишляють рішенням капч.

    Налаштування параметрів відображення капчи.

    Захист від автоматичних реєстрацій

    Щоб боти не реєструвалися на сайті автоматично, в настройках головного модуля є можливість включити підтвердження реєстрації по емейл, а щоб з одного емейла не реєструвалися двічі, включити перевірку на унікальність. Там же, в настройках головного модуля, можна включити капчу для реєстрації нових користувачів.

    Захист від підбору пароля

    У Бітрікс захист від автоматичного підбору пароля реалізована двома способами. Перший - висновок капчи після певної кількості невдалих спроб авторизації. Другий - блокування користувача, що створює на сайті підвищену активність. Тобто якщо робот, підбирає логін і пароль, буде робити це занадто швидко, то проактивний фільтр його просто заблокує, повідомить про це адміністратора сайту і занесе дію в журнал вторгнень.

    працездатність сайту

    Безпека сайту це не тільки захист від хакерів. Це ще й можливість у разі аварії швидко відновити сайт. Тому в даній статті будуть розглянуті, в тому числі і ці інструменти.

    Всі перераховані в цьому розділі можливості, доступні в Бітрікс починаючи з молодшої редакції «Старт».

    Резервне Копіювання

    Сайт - це софт - програмне забезпечення та інформація. Сам по собі софт зламатися не може. Але може зламатися залізо на якому все ваше добро працює. Хостери серйозно підходять до такого роду безпеки, але шанси втратити все що нажито непосильною працею проте є. Можна знайти в інтернеті чимало випадків, коли після аварії у хостера клієнт втрачав свій сайт. Резервних копій у хостера чомусь не виявлялося, власник їх теж не мав. Залишається один варіант - замовляти сайт / інтернет-магазин заново. Чекати пару місяців поки все буде готово, наповнювати матеріалами, просувати.

    Щоб такого не траплялося, продумані користувачі роблять резервні копії і тримають їх в іншому місці, не в тій же кошику де лежать всі яйця. Не кожен це вміє робити, тому у Бітрікс можливість резервного копіювання реалізована дуже просто і в різних варіантах. Фактично в пару кліків мишкою. Що саме є:

    Згорнути весь сайт в архів

    В цьому випадку весь сайт (або на вибір, контент / ядро ​​/ база даних) буде згорнуто в акуратний архів і розміщений в спеціальній папці на сайті. Є настройка, по якій можна відключити резервне копіювання якоїсь однієї папки або файлів певного типу. Наприклад, якщо на сайті зберігається відео, можна виключити цю папку з бакапа, щоб він не був занадто великим. Або якщо ви знаєте, що ядро ​​сайту у вас не змінювалося, але робота з даними йде кожен день, можна бакапіть тільки публічну частину і БД.

    Якщо сайт великий, то архів буде автоматично порізаний на частини, розмір кожної частини можна задавати вручну або залишити за замовчуванням. При бажанні архів можна захистити паролем.

    Налаштування стиснення добре продумані і підходять для будь-яких хостерів. Можна виставить час роботи скрипта і паузи в роботі, щоб процес не відвалювався з таймаут. Можна відключити стиск, щоб ще сильніше знизити навантаження на процесор. Тоді архів буде великим, але зроблений буде швидко. Є галочка, через яку, по завершенні архівації, архів буде перевірений на помилки.

    Автоматичне регулярне резервне копіювання

    Щоб скоротити ручну роботу і людський фактор ( «забув зробити черговий бакап»), у Бітрікс можна налаштувати автоматичне резервне копіювання за розкладом.

    Це здорово спрощує життя і дозволяє мати актуальні резервні копії. Щоб бакапи згодом займуть весь простір на сервері, можна налаштувати автоматичне видалення старих копій.

    Автоматичний backup в «хмару»

    Але у зберігання резервних копій, там же де лежить сайт, є мінус - в разі серйозної проблеми на сервері, резервна копія теж буде втрачена. Тому зберігати резервну копію потрібно окремо від сайту. Це означає, що час від часу потрібно копіювати резервні копі на інший сервер / хостинг / в хмару або до себе в комп'ютер.

    Правило надійного бекапу: «Зберігати бекап потрібно не на тому сервері, де лежить те, що бекап».

    Щоб зняти з користувача цю рутину, у Бітрікс є можливість робити резервні копії відразу в хмару. Все те ж саме, що описано вище, але після завершення архівації, копія автоматично заливається в хмарне сховище Бітрікс або зовнішнє підключений до сайту хмарне сховище, наприклад Amazon S3. Плюс для рядового користувача в тому, що хмарне сховище вбудовано в Бітрікс і нічого підключати і налаштовувати не потрібно.

    У своєму хмарі 1С-Бітрікс виділяє безкоштовно для кожної ліцензії певний обсяг місця під зберігання резервних копій:

    • 1 Гб. Для редакції Старт,
    • 2 Гб. Для «Стандарт»,
    • 6 Гб. Для редакції «Експерт»,
    • 4 Гб. Для «Малого бізнесу»
    • 10 для Бізнес-редакції.

    Чи не занадто багато, але цього достатньо щоб тримати в безпеці 1-2 останніх резервних копії. При бажанні безкоштовне місце в хмарі Бітрікс можна розширити просто докупивши його. Або підключити стороннє хмара.

    Підтримка хмарних сховищ

    Безпосередньо до безпеки це відношення не має, але якщо вже почав говорити про хмарні сховища, потрібно сказати, що хмари підключаються без проблем і працюють не тільки для резервного копіювання. За це відповідає спеціальний модуль, доступний у всіх редакціях, починаючи зі «Старт». Після підключення хмари до Бітрікс, можна налаштувати в ньому зберігання файлів будь-яких типів. Наприклад, щоб все відео, завантажувати на сайт, автоматично розміщувалося в хмарі і для користувача віддавалися саме звідти. Для деяких завдань це корисно, дозволяє розвантажити хостинг і прискорити завантаження інформації відвідувачами.

    інспектор сайтів

    Хмарний сервіс від 1С-Бітрікс, який дозволяє моніторити кілька простих, але важливих параметрів на сайтах та інтернет-магазинах, які працюють під управлінням Бітрікс:

    • Моніторить роботу сайту. Відкривається сайт чи ні, скільки часу простоював. Яндекс.Метрика це теж робить, але цей сервіс показує інфу більш детально.
    • Перевіряє коли закінчиться домен і повідомляє поштою. Реєстратор теж повідомляє, але бувають випадки коли особа відповідальна за сайт і той на кого зареєстрований домен - різні люди. Тоді відповідальний за сайт, може не отримати емейла від реєстратора домену. Щоб такого не сталося, його повідомить інспектор сайтів.
    • Термін закінчення ліцензії 1С-Бітрікс. Здавалося б, не дуже важливо. Насправді економить гроші. Адже придбання пільгового продовження становить 20% від вартості ліцензії. Головне, встигнути його придбати протягом 30 днів після закінчення ліцензії. Не встигли, наступного разу доведеться оплачувати вже 60% від вартості. Тому важливо не пропустити потрібну дату.
    • Перевіряти чи відповідає сайту по протоколу https.
    • Термін дії SSL сертифікату. Перевірить і нагадає, коли прийде час продовжувати SSL-сертифікат.

    Перевірить і нагадає, коли прийде час продовжувати SSL-сертифікат

    Проставляємо галочки що хочемо інспектувати.

    Проставляємо галочки що хочемо інспектувати

    Так виглядають результати інспектування.

    Висновок

    Важко сперечатися, що безпеку сайту, штука важлива. Особливо якщо це інтернет-магазин або сайт компанії, від роботи якого залежить репутація і заробіток. Бітрікс дає відмінні інструменти для роботи з безпекою. Не беруся стверджувати, але думаю що в плані захищеності це одна з кращих коробкових CMS в світі.

    Всі висновки по цій статті я виніс в початок. Повторювати їх тут немає сенсу. Сподіваюся, ця стаття допомогла вам. Якщо так, зробіть репост, мені буде приємно :-)


    Хто тут?
    Що це означає на практиці?
    Хто тут?
    IRC (Internet Relay Chat)

    Все права защищены © 2013 IRC-сервер — Irc.Online.com.ua