Защита битрикс от вирусов

Обновлено: 24.04.2024

Надежная защита вашего сайта от взлома и кражи информации. Вам не нужно беспокоиться о регулярной проверке, просто настройте параметры мониторинга один раз - и система сама будет определять уровень безопасности ресурса и информировать вас в случае появления проблем.

Проактивный фильтр (Web Application Firewall)

Проактивный фильтр (WAF - Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

Аудит безопасности PHP-кода

Веб-антивирус

Панель безопасности

Безопасная авторизация без SSL

С помощью методики безопасной аутентификации пароли с формы авторизации ваших сотрудников невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный портал. При этом не важно, какие соединения и протоколы используют пользователи вашего портала.

Журнал вторжений

В Журнале регистрируются все события, происходящие в системе, в том числе необычные или злонамеренные. Оперативный режим регистрации этих событий позволяет просматривать соответствующие записи в Журнале сразу же после их генерации. В свою очередь, это позволяет обнаруживать атаки и попытки атак в момент их проведения. Это значит, у вас есть возможность немедленно принимать ответные меры, и, в некоторых случаях, даже предупреждать атаки.

Одноразовые пароли

Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выяснения - вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.

Проверка целостности скрипта контроля

Защита административного раздела

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается - задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки - этот момент проверяется системой. Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера - абсолютно бесполезным.

Защита сессий

Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные - и в некотором роде уникальные.

Контроль активности

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).

Стоп лист

Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.

Частые вопросы и ответы

Общие сведения:

Оцените свои потребности и выбирайте лицензию с необходимыми параметрами.

Если вы сомневаетесь в том, какую лицензию вам выбрать – обращайтесь к нашим партнерам. Они всегда будут рады помочь вам сделать правильный выбор:
- Вы можете выбрать партнера самостоятельно из списка.
- Оставить заявку на нашем сайте и выбрать из тех, кто откликнется.

Все зависит от ваших задач и требований. Мы предлагаем несколько вариантов поиска партнера для создания сайта:

1. В специальном разделе вы можете выбрать разработчика в зависимости от его местоположения и/или компетенции.

2. Познакомьтесь с реализованными проектами партнеров и выберите разработчика, опираясь на то, насколько эти работы близки вашей тематике.

В этом случае предлагаем вам 2 варианта:

2. Обратиться за доработками к нашим партнерам. Как выбрать подходящего разработчика рассказано здесь.

3. Также вы можете перейти на старшую лицензию, содержащую более расширенные возможности.

Абонентской платы нет.

Через год, если вы захотите и дальше получать обновления, вам будет необходимо приобрести продление лицензии.

Независимо от даты окончания активности лицензии, вы можете приобрести продление за 25% от стоимости вашей лицензии. Активируя продление до окончания активности лицензии, ее срок продлевается на 1 год с даты окончания.

При активации продления после окончания активности лицензии, ее срок продлевается на 1 год с момента активации. Вы получаете возможность загрузить и установить все изменения и обновления, которые вышли за весь предыдущий период, пока вы не пользовались обновлениями и еще в течение года с момента покупки.

После приобретения лицензии вы можете использовать все ее возможности в течение года.
Даже если вы не приобретете продление на следующий год, то по истечение года активности лицензии сайт не отключится и продолжит работать.

После оплаты права использования программы, вы одновременно получаете две лицензии:

1. Стандартную – она позволяет использовать продукт, получать обновления, устанавливать решения из Маркетплейс. Срок ее действия – один год. После этого необходимо продление.

2. Ограниченную – которая дает право использовать продукт без доступа к обновлениям и решениям из Маркетплейс. Ограниченная лицензия предоставляется не по письменному договору, а по EULA (лицензионное соглашение с конечным пользователем) и не учитывается в бухгалтерском учете. Ее назначение – подтверждение правомерности использования программного продукта клиентом по истечению годичного периода.

Срок действия Ограниченной лицензии совпадает со сроком исключительных прав на программный продукт (по статье 988 ГК РБ).

Надежная защита вашего сайта от взлома и кражи информации. Вам не нужно беспокоиться о регулярной проверке, просто настройте параметры мониторинга один раз — и система сама будет определять уровень безопасности ресурса и информировать вас в случае появления проблем.

Проактивный фильтр (Web Application Firewall)

Аудит безопасности PHP-кода

Веб-антивирус

Панель безопасности

Безопасная авторизация без SSL

Журнал вторжений

Одноразовые пароли

Контроль целостности файлов

Проверка целостности скрипта контроля

Защита административного раздела

Защита сессий

Контроль активности

Стоп лист

Частые вопросы и ответы

Общие сведения:

Оцените свои потребности и выбирайте лицензию с необходимыми параметрами.

В этом случае предлагаем вам 2 варианта:

2. Обратиться за доработками к нашим партнерам. Как выбрать подходящего разработчика рассказано здесь.

3. Также вы можете перейти на старшую лицензию, содержащую более расширенные возможности.

Абонентской платы нет.

После оплаты права использования программы, вы одновременно получаете две лицензии:

Срок действия Ограниченной лицензии совпадает со сроком исключительных прав на программный продукт (по статье 1281 ГК РФ).

Одной из первостепенных задач для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.

Распределенное хранение данных

Для быстрого подключения доступны Google Storage, Amazon S3, Windows Azure Storage от Microsoft, RackSpace, OpenStack и другие.

Резервирование данных в облако

Защита от вирусов

Веб-антивирус встроен непосредственно в сам продукт – систему управления сайтами.

Он препятствует внедрению вредоносного кода в сайт, выявляя в HTML коде потенциально опасные участки и вырезая подозрительные объекты. В итоге вирусы не могут проникнуть на компьютер пользователя сайта – антивирус препятствует этому. Веб-антивирус уведомляет администратора портала – предупреждает о наличии заразы.

Проактивный фильтр атак и вторжений

Проактивный фильтр (Web Application Firewall) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Все атаки и подозрительные активности фиксируются в журнале.

Защита от DDoS

Аудит безопасности кода

Контроль целостности файлов

Защита административного раздела

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых сотрудникам разрешается редактировать сайт. В интерфейсе задается список или диапазоны IP адресов, администрирование из которых будет разрешено. При использовании инструмента любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера – абсолютно бесполезным.

Защита сессий

Веб-антивирус встроен непосредственно в сам продукт – систему управления сайтами.

Хранение данных сессий в таблице модуля защиты позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

А также

Когда пользователи авторизуются на сайте в кафе, торговых центрах, аэропортах - из незащищенной среды, подключаясь по открытому (или даже слабошифрованному соединению, для злоумышленников не составит труда перехватить пароль. С помощью методики безопасной аутентификации пароли формы авторизации невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на сайт. При этом не важно, какие соединения и протоколы используют посетители вашего сайта.

Все инструменты безопасности в Битрикс объединены под общим названием "Проактивная защита".

Все инструменты доступны из редакции 1С-Битрикс "Стандарт". Для некоторых потребуется установить модуль "Веб-аналитика".

Расскажем подробнее про каждый раздел:

Проактивный фильтр

Проактивный фильтр защищает от большинства известных атак. Он распознает потенциальные угрозы и блокирует вторжения на сайт, анализирует и фильтрует данные, которые поступают от посетителя через переменные и куки.

Проактивный фильтр – это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).

Все попытки атак Проактивный фильтр фиксирует в специальном журнале и при этом информирует администратора сайта о случаях вторжения. Фильтр может заблокировать атакующего, добавив его IP-адрес в стоп-лист.

Сканер безопасности веб-сайта

Администрирование - Настройки - Проактивная защита - сканер безопасности

Сканер безопасности — это служба мониторинга уязвимостей безопасности веб-сайтов. Совместно с модулем проактивной защиты сервис Security Scanner проводит полную диагностику угроз безопасности интернет-ресурсов и своевременно их предотвращает.

Сканер проверяет окружение проекта, находит настройки всех систем безопасности, а также находит потенциальные уязвимости кода.

Запустить сканирование можно по кнопке "Запустить сканирование".

После сканирования результаты отображаются со списком всех угроз безопасности, обнаруженных на веб-сайте. Обратите внимание, что не все найденное является угрозой, но по возможности стоит следовать рекомендациям.

Возможности сканера безопасности Битрикс:

Выполняет внутреннее сканирование окружения проекта. Например, насколько безопасно хранятся сессии.

Выполняет проверку настроек сайта. Например, включен ли WAF, установлен ли пароль к БД и т. д.

Выполняет поиск потенциальных уязвимостей в коде проекта с помощью статического анализа.

Запускает внешнее сканирование, что позволит определить правильно или нет сконфигурирован Nginx + php-fpm, доступность настроек PhpMyAdmin и др. Стоит помнить, что все сервисы, необходимые только сайту, не должны быть видны "наружу", данный инструмент поможет проанализировать к каким сервисам открыт доступ.

В результатах проверки сайта на уязвимости даются также рекомендации по их устранению. Особо важные пункты красным цветом и обозначены восклицательным знаком.

Если у Вас возникли ошибки в сканере безопасности и Вы самостоятельно не можете решить вопрос, обратитесь к разработчикам за помощью. Ошибки могут быть критическими.

Веб-антивирус

Администрирование - Настройки - Проактивная защита - Веб-антивирус

Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта.

Веб-антивирус также уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.

В настройках этого инструмента можно добавить исключения, чтобы Веб-антивирус не срабатывал на безопасные, но подозрительные части кода.

Аудит безопасности PHP-кода

Администрирование - Настройки - Инструменты - Монитор качества

Этот удобный, точный и понятный инструмент подсказывает потенциально опасные места в безопасности кода. Он не только предотвращает эксплуатацию уязвимости, но и устраняет ее источник. Проверка показывает в отчете возможные уязвимости в коде и усиливает защиту сайта от взлома.

Защита от DDoS

DDoS-атака или иная распределенная атака на веб-сайт с использованием большого количества нежелательных запросов. Противостоять такой атаке может только специализированная защита.

Начиная с 15-й версии в Битриксе появилась возможность подключить защиту от DDoS-атак. Это можно сделать как из админки сайта, так и со специальной страницы на сайте Битрикс, если админка Битрикс на сайте недоступна из-за DDos атаки. Лицензия включает бесплатную защиту одного сайта от DDoS-атак в год сроком на 10 дней.

Напомним, что на нашем хостинге для Битрикс на всех тарифах уже присутствует аппаратная и программная защита от DDoS атак.

Стоп-лист

Очень полезный инструмент, позволяющий банить сомнительных посетителей. Возможности стоп-листа:

Перенаправляет посетителей, параметры которых содержатся в стоп-листе;

Блокирует пользователей по IP адресам;

Есть ручное пополнение стоп-листа новыми записями;

Ведется учет статистики пользователей, которым запрещен доступ к сайту;

Можно установить период действия запрета на доступ к сайту для пользователя, IP-сети, маски сети, UserAgent и ссылки, по которой пришел пользователь;

Контроль активности устанавливает защиту от сверх активных пользователей, программных ботов, отдельных категорий DDoS-атак, а также отсекает попытки подбора пароля методом перебора.

В настройках инструмента можно установить максимальную активность пользователя на сайте (например, количество запросов в секунду, которое может сделать пользователь).

Возможности инструмента Контроля активности:

Защищает от чрезмерно активных пользователей, программных роботов и некоторых категорий DDoS-атак;

Отсекает попытки подбора паролей перебором;

Устанавливает максимальную активность пользователей для сайта (нормальной для человека);

Фиксирует превышение лимита активности пользователя в Журнале вторжений;

Блокирует пользователя, превысившего количество запросов в заданный временной интервал;

Выводит для заблокированного пользователя специальную информационную страницу.

Защита административного раздела

Этот инструмент позволяет жестко ограничивать сети, которым разрешен доступ к административной части сайта. В нем можно указать список разрешенных IP, с которых можно управлять административной частью.

Это исключает любые XSS/CSS-атаки на компьютер администратора, а также перехват паролей, так как доступ и авторизация на чужом компьютере будут невозможны.

Инструмент также включает защиту от блокировки доступа администратора.

Контроль целостности файлов

Администрирование - Настройки - Проактивная защита - Контроль целостности

Контроль целостности файлов поможет вам быстро узнать, были ли внесены изменения в системные файлы.В любой момент вы можете проверить целостность ядра, системных областей и публичной части продукта.

Система также позволяет выполнять проверку скрипта контроля на наличие изменений.

Защита сессий

Также очень полезный инструмент безопасности. Целью большинства атак на веб-сайты является получение данных об авторизованном сеансе пользователя. Включение безопасности сеанса делает такой захват невозможным.

Хранение данных сеанса в таблице модуля позволяет избежать чтения этих данных через скрипты с других сайтов на том же сервере, исключая ошибки в настройке виртуального хостинга, ошибки в настройке прав доступа во временные каталоги и ряд других проблем в конфигурации операционной среды.

Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

Панель безопасности

Панель безопасности позволяет установить и настроить необходимый уровень безопасности для вашего сайта: начальный, стандартный, высокий и продвинутый. Попутно система дает рекомендации, какие действия следует задать для каждого параметра на выбранном текущем уровне.

Стандартный уровень безопасности — для тех проектов, где задействованы стандартные средства проактивной защиты продукта.

Высокий уровень безопасности — это рекомендуемый уровень защиты, который получают проекты, соответствующие требованиям стандартного уровня, а также включают:

Журналирование событий главного модуля;

Защиту административной части;

Хранение сессий в базе данных;

Смену идентификатора сессий.

Повышенный уровень безопасности включает в себя специальные средства защиты, обязательные для веб-сайтов, содержащих конфиденциальную информацию о пользователях. Помимо высокого уровня сюда входят:

Включение одноразовых паролей;

Проверка целостности скрипта контроля.

Безопасная авторизация без SSL

Этот инструмент делает невозможным взлом паролей с формы авторизации, т.к. они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный сайт.

Безопасная авторизация с шифрованием пароля предотвращает передачу открытого текста пароля без SSL. При этом все инструменты, ранее использовавшиеся для авторизации, продолжают работать.

Журнал вторжений

В журнал вторжений записываются все события, происходящие в системе, в том числе необычные или злонамеренные. События регистрируются в онлайн-режиме, что позволяет просматривать соответствующие записи журнала сразу же после их создания.

Такая скорость позволяет обнаруживать атаки и попытки атак в момент их проведения. Это означает, что вы можете немедленно реагировать и предотвращать возможные атаки.

Двухэтапная авторизация и одноразовые пароли

Система одноразовых паролей дополняет стандартную систему авторизации и значительно улучшает систему безопасности сайта. Так реализована двухэтапная авторизация - сначала обычный логин и пароль, затем одноразовый пароль.

Подобную защиту можно реализовать как аппаратными средствами (аппаратные устройства-брелоки типа eToken PASS), так и программно с помощью Персонального генератора одноразовых паролей для сайта (ОТР).

Защита редиректов от фишинга

В Битриксе, как и в любой CMS, для подсчета числа кликов, есть возможность реализации ссылок через редиректы. Для безопасной работы данного функционала, чтобы исключить подмену ссылок, необходимо использовать защиту от фишинга:

Добавлять цифровую подпись к перечисленным ниже URL - при отмеченной опции к адресам, перечисленным в поле Подписываемые URLs, будет добавляться цифровая подпись.

Защита от фреймов

Опция позволяет разрешить/запретить загружать страницы сайта через frame за счет проставление заголовка X-Frame-Options в значение SAMEORIGIN. При активации защиты от фреймов не будет работать Вебвизор в Яндекс.Метрике. Есть способы обойти это ограничение, если добавить блокировку iframe через Nginx, в котором можно исключить блокировку для Вебвизора, в этом вам помогут в поддержке хостинга.

Хосты/домены

Вы можете настроить блокировку таких попыток открытия сайта, или просто сделать переадресацию на нужный адрес.

Дополнительная защита 1С-Битрикс

Резервное копирование

В идеале, это первое, о чем должен позаботиться владелец сайта. Резервное копирование позволяет восстановить рабочую версию сайта после любого сбоя или вторжения извне.

На нашем хостинге Джихост резервное копирование происходит в автоматическом режиме раз в неделю. Копии хранятся на независимых серверах и не занимают места на дисках клиентов.

Однако пользователям рекомендуется создавать резервные копии самостоятельно. В частности, перед любыми серьезными изменениями или обновлениями на веб-сайте. Сделать это можно как на нашем хостинге, так и непосредственно в самом Битриксе.

В Битриксе резервное копирование реализовано в различных вариантах.

Полное резервное копирование. Как следует из названия, будет создана полная резервная копия сайта со всем его содержимым.

Выборочное копирование. Можно выбрать, какую часть сайта копировать — контент /ядро / база данных. Часто это удобнее, особенно если сайт занимает много места. Есть также настройка, которая позволяет отключить копирование отдельной папки или файла.

Автоматическое регулярное резервное копирование. В Битриксе можно настроить автоматическое резервное копирование по расписанию. А чтобы бакапы со временем не занимали все место, можно настроить автоматическое удаление старых копий.

Автоматический backup в облако. Еще более надежный вариант. В облаке копии хранятся независимо, поэтому надежность такого бэкапа гораздо выше.

Защита выхода пользователя из системы от CSRF

Система 1С-Битрикс позволяет защитить сайт от межсайтовой подделки запросов буквально в один клик.

Читайте также: