3 стратегических совета как защитить сайт на Битрикс

Как защитить сайт на Битрикс — проблема, волнующая как просто владельцев сайтов, так и опытных сисадминов. Но если первые как правило опасаются хакерской атаки или взлома сайта без четкого понимания, откуда может прийти угроза, то вторые знают: интернет — опасное место, и безопасность здесь — первая необходимость.

Вам нужно будет обезопасить и собственные доступы к проекту, и данные пользователей, и конфиденциальную информацию на вашем сайте. К счастью, технический потенциал 1С-Битрикс позволяет создать для сайта неплохую защиту, на взлом которой способен далеко не каждый желающий.

Как же защитить свой сайт на 1С-Битрикс от взлома и утечек? Есть несколько основных направлений защиты: защита администраторской панели, настройка проактивной защиты и защита от DDoS’а. Ниже мы подробно остановимся на каждом из них.

Защита админки

Админка — ваш штаб, командный центр, и если хакер захватит его, то последствия могут быть непредсказуемыми. Впрочем, то же самое касается и не очень ловких сотрудников! Защита административной части Битрикс - краеугольный камень вашей обороны.

Первое и самое простое — доступ к админке каждого пользователя должен быть защищён сложным, случайно сгенерированным паролем, который должен меняться каждые два месяца. Его можно хранить в специальном сервисе для паролей, но убедите своих работников не сохранять доступы в текстовом файле на рабочем столе... И сами так не делайте!

Кстати, есть ещё соблазн сохранять пароли в браузере. Что ж, если вы храните там доступ от личной почты, где ничего важнее фотографий семейного пикника раздобыть нельзя, то это ещё ничего. Но сохранять там пароль от важного проекта, который могут захотеть целенаправленно получить — нет, так делать нельзя ни в коем случае.

Другой вариант защиты паролей — одноразовый пароль Битрикс. Его источником может быть специальное устройство в брелке, эдакая флешка доступа, или приложение на смартфоне. Его использование не отменяет индивидуального пароля, но позволяет дополнить его ещё одним слоем безопасности, отмычку к которому украсть из браузера или подсмотреть на экране не получится никоим образом.

Озаботьтесь защитой по IP-адресу. Для этого в Битриксе есть специальный инструмент — "Защита административной части". Благодаря ему становятся бессмысленными и XSS-атаки на компьютеры любого сотрудника, и даже кража пароля. С его помощью доступ в админку будет только для определенных IP-диапазонов или конкретных адресов. Кроме того, он не позволит вам по ошибке забанить себя — добавить себя в стоп-лист (о нём будет ниже). Для этого нужно будет создать файл, название и адрес которого нужно ввести в настройки инструмента.

Однако даже все эти инструменты не дадут вам защиты от ваших собственных сотрудников — их ошибок, безрассудности, а то и злонамеренности. Битрикс позволяет распределять пользователей по группам, имеющим разные уровни доступа к информации и операциям на сайте. Через групповую политику безопасности можно привязывать сессии к IP-адресам или сети по маске, контролировать ее длину, контролировать сложность паролей.

Пользователям, имеющим доступ только к публичной части проекта, можно задать невысокий уровень безопасности, редакторы должны быть защищены лучше, а для Администраторов нужно столько защитных слоёв, сколько только возможно. Если поймёте как эффективно защитить админку — считайте, почти поняли, как защитить сайт на Битрикс.

Битрикс: проактивная защита

Мощнейшим инструментом вашей защиты станет проактивная защита Битрикс. Это инструменты самой системы, которые доступны со «стандартной» версии Битрикса (в «Старте» их нет), некоторые требуют установки модуля «Веб-аналитика». Все эти модули — преимущества системы 1С-Битрикс, и нужно ещё поискать специалиста, который был бы способен сквозь них прорваться.

Панель безопасности

Своего рода мета-инструмент безопасности — «Панель безопасности». Он упрощает настройку и отслеживание статуса каждого из модулей защиты, по сути сводит их все в единый лист с рекомендациями по безопасности. Попасть в неё можно так: Настройки -> Проактивная защита -> Панель безопасности.

Для стандартного уровня безопасности Проактивный фильтр (Web Application Firewall) должен быть включен, из него не должно быть исключений, журнал вторжений за последнюю неделю должен быть пуст, а контроль активности включен. Также должна быть включена CAPTCHA. При этом показ ошибочных запросов базы данных можно выключить, в режим вывода ошибок настроить на значение «Только ошибки» или «Не выводить».

Для продвинутого уровня защиты нужно будет также в довесок ко всему вышеперечисленному включить защиту редиректов от фишинга, смену идентификатора сессий, хранение сессий в базе данных, защиту админки, ограничение отображения страниц во фрейме. Ну а для повышенной защиты нужно будет также выполнить контроль целостности, включить веб-антивирус (без исключений из него) и одноразовые пароли, а также оповещения о действиях при обнаружении заражения. При этом журнал заражений за последнюю неделю тоже должен быть пуст.

Брандмауэр веб-приложений

Об этом инструменте шла речь в прошлом пункте. Это фильтр, который защитит вас от большинства стандартных хакерских атак. Он обнаруживает возможные опасности, анализирует поведение посетителей, отфильтровывает тех, кто ведет себя подозрительно и может представлять угрозу. Попытки атак фиксируются в журнале, администратор извещается о попытках проникновения, а IP атакующего можно добавлять в бан-лист.

Но помните: не все посетители, чье поведение укладывается в шаблон «подозрительного», имеют какое-то отношение к атакам, иногда это просто совпадение.

Если при создании своего проекта вы допустили ошибки в XSS, SQL Injection, PHP Including или иные, то это — самый эффективный инструмент вашей безопасности.

Сканер безопасности

С помощью этого сканера можно проверить ресурс и выявить уязвимости в программной части и в настройках сервера, CMS и PHP. Если вы не погружены в IT-тематику, то он позволит проверить безопасность сайта и понять, не следует ли обратиться за консультацией к опытному разработчику. Впрочем, въедливость сканера такова, что он иногда принимает за угрозы и критичные нарушения что-то совсем невинное.

• Сканировать окружение проекта. Например, правильности хранения файлов и т.п.
• Проверять настройки сайта — включен ли Web Application Firewall, есть ли у базы данных пароль и т.д.
• Искать возможные уязвимости в коде проекта посредством статического анализа.
• Стартовать внешнее сканирование.

У него есть некоторые минимальные требования к системе: наличие расширения tokenizer, менее 20 секунд max_execution_time и 256 МБ memory_limit.

Стоп-лист

Некоторые пользователи просто не должны иметь доступ к вашему сайту, будь это зловредные хакеры, спам-боты или просто неприятные личности. Чтобы от них избавиться используйте «Стоп-лист» от 1С-Битрикс. Он позволяет автоматически банить посетителей по событиям или добавлять туда кого-то вручную по IP, маске сети и UserAgent (для этого нужен модуль «Веб-аналитика»). Смотрите только не забаньте весь интернет или, например, Google.

Контроль целостности файлов и защита сессий

Эти два инструмента позволяет контролировать сотрудников и сторонних программистов, а также защищать сессии. «Контроль…» отслеживает изменения файлов, их добавление или изменения, вносимые в ядро сайта. Ну а «Защита…» хранит в базе данных и защищает сессии пользователей. Дело в том, что их можно перехватывать — но не с такой защитой! Кроме того, с ней можно задавать время жизни каждой сессии.

Защита Битрикс от DDoS

Сегодня любой успешный интернет-проект находится под постоянной угрозой DDoS-атаки. Это не тайна: резкий рост активности посетителей не так уж и часто значит, что проект вдруг обрёл успех и популярность. Гораздо чаще — что кто-то вас заспамил, критически увеличив нагрузку сайта и подвергнув вашу работу опасности.

Это самая частая причина DDoS-атак: агрессивные действия конкурентов, которым просто нужно обрушить ваш ресурс. Но бывает и так, что действуют хакеры-вымогатели, готовые прекратить за выкуп, или даже интернет-хулиганы, развлекающиеся без какой бы то ни было цели. Серьёзный проект просто обязан защитить себя от всех этих угроз!

Чтобы сделать это грамотно, нужно понять семиуровневую модель OSI, относительно которой описываются компьютерные сети вообще и ведущиеся в них атаки в частности. Первый уровень в этой модели — физическая инфраструктура: маршрутизаторы, кабели, машины, ноды, etc. Второй - каналы, связывающиеся в сеть через коммутаторы. С повышением уровня растёт и абстракция уровня. DDoS-атаки начинаются на 3-5 уровнях, сетевых, на которых можно примитивно перегрузить каналы SYN-запросами (ping-запросами на подключение по TCP-протоколу). Справится с этими нападками достаточно просто.

Гораздо опаснее атаки на более абстрактном, седьмом уровне. Обычно их проводят в направлении самых ресурсоёмких страниц сайта, иногда осуществляя на них сложные действия. Пример такой атаки — огромный поток автоматических запросов на настройку фильтра каталога для выдачи максимально объёмной подборки товаров. Т.е. таких запросов много, атакуют тысячи или десятки тысяч ботов, атаки направлены на тяжёлые страницы, каждый бот требует выполнить сложное, ресурсоёмкое действие. Как правило не выдерживают веб-серверы, бэкенд, сервер баз данных.

Как эту атаку отразить? Мы используем Web Application Firewall, или, попросту, WAF. Это особая система мониторов и фильтров по отслеживанию и блокировке DDoS-атак. Впрочем, он нужен только для самых высокоуровневых нападений и тяжёлых случаев, а обычно достаточно и базовой «обороны». Она же включена на всех наших серверах по умолчанию.

Всем, кто в делах IT-инфраструктуры полагается только на себя, своё оборудование и серверную, в деле защиты от нападений следует полагаться на себя. Разбираться с атакой придётся самостоятельно, но в этом могут помочь специальные сервисы или переход на VDS, выделенный сервер, который уже будет защищён хостером. Ну или атаку можно переждать, она нанесёт вам ущерб, но вряд ли продлится вечно.

В столкновении с такими обстоятельствами выгоднее всего хостится у надёжного провайдера, который сам займётся вашей защитой. Мы всегда с максимальными заботой и ответственностью заботимся о безопасности и сохранности наших клиентских проектов, поэтому если вы работаете с нами, то эта головная боль вам просто не грозит. Но если вдруг найдётся кто-то действительно опасный и грамотный, способный использовать высокоуровневые DDoS-атаки, то и с ними мы вам готовы тут же помочь.

Итог: как защитить сайт на Битрикс

1С-Битрикс позволяет защитить свои сайты очень эффективным образом, но без достаточной грамотности или достаточного понимания необходимости такой защиты все возможности системы будут бесполезны. Выше мы описали необходимый минимум, но и он может не помочь вам, если кто-то из ваших сотрудников заинтересуется возможностью «сдать вашу крепость» или даже если просто забыть реализовать нужный пункт защиты.

Поэтому идеальный уровень защиты на корпоративном уровне — это собственный штат информационной безопасности или хотя бы опытный специалист, который только этим и будет заниматься. Если у вас нет возможности содержать его в штате, то до определённого уровня помочь сможет грамотный хостер. Наша техническая поддержка всегда реагирует на возникающие у пользователей проблемы, а на более высоких уровнях услуги сама осуществляет администрирование вашей системы. Кроме того, мы бесплатно защищаем сайты наших клиентов от угроз со стороны DDoS’а и зловредных ботов, а за дополнительную плату подключаем дополнительные уровни безопасности.