Безопасность «1С-Битрикс: Управление сайтом»

Одной из первостепенных задач для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.

В «1С-Битрикс: Управление сайтом» присутствует несколько уровней защиты от большинства известных атак на веб-приложения. Каждый уровень серьезно повышает безопасность разработанных вами сайта.

О продукте

Распределенное хранение данных

Система поддерживает подключение облачных хранилищ для размещения файлов и автоматического резервного копирования данных. Управляйте облачными хранилищами происходит прямо в интерфейсе CMD - подключите неограниченное количество «облаков» и храните свои данные на множестве серверов в сети.

Для быстрого подключения доступны Google Storage, Amazon S3, Windows Azure Storage от Microsoft, RackSpace, OpenStack и другие.

Резервирование данных в облако

Система позволяет выполнять резервное копирование в «облако» (cloud backup). Это снижает стоимость владения веб-проектом, а процедура хранения данных упрощается. В облаке «1С-Битрикс» всегда хранится 3 резервных копии вашего сайта. Функционал «облачного» бекапа доступен для сайтов с активной коммерческой лицензией. Размер выделенного для вас места в облаке зависит от типа этой лицензии.

Защита от вирусов

Веб-антивирус встроен непосредственно в сам продукт – систему управления сайтами.

Он препятствует внедрению вредоносного кода в сайт, выявляя в HTML коде потенциально опасные участки и вырезая подозрительные объекты. В итоге вирусы не могут проникнуть на компьютер пользователя сайта – антивирус препятствует этому. Веб-антивирус уведомляет администратора портала – предупреждает о наличии заразы.

Проактивный фильтр атак и вторжений

Проактивный фильтр (Web Application Firewall) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Все атаки и подозрительные активности фиксируются в журнале.

Защита от DDoS

Одна из причин, по которым ваш сайт может перестать работать – DDoS-атака (чаще всего – распределенная атака на ваш сайт с помощью большого числа «мусорных» запросов). Источники атак и ее технические реализации могут быть самыми разнообразными (целевая атака от конкурентов, автоматическая атака от ботнет-сети; большое количество HTTP-запросов, SYN-флуд атаки и т.д.). Клиентам «1С-Битрикс» с активной коммерческой лицензией доступна возможностьполучения защиты от DDoS до 10 дней бесплатно от компании WebArmor.

Аудит безопасности кода

Инструмент для аудита безопасности PHP-кода - удобный, точный и понятный инструмент для разработчика, который «подсказывает» узкие места в безопасности кода сайта. Инструмент позволяет не только предотвратить эксплуатацию уязвимости, но и устранить ее источник. Проверка показывает в отчете потенциальные уязвимости в коде и усиливает защиту сайта от взлома.

Контроль целостности файлов

Контроль целостности файлов необходим для быстрого выявления внесенных в файловую систему сайта изменений. Администратор сайта или специалист по безопасности сможет в любой момент проверить целостность ядра, системных областей, публичной части. Это обезопасит проект от несанкционированных изменений самых важных его частей. Перед проверкой целостности системы, «1С-Битрикс: Управление сайтом» проверит сам скрипт контроля на наличие изменений с помощью ключа.

Защита административного раздела

Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых сотрудникам разрешается редактировать сайт. В интерфейсе задается список или диапазоны IP адресов, администрирование из которых будет разрешено. При использовании инструмента любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера – абсолютно бесполезным.

Защита сессий

Веб-антивирус встроен непосредственно в сам продукт – систему управления сайтами.

Хранение данных сессий в таблице модуля защиты позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.

А также

Контроль активности пользователей

Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).

Безопасная авторизация даже без SLL

Когда пользователи авторизуются на сайте в кафе, торговых центрах, аэропортах - из незащищенной среды, подключаясь по открытому (или даже слабошифрованному соединению, для злоумышленников не составит труда перехватить пароль. С помощью методики безопасной аутентификации пароли формы авторизации невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на сайт. При этом не важно, какие соединения и протоколы используют посетители вашего сайта.

Чёрный список посетителей

Стоп-лист - таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы. Запрет может быть установлен по IP пользователя или сети, маске сети, UserAgent или входящей ссылке.

Одноразовые пароли

Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте. Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы можно использовать приложение Bitrix OTP использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.