Что отображено на странице панель безопасности битрикс
Администратор. Модули. Служебные модули
1. Для защиты веб-проекта на высоком уровне безопасности необходимо:
+ настроить стандартный уровень безопасности, а затем выполнить настройку параметров для высокого уровня
— настроить только параметры высокого уровня безопасности
— настроить стандартный уровень безопасности, а затем настроить параметры использования одноразовых паролей и контроля активности
2. При master-slave репликации в модуле «Веб-кластер»
— если разрешено использования одноразовых паролей
+ для которых в правах доступа к модулю «Проактивная защита» разрешена операция «Обход проактивного фильтра»
— если включен механизм хранения данных сессий пользователей в базе данных
— добавленных в стоп-лист
4. Сразу после создания подключения к облачному хранилищу
+ старые файлы останутся на хостинге, а новые будут автоматически сохраняться в «облаке»
— старые файлы автоматически будут перенесены в «облако», а новые сразу будут сохраняться там
— на хостинге будут размещаться как старые файлы, так и вновь создаваемые
5. Просмотреть содержимое подключенных контейнеров облачных хранилищ можно на странице
— Облачные хранилища (Настройки > Облачные хранилища)
+ Облачные хранилища (Контент > Облачные хранилища)
— Управление структурой (Контент > Структура сайта > Файлы и папки)
6. Где указывается сервер, на котором размещен почтовый ящик?
— в любом из перечисленных
— в настройках модуля «Почта»
— в настройках главного модуля
+ в настройках почтового ящика
7. Чтобы защита осуществлялась на повышенном уровне необходимо:
— настроить параметры повышенного уровня: систему одноразовых паролей и механизм контроля целостности
— настроить защиту на стандартном и высоком уровне
+ настроить защиту на стандартном и высоком уровне, а затем настроить параметры повышенного уровня
8. Импорт пользователей из AD/LDAP осуществляется:
— автоматически
+ из выбранного администратором сервера (вручную)
— для всех серверов
9. Чтобы правило применялось к почтовым сообщениям автоматически, в поле «Применять при событиях» (форма редактирования правила, модуль «Почта») следует выбрать значение:
+ при получении
— при принудительном вызове
10. Если стандартный уровень не настроен полностью, то:
— защита сайта будет осуществляться на начальном уровне, без учета настроенных параметров на стандартном, высоком и повышенном уровнях
— защита сайта будет осуществляться на базовом уровне
+ защита сайта будет осуществляться на начальном уровне, но с учетом настроенных параметров на стандартном, высоком и повышенном уровнях
11. Если пользователь удален из списка пользователей корпоративной сети, то:
— он сохранит прежний доступ к сайту.
+ при попытке получить доступ к ресурсам сайта он получит отказ в авторизации.
+ его аккаунт будет сохранен в системе управления сайтом.
12. Изменить место хранения кеша при установленном модуле веб-кластер можно
— в настройках главного модуля
+ в административной части сайта на странице «Memcached»
— в настройках модуля веб-кластер
+ в файле «\bitrix\modules\cluster\memcache.php»
13. После подключения сервера memcached с помощью модуля веб-кластер
— сервер будет использоваться в кластере совместно с файлами кеша
+ сервер будет использоваться в кластере вместо файлового кеша
+ в случае отказа всех memcached-серверов подсистема кеширования снова начинает использовать файловый кеш
14. При входе на подключенный к контроллеру сайт через логин на контроллере
— Происходит прозрачная авторизация без создания локального пользователя
+ На сайте создается локальный пользователь с соответствующим именем и правами
15. Передача файлов через контроллер сайтов:
— возможна на отдельный сайт или и на группу при условии совпадении имен директорий для загрузки
— невозможна
— возможна только на отдельный сайт
+ возможна как на отдельный сайт, так и на группу
16. Если сведения о группах пользователей корпоративной сети хранятся в базах данных нескольких серверов или в нескольких базах данных одного сервера, то следует:
— Создать универсальную запись и указать все возможные сервера и базы данных.
+ Создать несколько записей, регламентирующих доступ к ним.
17. Администратор может выполнять следующие действия с почтовыми ящиками:
+ создать новый почтовый ящик
+ просмотреть или добавить новое правило для почтового ящика
+ изменить параметры учетной записи
+ просмотреть все сообщения, пришедшие на этот ящик
+ удалить учетную запись
+ посмотреть журнал событий по данному ящику
18. Если перед удалением сайта из контроллера он был предварительно отсоединен, то:
— запись будет удалена, а сам сайт будет работать с теми настройками, которые были установлены контроллером.
+ после удаления на сайте будут возвращены настройки, установленные до подключения к контроллеру.
19. При подключении сайта к контроллеру
+ На подключенном сайте создается локальный пользователь-администратор, пароль от которого в зашифрованном виде хранится на контроллере
— На подключенном сайте хранится зашифрованный пароль администратора контроллера
20. Страница «Веб-сервера»
— носит как информационный характер, так и позволяет добавить в кластер новые узлы
+ носит информационный характер
— позволяет добавить в кластер новые узлы
21. Модуль AD/LDAP интеграция служит для:
— организации совместной работы корпоративной сети и сайта
— автоматического доступа в соответствии с уровнем прав
+ организации централизованного управления всеми группами пользователей корпоративной информационной системы
22. Проверка целостности файлов системы осуществляется на странице:
— Агенты
— Проверка сайта
+ Контроль целостности
23. Задание структуры компании в AD производится:
+ автоматически с помощью специальных свойств пользователя
— вручную
24. Редактирование подключения к облачному хранилищу выполняется
— на странице настроек модуля «Облачные хранилища»
— на странице «Облачные хранилища» (Контент > Облачные хранилища)
+ на странице «Облачные хранилища» (Настройки > Облачные хранилища)
25. Что отображено на странице Панель безопасности:
+ таблица параметров и их значений
+ текущий уровень безопасности
— состояние параметров защиты
26. Администратор контроллера на подчиненных сайтах может:
— авторизовываться и выполнять действия в соответствии с правами, заданными локальными администраторами.
+ авторизовываться и выполнить необходимые действия без учета уровня прав, установленных локальными администраторами.
27. Если при редактировании подключения к облачному хранилищу на закладке «Правила» в колонке «Список модулей» оставить поле пустым
— то под действие правила не будут попадать файлы ни одного из модулей
+ то под действие правила подпадают файлы любых модулей
— то под действие правила подпадают файлы только главного модуля
28. Контроллер сайтов – это
— надстройка над Active Directory для управления сайтами, разработанная компанией «1С-Битрикс»
+ модуль Bitrix Framework, который позволяет устанавливать связь с другими независимыми веб-сайтами и централизованно управлять ими
29. При деактивации подключения к облачному хранилищу
— данные будут не доступны для чтения, запись будет невозможна
+ данные будут доступны для чтения, запись будет невозможна
— данные будут удалены, запись будет невозможна
30. Модуль «Веб-Кластер» поддерживает
— распределение однотипных данных веб-приложения (например, учетных записей) между отдельными базами данных
+ разделение одной базы данных веб-приложения на две и более базы данных за счет выделения отдельных модулей, без изменения логики работы веб-приложения
— как разделение одной базы данных веб-приложения на две и более базы данных, так и распределение однотипных данных веб-приложения между отдельными базами данных
31. Войти на сайт, подключенный к контроллеру, может:
+ локальный пользователь этого сайта
+ пользователи контроллера, группе которых разрешен вход на подключенный сайт
+ администратор контроллера
— все пользователи контроллера
32. Если подключенный сайт отмечен в контроллере как неактивный, то:
+ он недоступен для любых посетителей.
— управление этим сайтом со стороны контроллера невозможно.
— на управляемом сайте не выводится информация с управляющего сайта.
33. Для того чтобы выполнять получение почтовых сообщений вручную, на странице настройки почтового ящика в поле «Проверять с периодом» следует указать:
1С-Битрикс: Безопасность
Веб-сайт является частью корпоративной инфраструктуры и не удивительно, что компании большое внимание уделяют вопросам безопасности. По данным компании Positive Technologies: доля атак на Веб составляет более 50%; ежедневно в Рунете регистрируются десятки взломов веб-сайтов.
По данным компании Positive Technologies: доля атак на Веб составляет более 50%; ежедневно в Рунете регистрируются десятки взломов веб-сайтов.
Но означает ли это, что сайты лучше не делать? Современный прогресс и конкурентная среда не оставляют выбора. Сайты будут создавать, будут делать больше и все более функциональными. Как защитить компанию от потенциальных неприятностей? Какое решение выбрать и как защитить свой веб-сайт от возможных проблем? Давайте обсудим.
Поможет в этом правильный выбор системы управления контентом сайта (CMS), надежного хостинга, серверного программного обеспечения и своевременное проведение мероприятий, направленных на снижение вероятности возникновения проблемных ситуаций на веб-проектах.
Одной из первостепенных задач для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.
Для этого в системе «1С-Битрикс: Управление сайтом» предусмотрен модуль «Проактивная защита», с помощью которого реализуется целый комплекс защитных мероприятий для сайта и сторонних приложений.
Проактивная защита является существенным дополнением к стандартной политике безопасности продукта. Поэтому одноименный модуль включен во все редакции продукта «1С-Битрикс: Управления сайтом» (кроме Старта) и в продукт «1С-Битрикс: Корпоративный портал». Причем, что важно, и Проактивная защита, и Проактивный фильтр впервые в мире включены непосредственно в сам продукт!
Что представляет собой этот модуль? Это целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Несколько уровней защиты от большинства известных атак на веб-приложения включает этот модуль. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.
Проактивная защита – это целый комплекс технических и организационных мер, которые объединены общей концепцией безопасности и позволяют значительно расширить понятие защищенности и реакции веб-приложений на угрозы.
Вот какой комплекс по защите веб-приложений включает в себя модуль:
Проактивный фильтр (Web Application Firewall)
Веб-антивирус
Панель безопасности с уровнями защищенности
Журнал вторжений
Одноразовые пароли
Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте. 
Однако особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы».
Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство (например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.
Что вам дает такая технология? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.
Персональный генератор одноразовых паролей для сайта (OTP)
С помощью Bitrix OTP вы сможете самостоятельно включать или отключать использование на сайте системы одноразовых паролей для своей учетной записи. Это реализующее OTP программное обеспечение, разработанное компанией «1С-Битрикс», позволяет обойтись без покупки аппаратных устройств (например, Aladdin eToken PASS) или соответствующих программных аналогов.
Приложение Bitrix OTP для Android
Установите приложение от «1С-Битрикс» на ваш мобильный телефон и генерируйте одноразовые пароли для входа на сайт, поддерживающий авторизацию по OTP. Приложение поддерживает работу с несколькими сайтами одновременно.
 |  |
| Создание нового сайта | Получение пароля |
Вы можете включить на мобильном сайте поддержку одноразовых паролей и использовать их выборочно для любых пользователей. Особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы». Для этого достаточно создать в генераторе паролей новый сайт, поддерживающий авторизацию по ОТП, и потом каждый раз, при входе на этот сайт, получать для него одноразовый пароль. Генератор позволяет создать множество записей для таких сайтов, и нужный сайт вы сможете выбрать из списка.
Двусторонняя TLS-аутентификация
Весь необходимый функционал TLS-аутентификации реализован с помощью специально разработанного для продуктов «1С-Битрикс» модуля TrustedBitrixLogin. Модуль позволяет безопасно передавать необходимую информацию (организуется защищенный канал с передачей данных по TLS-протоколу с использованием ГОСТ-алгоритмов шифрования) и автоматически обеспечить проверку подлинности как клиента, так и сервера.
Контроль целостности файлов
Проверка целостности скрипта контроля
Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».
Защита административного раздела
Защита сессий
Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.
Контроль активности
Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).
* Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.
Стоп лист
Что отображено на странице панель безопасности битрикс
Администратор. Модули. Служебные модули.
Администратор. Модули. Служебные модули
+ настроить стандартный уровень безопасности, а затем выполнить настройку параметров для высокого уровня
— настроить только параметры высокого уровня безопасности
— настроить стандартный уровень безопасности, а затем настроить параметры использования одноразовых паролей и контроля активности
2. При master-slave репликации в модуле «Веб-кластер»
— чтение данных будет происходить из основной (master) базы данных, а запись
— в дополнительные (slave)
+ чтение данных будет происходить из дополнительных (slave) баз данных, а запись — в основную (master)
— чтение данных и запись данных будет происходить как в основную (master) базу, так и в дополнительные (slave)
3. Проактивный фильтр не работает для групп пользователей:
— если разрешено использования одноразовых паролей
+ для которых в правах доступа к модулю «Проактивная защита» разрешена операция «Обход проактивного фильтра»
— если включен механизм хранения данных сессий пользователей в базе данных
— добавленных в стоп-лист
4. Сразу после создания подключения к облачному хранилищу
+ старые файлы останутся на хостинге, а новые будут автоматически сохраняться в «облаке»
— старые файлы автоматически будут перенесены в «облако», а новые сразу будут сохраняться там
— на хостинге будут размещаться как старые файлы, так и вновь создаваемые
5. Просмотреть содержимое подключенных контейнеров облачных хранилищ можно на странице
— Облачные хранилища (Настройки > Облачные хранилища)
+ Облачные хранилища (Контент > Облачные хранилища)
— Управление структурой (Контент > Структура сайта > Файлы и папки)
6. Где указывается сервер, на котором размещен почтовый ящик?
— в любом из перечисленных
— в настройках модуля «Почта»
— в настройках главного модуля
+ в настройках почтового ящика
7. Чтобы защита осуществлялась на повышенном уровне необходимо:
— настроить параметры повышенного уровня: систему одноразовых паролей и механизм контроля целостности
— настроить защиту на стандартном и высоком уровне
+ настроить защиту на стандартном и высоком уровне, а затем настроить параметры повышенного уровня
8. Импорт пользователей из AD/LDAP осуществляется:
— автоматически
+ из выбранного администратором сервера (вручную)
— для всех серверов
9. Чтобы правило применялось к почтовым сообщениям автоматически, в поле «Применять при событиях» (форма редактирования правила, модуль «Почта») следует выбрать значение:
+ при получении
— при принудительном вызове
10. Если стандартный уровень не настроен полностью, то:
— защита сайта будет осуществляться на начальном уровне, без учета настроенных параметров на стандартном, высоком и повышенном уровнях
— защита сайта будет осуществляться на базовом уровне
+ защита сайта будет осуществляться на начальном уровне, но с учетом настроенных параметров на стандартном, высоком и повышенном уровнях
11. Если пользователь удален из списка пользователей корпоративной сети, то:
— он сохранит прежний доступ к сайту.
+ при попытке получить доступ к ресурсам сайта он получит отказ в авторизации.
+ его аккаунт будет сохранен в системе управления сайтом.
12. Изменить место хранения кеша при установленном модуле веб-кластер можно
— в настройках главного модуля
+ в административной части сайта на странице «Memcached»
— в настройках модуля веб-кластер
+ в файле «\bitrix\modules\cluster\memcache.php»
13. После подключения сервера memcached с помощью модуля веб-кластер
— сервер будет использоваться в кластере совместно с файлами кеша
+ сервер будет использоваться в кластере вместо файлового кеша
+ в случае отказа всех memcached-серверов подсистема кеширования снова начинает использовать файловый кеш
14. При входе на подключенный к контроллеру сайт через логин на контроллере
— Происходит прозрачная авторизация без создания локального пользователя
+ На сайте создается локальный пользователь с соответствующим именем и правами
15. Передача файлов через контроллер сайтов:
— возможна на отдельный сайт или и на группу при условии совпадении имен директорий для загрузки
— невозможна
— возможна только на отдельный сайт
+ возможна как на отдельный сайт, так и на группу
16. Если сведения о группах пользователей корпоративной сети хранятся в базах данных нескольких серверов или в нескольких базах данных одного сервера, то следует:
— Создать универсальную запись и указать все возможные сервера и базы данных.
+ Создать несколько записей, регламентирующих доступ к ним.
17. Администратор может выполнять следующие действия с почтовыми ящиками:
+ создать новый почтовый ящик
+ просмотреть или добавить новое правило для почтового ящика
+ изменить параметры учетной записи
+ просмотреть все сообщения, пришедшие на этот ящик
+ удалить учетную запись
+ посмотреть журнал событий по данному ящику
18. Если перед удалением сайта из контроллера он был предварительно отсоединен, то:
— запись будет удалена, а сам сайт будет работать с теми настройками, которые были установлены контроллером.
+ после удаления на сайте будут возвращены настройки, установленные до подключения к контроллеру.
19. При подключении сайта к контроллеру
+ На подключенном сайте создается локальный пользователь-администратор, пароль от которого в зашифрованном виде хранится на контроллере
— На подключенном сайте хранится зашифрованный пароль администратора контроллера
20. Страница «Веб-сервера»
— носит как информационный характер, так и позволяет добавить в кластер новые узлы
+ носит информационный характер
— позволяет добавить в кластер новые узлы
21. Модуль AD/LDAP интеграция служит для:
— организации совместной работы корпоративной сети и сайта
— автоматического доступа в соответствии с уровнем прав
+ организации централизованного управления всеми группами пользователей корпоративной информационной системы
22. Проверка целостности файлов системы осуществляется на странице:
— Агенты
— Проверка сайта
+ Контроль целостности
23. Задание структуры компании в AD производится:
+ автоматически с помощью специальных свойств пользователя
— вручную
24. Редактирование подключения к облачному хранилищу выполняется
— на странице настроек модуля «Облачные хранилища»
— на странице «Облачные хранилища» (Контент > Облачные хранилища)
+ на странице «Облачные хранилища» (Настройки > Облачные хранилища)
25. Что отображено на странице Панель безопасности:
+ таблица параметров и их значений
+ текущий уровень безопасности
— состояние параметров защиты
26. Администратор контроллера на подчиненных сайтах может:
— авторизовываться и выполнять действия в соответствии с правами, заданными локальными администраторами.
+ авторизовываться и выполнить необходимые действия без учета уровня прав, установленных локальными администраторами.
27. Если при редактировании подключения к облачному хранилищу на закладке «Правила» в колонке «Список модулей» оставить поле пустым
— то под действие правила не будут попадать файлы ни одного из модулей
+ то под действие правила подпадают файлы любых модулей
— то под действие правила подпадают файлы только главного модуля
28. Контроллер сайтов – это
— надстройка над Active Directory для управления сайтами, разработанная компанией «1С-Битрикс»
+ модуль Bitrix Framework, который позволяет устанавливать связь с другими независимыми веб-сайтами и централизованно управлять ими
29. При деактивации подключения к облачному хранилищу
— данные будут не доступны для чтения, запись будет невозможна
+ данные будут доступны для чтения, запись будет невозможна
— данные будут удалены, запись будет невозможна
30. Модуль «Веб-Кластер» поддерживает
— распределение однотипных данных веб-приложения (например, учетных записей) между отдельными базами данных
+ разделение одной базы данных веб-приложения на две и более базы данных за счет выделения отдельных модулей, без изменения логики работы веб-приложения
— как разделение одной базы данных веб-приложения на две и более базы данных, так и распределение однотипных данных веб-приложения между отдельными базами данных
31. Войти на сайт, подключенный к контроллеру, может:
+ локальный пользователь этого сайта
+ пользователи контроллера, группе которых разрешен вход на подключенный сайт
+ администратор контроллера
— все пользователи контроллера
32. Если подключенный сайт отмечен в контроллере как неактивный, то:
+ он недоступен для любых посетителей.
— управление этим сайтом со стороны контроллера невозможно.
— на управляемом сайте не выводится информация с управляющего сайта.
33. Для того чтобы выполнять получение почтовых сообщений вручную, на странице настройки почтового ящика в поле «Проверять с периодом» следует указать:
Безопасность сайта в 1С-Битрикс, обзор возможностей
Безопасность веб-сайта — один из важнейших аспектов, который нельзя игнорировать и пускать на самотек. Компания Битрикс очень серьезно относится к проблемам безопасности и предлагает ряд эффективных инструментов для защиты сайта от вирусов и взлома.
Ниже мы рассмотрим встроенные инструменты безопасности 1С-Битрикс, а также расскажем как с ними работать для получения максимальной эффективности.
Проактивная защита Битрикс
Все инструменты безопасности в Битрикс объединены под общим названием «Проактивная защита»:
Все инструменты доступны начиная с редакции 1С-Битрикс «Стандарт». Для некоторых потребуется установить модуль «Веб-аналитика».
Рассмотрим каждый инструмент подробнее.
Проактивный фильтр
Проактивный фильтр защищает от большинства известных атак. Он распознает потенциальные угрозы и блокирует вторжения на сайт, анализирует и фильтрует данные, которые поступают от посетителя через переменные и куки.
Проактивный фильтр – это наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других).
Все попытки атак Проактивный фильтр фиксирует в специальном журнале и при этом информирует администратора сайта о случаях вторжения. Фильтр может заблокировать атакующего, добавив его IP-адрес в стоп-лист.
Сканер безопасности веб-сайта
Администрирование — Настройки — Проактивная защита — сканер безопасности
Сканер безопасности — это сервис для мониторинга уязвимостей сайта. Вместе с модулем Проактивная защита сервис Сканер безопасности выполняет полную диагностику угроз безопасности веб-ресурса и своевременно их предотвращает.
Сканер проверяет окружение проекта, настройки всех систем безопасности находит, а также находит потенциальные уязвимости в коде.
Запустить сканирование можно одной кнопкой «Запустить сканирование«.
После проверки выводятся результаты со списком всех угроз безопасности, найденных на сайте. Обратите внимание, что не все из найденного является угрозой, но по возможности стоит выполнить рекомендации.
Возможности сканера безопасности Битрикс:
В результатах проверки сайта на уязвимости даются также рекомендации по их устранению. Особо важные пункты красным цветом и обозначены восклицательным знаком.
Веб-антивирус
Администрирование — Настройки — Проактивная защита — Веб-антивирус
Веб-антивирус препятствует внедрению вредоносного кода в веб-сайт. Он выявляет в HTML коде потенциально опасные участки и вырезает подозрительные объекты из кода сайта.
Веб-антивирус также уведомляет администратора сайта о найденных вирусах или подозрительных частей кода.
В настройках этого инструмента можно добавить исключения, чтобы Веб-антивирус не срабатывал на безопасные, но подозрительные части кода.
Аудит безопасности PHP-кода
Администрирование — Настройки — Инструменты — Монитор качества
Этот удобный, точный и понятный инструмент подсказывает потенциально опасные места в безопасности кода. Он не только предотвращает эксплуатацию уязвимости, но и устраняет ее источник. Проверка показывает в отчете возможные уязвимости в коде и усиливает защиту сайта от взлома.
Защита от DDoS
DDoS-атака или иначе распределенная атака на сайт с помощью большого числа мусорных запросов. Справится с такой атакой может только специализированная защита.
Начиная с 15-й версии в Битриксе появилась возможность подключить защиту от DDoS-атак. Это можно сделать как из админки сайта, так и со специальной страницы на сайте Битрикса, если админка Битрикса на сайте будет недоступна из-за DDos-атаки. В лицензию входит защита одного сайта от DDoS-атаки в год сроком на 10 дней бесплатно.
Напомним, что на нашем хостинге для Битрикс на всех тарифах уже присутствует аппаратная и программная защита от DDoS атак.
Стоп-лист
Очень полезный инструмент, который позволяет забанить неугодных посетителей. Возможности Стоп-листа:
Контроль активности установливает защиту от слишком активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекает попытки подбора паролей перебором.
В настройках инструмента можно установить максимальную активность пользователей для сайта (например, число запросов в секунду, которые может выполнить пользователь).
Возможности инструмента Контроля активности:
Защита административного раздела
Этот инструмент позволяет строго ограничивать сети, которым разрешается доступ к административной части сайта. В нем можно задать список разрешенных IP, из которых можно управлять административной частью.
Это делает бессмысленными любые XSS/CSS атаки на компьютер администратора, а также перехват пароля, потому что доступ и авторизация с чужого компьютера будут невозможны.
В инструмент включена также защита от блокировки доступа самого администратора.
Контроль целостности файлов
Администрирование — Настройки — Проактивная защита — Контроль целостности
Контроль целостности файлов помогает быстро выяснить, вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.
Система также позволяет выполнять проверку скрипта контроля на наличие изменений.
Защита сессий
Также очень полезный инструмент защиты. Цель большинства атак на сайты — получение данных об авторизованной сессии пользователя. Включение защиты сессий делает такое похищение бесполезным.
Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды.
Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.
Панель безопасности
Панель безопасности позволяет установить и настроить уровень требуемой безопасности сайта: начальный, стандартный, высокий или повышенный. Система попутно дает рекомендации, какое действие необходимо установить для каждого параметра на выбранном текущем уровне.
Начальный уровень безопасности получают все проекты на базе Bitrix без установленного модуля «Проактивная защита».
Стандартный уровень безопасности — для тех проектов, где задействованы стандартные инструменты проактивной защиты продукта;
Высокий уровень безопасности — это рекомендованный уровень защиты, который получают проекты, выполнившие требования стандартного уровня, и дополнительно включающие:
Повышенный уровень безопасности включает специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей. В дополнение к высокому уровню сюда входит:
Безопасная авторизация без SSL
Этот инструмент делает невозможным взлом паролей с формы авторизации, т.к. они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный сайт.
Безопасная авторизация с шифрованием пароля позволяет избежать передачи пароля в открытом виде без SSL. При этом все инструменты, которые использовались ранее для авторизации, продолжают работать.
Журнал вторжений
Журнал вторжений регистрирует все события, происходящие в системе, в том числе необычные или злонамеренные. События регистрируются в оперативном режиме, что позволяет просматривать соответствующие записи в Журнале сразу же после их генерации.
Такая оперативность позволяет обнаруживать атаки и попытки атак в момент их проведения. Это означает, что у вас есть возможность немедленно принимать ответные меры и предупреждать возможные атаки.
Двухэтапная авторизация и одноразовые пароли
Система одноразовых паролей дополняет стандартную систему авторизации и значительно усиливает систему безопасности сайта. Так реализуется двухэтапная авторизация — сначала обычный логин и пароль, а затем дополнительно еще и одноразовый пароль.
Подобную защиту можно реализовать как аппаратными средствами (аппаратные устройства-брелоки типа eToken PASS), так и программно с помощью Персонального генератора одноразовых паролей для сайта (ОТР).
Защита редиректов от фишинга
В Битриксе, как и в любой CMS, для подсчета числа кликов, есть возможность реализации ссылок через редиректы. Для безопасной работы данного функционала, чтобы исключить подмену ссылок, необходимо использовать защиту от фишинга:
Защита от фреймов
Опция позволяет разрешить/запретить загружать страницы сайта через frame за счет проставление заголовка X-Frame-Options в значение SAMEORIGIN. При активиции защиты от фреймов не будет работать Вебвизор в Яндекс.Метрике. Есть способы обойти это ограничение, если добавить блокировку iframe через Nginx, в котором можно исключить блокировку для Вебвизора, в этом вам помогут в поддержке хостинга.
Хосты/домены
Опция блокирует открытие сайта по адресам, которые отличаются от разрешенных вами. Это делается за счет проверки и запрета подмены HTTP-заголовка Host.
Вы можете настроить блокировку таких попыток открытия сайта, или просто сделать переадресацию на нужный адрес.
Дополнительная защита 1С-Битрикс
Резервное копирование
В идеале это первое, о чем нужно позаботиться владельцу сайта. Резервное копирование позволяет восстановить рабочую версию сайта после каких-либо поломок или вторжения извне.
На нашем хостинге Джихост резервное копирование происходит в автоматическом режиме раз в неделю. Копии хранятся на независимых серверах и не занимают места на дисках клиентов.
И, тем не менее, пользователям рекомендуется самостоятельно создавать резервные копии. Особенно перед какими-либо важными изменениями или обновлениями на сайте. Сделать это можно как на нашем хостинге, так и непосредственно в самом Битриксе.