Как улучшить безопасность сайтов на 1С-Битрикс одним функционалом

Мы за безопасность онлайн-проектов. Наша специализация — хостинг для сайтов на 1С-Битрикс, но хоть и не занимаемся защитой профессионально, стараемся делать все возможное:

1. В статьях и диалогах с клиентами буквально пропагандируем создание отдельных пользователей на хостинге для сотрудников и разработчиков.

2. Подключили профессиональную защиту от DDoS-атак на все тарифы хостинга.

3. Настроили удаленное хранение бэкапов на всех тарифах. При этом предоставляем место под них больше в 1,5 раза, чем по выбранному тарифу. А также убрали возможность удаления резервных копий.

И вот мы поняли, что можем помочь владельцам сайтов проверять корректность создания копий 1С-Битрикс.

Ведь мало создавать копии только на хостинге, их нужно иметь как можно больше и хранить в разных местах. Поэтому рекомендуем следовать правилу «3-2-1» — хранить 3 копии, на 2 носителях и 1 копию вне офиса.

Почему это важно: чем больше резервных копий есть у сайта, тем быстрее его можно восстановить в случае ЧП.

Резервные копии, создаваемые хостингом и CMS, отлично сочетаются:

• 3 копии — на хостинге, в Облако 1С-Битрикс и локально в 1С-Битрикс,

• на 2 носителях — в Облако 1С-Битрикс и локально в 1С-Битрикс,

• 1 копию вне офиса — на хостинге.

Да, потребуется место для их хранения, но это ничто по сравнению с восстановлением проекта с нуля.

Если редакция не активна, копии в Облако не отправляются. Да и новые обновления CMS невозможно установить. А среди них помимо прочих возможностей — улучшение безопасности сайта и его быстродействия.

Поэтому мы решили дополнить RED.Monitoring. В нем уже был функционал — контроль свободного места на тарифе и активность SSL-сертификата. Новым стал:

• контроль активности лицензии 1С-Битрикс,

• проверка корректного создания локальной копии,

• проверка корректной отправки этой копии в Облако 1С-Битрикс.

В статье расскажем о внедрении новинки: покажем этапы запуска и основные результаты.

Начало

В августе мы наметили черновой план и начали работу. Первые задачи:

1. Понять, какую информацию можем собирать и как использовать.

2. Подготовить оповещение клиентов.

3. Собрать первую обратную связь.

Задумка была такая: система проверяет активность лицензии 1С-Битрикс, наличие актуальных копий локально и в Облаке. Если что не так, отправляет уведомление клиенту.

Начали строить карту решения проблем. Сначала карта коммуникации была простой. Отправляли письмо, когда закончилась лицензия или резервная копия не создалась. Позже дополнили звонками и запросами в поддержку, если проблема остается без решения.

Но мы все равно решили запустить мониторинг на тестовую выборку среди лояльных клиентов, чтобы общение с нами не стало неожиданностью. Нам нужно было убедиться, что собираемая информация достоверна.

Поддержка получала сигнал о проблеме и связывалась с клиентом по телефону или в запросе. Подготовили скрипт общения на любой исход разговора. Суть:

• оповестить о проблеме,

• отметить, почему ее важно решить,

• как решить.

Проблем оказалось больше, чем предполагали, поэтому нам уже не подходил один простой шаблон письма на все ошибки. Разделили на 3 типа (проблемы с лицензией, локальными или облачными копиями) и начали доводить до ума.

При этом мы поняли, что можем не просто оповещать о «какой-то» ошибке, а о вполне реальной. Под каждую предлагать свое решение, но ни у нас, ни у Гугла его не было.

Мы вывели список наиболее встречаемых ошибок и обратились в поддержку 1С-Битрикс, но смогли получить решение только для одной. Хотелось бы предоставлять помощь сразу, но мы смирились и подготовили шаблон на случай, если решение неизвестно.

Как итог, сперва письма были простыми, а получились подробными.

Кликните на изображение, чтобы посмотреть в полном размере

Первые результаты

На 43% сайтов проблем не было.

Статистика по обнаруженным ошибкам получилась следующая:

1. У 38% сайтов отмечалась проблема с локальной копией. Мы пока не могли уточнять, это ошибка или она просто давно не создавалась.

2. У 51% проблемы с облачным копированием. Треть клиентов его не настроила, а четверть — получили ошибку.

3. У 20% клиентов не продлена редакция 1С-Битрикс.

Обратная связь была непонятной. Кого-то мы не смогли убедить в важности наличия дополнительных копий. Даже когда проговаривали, что уже входит в редакцию, просто вы не пользуетесь функционалом, а он полезен. Но были убеждены в достаточности наличия копий на хостинге. Кто-то попросил выслать рекомендации по решению.

Из страшного — за 2 недели проблемы не были устранены.

Выборка 20%: тестовый запуск

Долго тестировали условия в шаблонах. Выделили новую ~5% выборку. Среди них и новенькие, и старенькие клиенты. Нам нужна была реакция тех, кто не на постоянном контакте с поддержкой.

Сперва мы смотрели, как приходят письма только на наш почтовый ящик и анализировали:

• не слишком ли их много,

• корректно ли отрабатывает проверка,

• какие ошибки возникают чаще, а какие реже.

Связывались с клиентами: рассказывали о проблемах, предлагали решение, с кем-то переходили общаться в запросы.

15 сентября исправили последние ошибки и убедились в корректности отправки писем. Отправили письма с новостью о новом функционале и подключили выборку к мониторингу.

На следующий день пользователи стали получать уведомления об ошибках и решениях. Реагировали позитивно или нейтрально, поэтому через неделю мы увеличили выборку на 20%.

Результаты первого запуска

Ошибок было очень много. Больше всего предупреждений было о локальном копировании. Затронуло 53% сайтов.

1. Самая частая — давнее создание локальной копии, 34% от всех сайтов на проверке.

2. Остальные — ошибки 410, 530, 10 и неизвестные, встречались не более чем у 5% сайтов.

Проблемы с облачным копирование тоже были у 53% сайтов, но они не коррелируют:

1. Для 33% сайтов копирование в Облако просто не настроено.

2. У 16% — не отправлена, у 10% — не отправлена из-за ошибки 630.

С лицензиями оказалось все гораздо лучше: неактивны они лишь у 3%, а 2% отдавали ошибки.

Самым интересным (и пугающим) был ответ на вопрос:

Остановили ли нас такие результаты? Нет.

Запуск на 40%: промежуточный этап

Проблемы были, безопасность коммерческих проектов оказалось низкой. Продолжили работу: улучшали посыл в письмах, писали статьи в блоге о безопасности проектов, помогали с настройкой копирования.

Увеличили выборку на 20% и получили такие итоги за месяц.

Кликните на изображение, чтобы посмотреть в полном размере

Чем больше было клиентов в выборке, тем больше разнообразных ошибок мы встречали. По каждой старались отработать и улучшить решение в письмах.

Нас радовало, что проблемы уменьшались.

PS: Сразу отметим, что ошибка 410 связана с нехваткой места на диске и быстро решается. Побочный эффект улучшения безопасности проекта.

Итоги были позитивными

Владельцы проектов понимали, что это полезная функция, и решали ошибки. Передавали их устранение нам или своим сотрудникам.

Мы не отмечали настроение клиентов для красивой диаграммы, но большинство из них позитивно реагировали на новинку. Негатива было совсем мало, и то можно сослаться на непонимание — почему хостинг занимается этим :) Нам даже предлагали оплату за услуги, но RED.Monitoring был и остается бесплатным.

Запуск на 100%: финал и итоги

В ноябре мы подключили мониторинг на все виртуальные серверы RED.Site. Результаты спустя две недели:

У 43% владельцев все еще наблюдаются неполадки, найденные мониторингом. Но при этом:

• 30% решили проблемы самостоятельно,
• 14% обратились за помощью в нашу поддержку,
• у 11% не наблюдались проблемы,
• 2% отключили проверку.

Ответы на главные вопросы

Сколько времени потрачено: 3 месяца от тестовой выборки до полного запуска.

Сколько усилий стоил — максимальных.

Принес ли реальной пользы — да, как минимум 44% владельцев сайтов улучшили безопасность бизнеса.

Что помогло: понятные и простые инструкции по решению проблем, диалог с клиентом и полезные статьи, возможность делегировать решение поддержке.

На начальных этапах польза от функционала была неясна, но привело это к улучшению защиты сайтов и интернет-магазинов. И это главное.

Что дальше: продолжаем собирать обратную связь по работе нового функционала. Принимаем идеи по улучшению на idea@reddock.ru. Прислушиваемся и реализовываем.

Не пропустите новые материалы и обновления — подпишитесь на нас в любимой соцсети: Telegram, ВКонтакте.