Как защитить сайт на 1С-Битрикс

Разработчики, программисты и даже сами владельцы сайтов после проведения работ могут оставлять файлы, опасные для онлайн-проекта.

Нарушить работу ресурса могут даже стандартные файлы 1С-Битрикс — «restore.php», «bitrixsetup.php», «bitrix_server_test.php». Это служебные скрипты для установки, восстановления и переноса сайтов. После выполнения задачи, их нужно обязательно удалить. 

Некоторые из них удаляются только вручную. 

Если этого не сделать, появляется лазейка для злоумышленников. Они смогут:

• скачать все файлы вашего сайта,
• загрузить на него зараженные файлы,
• войти в административную часть без пароля и сделать с сайтом что угодно.

Как не допустить взлом проекта

1. Удалять «restore.php» и «bitrixsetup.php».
2. Изменить ID пользователя Admin. По умолчанию он равен 1.
   
3. Поставить пароль на bitrix/admin по инструкции. Поможет ограничить доступ к важным файлам.
   
4. Ограничить вход по IP-адресам в администратичной части. Подходит, если используется статичный IP, а работа с сайтом проводится всегда с одного местоположения.

Для подключения проделайте путь: Настройки → Проактивная защита → Защита административной части. Укажите IP-адрес (1), нажмите «Добавить» (2) и «Сохранить» (3).

Если для работ привлекаете фрилансера:

1. Нужно создать отдельного пользователя с ограниченным доступом к хостингу.
2. Проверить наличие актуальной резервной копии 1С-Битрикс. 
3. Заключить договор с фрилансером: предусмотрите полную отчетность по действиям на сайте, удаление ненужных файлов, загрузку опасных файлов. Можно воспользоваться таким вариантом: создать тестовую копию, разработчик проведет на ней работы и напишет алгоритм своих действий. Далее вы следуя алгоритму вносите изменения.