Как защитить сайт на 1С-Битрикс


Разработчики, программисты и даже сами владельцы сайтов после проведения работ могут оставлять файлы, опасные для онлайн-проекта.

Такие файлы позволяют посторонним делать все, что угодно — заходить в админку без логина и пароля, выполнять на сервере удаленные команды, распространять нелегальный контент и др.

Нарушить работу ресурса могут даже стандартные файлы 1С-Битрикс — «restore.php», «bitrixsetup.php», «bitrix_server_test.php». Это служебные скрипты для установки, восстановления и переноса сайтов. После выполнения задачи, их нужно обязательно удалить


Некоторые из них удаляются только вручную. 

Если этого не сделать, появляется лазейка для злоумышленников. Они смогут:

  • скачать все файлы вашего сайта,
  • загрузить на него зараженные файлы,
  • войти в административную часть без пароля и сделать с сайтом что угодно.

Как не допустить взлом проекта

  1. Удалять «restore.php» и «bitrixsetup.php».
  2. Изменить ID пользователя Admin. По умолчанию он равен 1.
  3. Поставить пароль на bitrix/admin по инструкции. Поможет ограничить доступ к важным файлам.
  4. Ограничить вход по IP-адресам в администратичной части. Подходит, если используется статичный IP, а работа с сайтом проводится всегда с одного местоположения.

Для подключения проделайте путь: Настройки → Проактивная защита → Защита административной части. Укажите IP-адрес (1), нажмите «Добавить» (2) и «Сохранить» (3).

Если для работ привлекаете фрилансера:

  1. Нужно создать отдельного пользователя с ограниченным доступом к хостингу.
  2. Проверить наличие актуальной резервной копии 1С-Битрикс. 
  3. Заключить договор с фрилансером: предусмотрите полную отчетность по действиям на сайте, удаление ненужных файлов, загрузку опасных файлов. Можно воспользоваться таким вариантом: создать тестовую копию, разработчик проведет на ней работы и напишет алгоритм своих действий. Далее вы следуя алгоритму вносите изменения.