Меры по защите 1С-Битрикс от взлома

Рейтинг: 1Ответов: 2Опубликовано: 09.04.2015

Есть сайт, построенный на CMS 1С-Битрикс. Сайт вместе с админкой торчат в Интернет. Так как 1С-Битрикс - весьма популярная CMS, я ожидаемо беспокоюсь о возможности публикации серьезных уязвимостей в ней и возможности атаки script kiddies на сайт, так как определить, что сайт управляется именно этой CMS, несложно.

Какие можно предпринять меры для того, чтобы:

  • затруднить автоматическое определение того, что сайт управляется CMS Bitrix?
  • защитить админку Битрикса от брутфорса пароля администратора?

Пока что в голову пришло самое простое - ограничить доступ в админку по IP-адресам тех, кто будет админить сайт, однако это решение не универсально, и рано или поздно от него придётся отказаться - как только появится необходимость править материалы на сайте из произвольного места на планете 24/7, не заморачиваясь с прокси/VPN.

Update: позиция компании Битрикс по этому вопросу, как я понял из переписки с их саппортом, сводится к использованию возможностей модуля CMS 1С-Битрикс "Проактивная защита", позволяющему настроить ограничение доступа к админке по IP и двухфакторную авторизацию админов, а также многое другое, в т.ч. упомянающееся ниже в ответах. Однако мой вопрос скорее относится к защите на уровне сервера, не на уровне приложения. У этого решения, к тому же, есть большой недостаток - оно не универсально: модуль "Проактивная защита" включен не во все редакции (виды лицензий) данной CMS.

безопасность битрикс
Источник: Stack Overflow на русском

Ответы

▲ 2

Для интересующихся приведу использованный метод закрытия доступа в админку по IP: в корне сайта есть папка bitrix, содержащая код CMS и админки. В эту папку надо положить файл .htaccess следующего содержания:

Order Deny,Allow
Deny from all
Allow from 11.11.11.11
Allow from 22.22.22.22

В строчках, начинающихся с Allow from, указываются IP-адреса или подсети, которым разрешается доступ к админке.

Важная тонкость: помимо IP людей, которые должны иметь возможность работать с админкой, необходимо добавить также разрешение для того IP-адреса, с которого происходят внешние соединения с Интернет того сервера, где работает 1С-Битрикс, то есть, проще говоря, надо резрешить Битриксу доступ самому к себе. Если этого не сделать, то при диагностике в админке Битрикс будет ругаться на неработоспособность сокетов и не пройдёт диагностику полностью.

Приведённый способ ограничения доступа в админку не универсален. Он будет работать только если сервер работает под управлением Apache и только если Apache настроен образом, подразумевающим возможность управления доступом к сайту (Deny/Allow) через файлы .htaccess. Обычно (на популярных хостингах) так оно и есть, но в общем виде быть уверенным именно в такой настройке нельзя.

▲ 2

Посмотрите в сторону ModSecurity. Есть платная подписка, которая как раз может предотвратить автоматическую атаку на сайт.

Работает по специальным правилам. Подписка - возможность получать эти правила. Если платить не хочется, то придется поискать на просторах интернет более подходящее, или составить самому.