Безопасность сайта на Битрикс: уязвимости, защита, регулярная проверка

Битрикс — сложная CMS с большой поверхностью атаки. Поверьте, ваш сайт уже сканируют боты — независимо от размера. Разберём, как защитить проект на Битриксе и не попасть в новости.

Типичные уязвимости

• Старая версия ядра без патчей безопасности.
• Слабые пароли админов.
• Незакрытые админ-панели (доступ без двухфакторки).
• Уязвимые сторонние модули с Marketplace.
• SQL-инъекции в кастомных компонентах.
• XSS через неэкранированный пользовательский ввод.
• Открытые .git, .env, бэкапы в публичном доступе.

Проактивная защита Битрикса

• Включите модуль «Проактивная защита» — встроенный WAF.
• Уровень безопасности «Высокий» или «Стандартный».
• Включите одноразовые пароли (OTP) для админов.
• Ограничьте доступ к /bitrix/admin/ по IP-белому списку.
• Включите контроль активности и блокировку при подозрительных действиях.

Серверная защита

• HTTPS обязателен (Let's Encrypt бесплатно).
• Запрет прямого доступа к .git, .env, .bak файлам в nginx/apache.
• ModSecurity или WAF-сервис (Qrator, Cloudflare).
• Fail2ban против перебора паролей.
• Регулярные обновления PHP, MySQL, ОС.

Парольная политика

• Минимум 12 символов, спец. символы.
• Срок действия 90 дней.
• Запрет повторного использования последних 5 паролей.
• Двухфакторная аутентификация для всех админов.

Регулярные проверки

• Ежедневный мониторинг доступности и времени ответа.
• Еженедельный анализ логов на подозрительные запросы.
• Ежемесячный сканер уязвимостей (Acunetix, OWASP ZAP).
• Ежеквартальный аудит безопасности с пентестом.
• Резервные копии: ежедневно файлы и БД, хранение 30 дней.

Что делать при инциденте

• Изолировать сайт от сети (или включить «технический режим»).
• Снять снимок состояния сервера.
• Найти точку входа атаки в логах.
• Развернуть чистую копию из бэкапа.
• Закрыть уязвимость.
• Поменять все пароли админов и API-ключи.
• Уведомить пользователей при утечке ПД (по закону).

Сроки и стоимость

Итог

Безопасность — не разовая задача, а процесс. Включённая «Проактивная защита», регулярные обновления, двухфакторка для админов и ежедневные бэкапы закрывают 90% типовых атак. Остальные 10% — это работа с экспертом и регулярный аудит.