Защита админки

Об этом инструменте шла речь в прошлом пункте. Это фильтр, который защитит вас от большинства стандартных хакерских атак. Он обнаруживает возможные опасности, анализирует поведение посетителей, отфильтровывает тех, кто ведет себя подозрительно и может представлять угрозу. Попытки атак фиксируются в журнале, администратор извещается о попытках проникновения, а IP атакующего можно добавлять в бан-лист.

Но помните: не все посетители, чье поведение укладывается в шаблон «подозрительного», имеют какое-то отношение к атакам, иногда это просто совпадение.

Если при создании своего проекта вы допустили ошибки в XSS, SQL Injection, PHP Including или иные, то это — самый эффективный инструмент вашей безопасности.

Как защитить сайт на Битрикс — проблема, волнующая как просто владельцев сайтов, так и опытных сисадминов. Но если первые как правило опасаются хакерской атаки или взлома сайта без четкого понимания, откуда может прийти угроза, то вторые знают: интернет — опасное место, и безопасность здесь — первая необходимость.

Вам нужно будет обезопасить и собственные доступы к проекту, и данные пользователей, и конфиденциальную информацию на вашем сайте. К счастью, технический потенциал 1С-Битрикс позволяет создать для сайта неплохую защиту, на взлом которой способен далеко не каждый желающий.

Как же защитить свой сайт на 1С-Битрикс от взлома и утечек? Есть несколько основных направлений защиты: защита администраторской панели, настройка проактивной защиты и защита от DDoS’а. Ниже мы подробно остановимся на каждом из них.

для защиты папки, а не конкретного файла необходимо в эту папку загрузить файл .htaccess, в котором прописать код, указанный ниже

после запуска файла pwd.bat, необходимо 2 раза ввести нужный пароль в появившемся окне

получаем в результате (пароль был введен 123456)

Существует так же утилита от стороннего разработчика, сильно упрощающая процесс, называется она Encode UNIX Password 1.2

Если у вас есть необходимость дать доступ нескольким пользователям, то вы можете в файл .htpasswd внести каждого с новой строки:

Второй задачей, упомянутой мной выше, является ограничение доступа по заданным IP адресам. Вы можете разрешить доступ к админ-панели только с домашнего и рабочего IP адресов или только с одного из них. Для этого в тот же файл .htaccess необходимо внести дополнительные директивы:конструкция для папки (директории) с двумя разрешенными IP адресами

Order Deny,Allow
Deny from all
Allow from 111.111.111.111 222.222.222.222

конструкция для файла с одним разрешенным IP адресом

Чтобы узнать Ваш внешний IP, можно воспользоваться одним из сервисов:YOIP. RUSPEEDTEST. NETЯндекс Интернетометр

В заключение хочу дать несколько советов:1) Создавайте нормальные пароли, содержащие цифры, заглавные и строчные буквы, специальные символы и не меньше 8 символов.2) Самый сложный пароль должен быть от панели хостинга.3) Настройте периодическое создание резервных копий вашего сайта и БД (чем чаще, тем лучше)4) поставьте chmod 444 для всех .htaccess и .htpasswd5) не храните ваши бэкапы БД на хостинге в папках со стандартными названиями, типа backup / backups, либо закрывайте доступ с помощью .htaccess

Технические данные

500 — 999 раз

«Первый сайт», «Старт», «Стандарт», «Малый бизнес», «Бизнес»

Совместимо с Сайты24

Совместимо с PHP 8.1

Описание

Наш модуль защитит вашу админку от взлома (атак путем перебора паролей), а так же от  генерации чрезмерного количества запросов к админке.

Доступ в админку осуществляются по  специальной ссылке или ключу.

После первого входа в админку с ключом, ключ записывается в память системы и в течении дня можно заходить без ввода ключа. После истечении 1 дня нужно опять заходить в систему с ключом.

Ключевое слово можно поменять в настройках модуля, по умолчании установлено слово «bitrix».

«Защита админки» устанавливается на все редакции Битрикса.

Авторизуйтесь, чтобы оставить отзыв или задать вопрос разработчику.

30 ноября 2022 10:42

После очередного обновления БУС снова стал доступен вход в админку штатным методом при включенном модуле

Ашот Мирзоян (разработчик)

30 ноября 2022 11:13

Роман Каримов, добрый день, какая у вас версия ядра?

21 ноября 2021 10:42

Пожелание, добавить возможность настройки защищаемых страниц чтобы можно было настроить эту защиту например для авторизации  накорпортале или какие то отдельные папки доступа в личные кабинеты. Это позволит защищать от несанкционированного доступа личные кабинеты партнеров, и желательно на каждую настраиваемую папку настраивать свой ключ доступа.

Ашот Мирзоян (разработчик)

30 ноября 2022 11:14

добрый день Александр Панишев, в будущих обновлениях учтем ваши пожелания, спасибо за отзыв.

21 мая 2021 13:46

У кого вылазит ошибка Лишний вывод в файлах конфигурации и капча не работает
в файле модуля bitrix/modules/mbx.protection/include.php
меняем строчку
LocalRedirect(«/»);
на
header(‘Location: /’);

будет нужен нормальный программист пишите письма))

19 ноября 2020 09:56

После установки модуля при проверке системы появляется ошибка «Лишний вывод в файлах конфигурации». Проверьте пожалуйста Ваше решение!

1 декабря 2018 18:48

А почему нерабочие решения на маркете выставляют?
— разработчик не отвечает пользователям
— капча  не работает

а так жаль, идея ведь хорошая

Ашот Мирзоян (разработчик)

15 декабря 2018 19:42

Диана, Добрый день, извиняюсь за столь долгий ответ.

Былы проблемы с получение прав на этот модуль, сейчас все наладилось.
Проблемы с модулем исправлены, разработка модуля продолжается.
И скоро выйдет большое обновление с новыми функциями.

Установка происходит автоматические после покупки модуля в маркетплейс. Настройки модуля находятся : Настройка — Настройки продукта — Настройки модулей — Защита админки

Вы можете изменить настройки по умолчанию, изменив кодовое слово входа в админку с «bitrix» на любое слово на латинице.

Что бы включить защиту нужно в настройках модуля поставить галочку «Включить защиту»

При обращении в службу поддержки обязательно указывайте:

Задачи по доработке модуля выполняем за отдельное вознаграждение, но оставляем за собой право отказать в такой доработке без объяснения причин.

Вступление

Продолжаю бесконечную тему безопасности сайтов, создаваемых и созданных на WordPress. Сегодня актуальная тема: защита админки WordPress от возможных взломов и атак.

Для начала вспомним, что админка WordPress сайта или административная панель сайта — это закрытая часть сайта, предназначенная для его управления.

После установки системы доступ в административную панель имеет только администратор сайта. Разрешив регистрацию на сайте, администратор может открывать доступ к админпанели пользователям. Набор возможностей по управлению сайтом определяет роль пользователя.

Обо всём этом вы можете почитать в статьях:

Защита админки WordPress

Смотрим несколько вариантов и методов защиты админки WordPress:

Защита от подбора паролей

Ручной, а чаще автоматический подбор паролей для авторизации в административной панели остаётся самым популярным, хотя примитивным способом взлома. По умолчанию система WordPress никак не ограничивает количество попыток авторизации пользователя с одного IP адреса. Данное обстоятельство не безопасно и требует вашего вмешательства.

Капча от автоматического подбора паролей

Усилить защиту админки от автоматического подбора паролей поможет установка капчи на форму авторизации. Напомню, что капча это компьютерный тест пользователя на его человечность.

Капча может быть в виде слова, набора букв и цифр, картинки, математического примера. Современная капча может быть скрыта от пользователя и работать по поведенческим факторам пользователя.

Смена (маскировка) адреса панели

Стандартные адреса административной панели известны всем. По умолчанию, любой может открыть вашу форму авторизации на сайте и поиграть со входом или восстановлением пароля. Для безопасности логично спрятать страницу авторизации под другой URL.

Двухэтапная идентификация

Идентификация пользователя в два этапа значительно усиливает безопасность сайта, заставляя пользователя вводить не только пароль, но и код, получаемый на свой телефон или email.

Решают задачу двухэтапной аутентификации на WordPress два плагина:

Google Authenticator — WordPress Two Factor Authentication (2FA). Универсальный, мощный плагин в бесплатной и платных версиях.

. Плагин обеспечивает двухфакторную аутентификацию с помощью приложения Google Authenticator для Android / iPhone / Blackberry.

Защита каталога wp-admin на сервере

Блокировка пользователей по IP

Наиболее навязчивых пользователей можно блокировать по их IP адресу. Если пользователь уже зарегистрирован и проявляет опасную активность, его IP вы можете увидеть в панели на странице пользователей под его именем. Если пользователь новый, то его IP адрес нужно искать в журналах входа в административной панели вашего сервера.

Блокировка пользователей по геолокации (странам)

При серьёзных атаках на сайт возникает необходимсоть заблокировать всех пользователей, кроме себя. Для этого используем файл .htaccess, который вы должны были создать при установке системы.

Для блокировке всех пользователей кроме себя, вам нужно сделать два действия:

Узнать свой IP адрес, например на сайте: https://2ip.ru/;

Вписать в свой файл корневого каталога .htaccess такие строки:

order deny,allow
deny from all
allow from ваш_ip

Ограничьте время простоя сессии пользователя

Вы наверняка знаете, что WordPress автоматически не прекращает сессию пользователя если он сам явно не выйдет из системы или не закроет свой браузер. То есть по умолчанию на WordPress нет такой функции, как, скажем на Joomla, где администратор в общих настройках может указать время работы в панели (в минутах) до следующей авторизации.

Решает эту проблему плагин «. Плагин прост в настройках, есть в каталоге плагинов (/) и постоянно обновляется.

Сбросьте пароли всех пользователей

Если на вашем сайте активно ведётся регистрация и  пользователи могут менять сложные пароли на более простые — это не безопасно.

Навести порядок в рядах пользователей поможет плагин массового сброса паролей «Emergency Password Reset». Этот плагин позволяет администратору сбросить все пароли и автоматически отправить им ссылку для сброса. Адрес плагина: .

Ещё несколько традиционных советов по безопасности

В статье я показал, как осуществляется защита админки WordPress с использование специальных плагинов конкретных задач. Напоминаю, что почти все описанные проблемы безопасности, можно решить установкой комплексного плагина безопасности. Например плагин безопасности Wordfence Security или Безопасность WordPress.

Еще статьи

С помощью этого сканера можно проверить ресурс и выявить уязвимости в программной части и в настройках сервера, CMS и PHP. Если вы не погружены в IT-тематику, то он позволит проверить безопасность сайта и понять, не следует ли обратиться за консультацией к опытному разработчику. Впрочем, въедливость сканера такова, что он иногда принимает за угрозы и критичные нарушения что-то совсем невинное.

У него есть некоторые минимальные требования к системе: наличие расширения tokenizer, менее 20 секунд max_execution_time и 256 МБ memory_limit.

Проактивная защита

Мощнейшим инструментом вашей защиты станет проактивная защита Битрикс. Это инструменты самой системы, которые доступны со «стандартной» версии Битрикса (в «Старте» их нет), некоторые требуют установки модуля «Веб-аналитика». Все эти модули — преимущества системы 1С-Битрикс, и нужно ещё поискать специалиста, который был бы способен сквозь них прорваться.

Админка — ваш штаб, командный центр, и если хакер захватит его, то последствия могут быть непредсказуемыми. Впрочем, то же самое касается и не очень ловких сотрудников! Защита административной части Битрикс — краеугольный камень вашей обороны.

Кстати, есть ещё соблазн сохранять пароли в браузере. Что ж, если вы храните там доступ от личной почты, где ничего важнее фотографий семейного пикника раздобыть нельзя, то это ещё ничего. Но сохранять там пароль от важного проекта, который могут захотеть целенаправленно получить — нет, так делать нельзя ни в коем случае.

Другой вариант защиты паролей — одноразовый пароль Битрикс. Его источником может быть специальное устройство в брелке, эдакая флешка доступа, или приложение на смартфоне. Его использование не отменяет индивидуального пароля, но позволяет дополнить его ещё одним слоем безопасности, отмычку к которому украсть из браузера или подсмотреть на экране не получится никоим образом.

Пользователям, имеющим доступ только к публичной части проекта, можно задать невысокий уровень безопасности, редакторы должны быть защищены лучше, а для Администраторов нужно столько защитных слоёв, сколько только возможно. Если поймёте как эффективно защитить админку — считайте, почти поняли, как защитить сайт на Битрикс.

Панель безопасности

Для продвинутого уровня защиты нужно будет также в довесок ко всему вышеперечисленному включить защиту редиректов от фишинга, смену идентификатора сессий, хранение сессий в базе данных, защиту админки, ограничение отображения страниц во фрейме. Ну а для повышенной защиты нужно будет также выполнить контроль целостности, включить веб-антивирус (без исключений из него) и одноразовые пароли, а также оповещения о действиях при обнаружении заражения. При этом журнал заражений за последнюю неделю тоже должен быть пуст.

Контроль целостности файлов и защита сессий

Сегодня любой успешный интернет-проект находится под постоянной угрозой DDoS-атаки. Это не тайна: резкий рост активности посетителей не так уж и часто значит, что проект вдруг обрёл успех и популярность. Гораздо чаще — что кто-то вас заспамил, критически увеличив нагрузку сайта и подвергнув вашу работу опасности.

Это самая частая причина DDoS-атак: агрессивные действия конкурентов, которым просто нужно обрушить ваш ресурс. Но бывает и так, что действуют хакеры-вымогатели, готовые прекратить за выкуп, или даже интернет-хулиганы, развлекающиеся без какой бы то ни было цели. Серьёзный проект просто обязан защитить себя от всех этих угроз!

Чтобы сделать это грамотно, нужно понять семиуровневую модель OSI, относительно которой описываются компьютерные сети вообще и ведущиеся в них атаки в частности. Первый уровень в этой модели — физическая инфраструктура: маршрутизаторы, кабели, машины, ноды, etc. Второй — каналы, связывающиеся в сеть через коммутаторы. С повышением уровня растёт и абстракция уровня. D DoS-атаки начинаются на 3-5 уровнях, сетевых, на которых можно примитивно перегрузить каналы SYN-запросами (ping-запросами на подключение по TCP-протоколу). Справится с этими нападками достаточно просто.

Гораздо опаснее атаки на более абстрактном, седьмом уровне. Обычно их проводят в направлении самых ресурсоёмких страниц сайта, иногда осуществляя на них сложные действия. Пример такой атаки — огромный поток автоматических запросов на настройку фильтра каталога для выдачи максимально объёмной подборки товаров. Т.е. таких запросов много, атакуют тысячи или десятки тысяч ботов, атаки направлены на тяжёлые страницы, каждый бот требует выполнить сложное, ресурсоёмкое действие. Как правило не выдерживают веб-серверы, бэкенд, сервер баз данных.

Как эту атаку отразить? Мы используем Web Application Firewall, или, попросту, WAF. Это особая система мониторов и фильтров по отслеживанию и блокировке DDoS-атак. Впрочем, он нужен только для самых высокоуровневых нападений и тяжёлых случаев, а обычно достаточно и базовой «обороны». Она же включена на всех наших серверах по умолчанию.

Всем, кто в делах IT-инфраструктуры полагается только на себя, своё оборудование и серверную, в деле защиты от нападений следует полагаться на себя. Разбираться с атакой придётся самостоятельно, но в этом могут помочь специальные сервисы или переход на VDS, выделенный сервер, который уже будет защищён хостером. Ну или атаку можно переждать, она нанесёт вам ущерб, но вряд ли продлится вечно.

В столкновении с такими обстоятельствами выгоднее всего хостится у надёжного провайдера, который сам займётся вашей защитой. Мы всегда с максимальными заботой и ответственностью заботимся о безопасности и сохранности наших клиентских проектов, поэтому если вы работаете с нами, то эта головная боль вам просто не грозит. Но если вдруг найдётся кто-то действительно опасный и грамотный, способный использовать высокоуровневые DDoS-атаки, то и с ними мы вам готовы тут же помочь.

Как защитить сайт на Битрикс

1С-Битрикс позволяет защитить свои сайты очень эффективным образом, но без достаточной грамотности или достаточного понимания необходимости такой защиты все возможности системы будут бесполезны. Выше мы описали необходимый минимум, но и он может не помочь вам, если кто-то из ваших сотрудников заинтересуется возможностью «сдать вашу крепость» или даже если просто забыть реализовать нужный пункт защиты.

Поэтому идеальный уровень защиты на корпоративном уровне — это собственный штат информационной безопасности или хотя бы опытный специалист, который только этим и будет заниматься. Если у вас нет возможности содержать его в штате, то до определённого уровня помочь сможет грамотный хостер. Наша техническая поддержка всегда реагирует на возникающие у пользователей проблемы, а на более высоких уровнях услуги сама осуществляет администрирование вашей системы. Кроме того, мы бесплатно защищаем сайты наших клиентов от угроз со стороны DDoS’а и зловредных ботов, а за дополнительную плату подключаем дополнительные уровни безопасности.