Три совета: как повысить безопасность 1С-Битрикс

13 марта 2018

Ваш сайт в безопасности

С посещения сайта начинается знакомство с компанией. Когда знакомство проходит успешно, вы получаете заказ. А если сайт перестал работать, исчезла важная информация или сломана верстка? Посетитель уйдет, не позвонит и не оставит заявку.

Хорошая новость в том, что повысить надежность и безопасность сайта не так сложно.  Мы собрали три рекомендации, которые вы сможете самостоятельно внедрить и защититься от случайных ошибок и злоумышленников.

Разграничить права доступа

Самая важная и сложная задача из списка. Для каждой группы пользователей нужно настроить свою политику прав доступа. Такое разграничение нужно, чтобы каждый имел доступ только к своей сфере ответственности. Это сокращает риски случайных поломок и изменений настроек системы управления сайтом.

Удобно работать с временными сотрудниками — можно сразу ограничить срок действия аккаунта, автоматически выключив через месяц. Если компанию покидает штатный специалист, достаточно деактивировать личный аккаунт и не менять остальные пароли.

Пример распределения ролей для интернет-магазина:

  • Главный логин администратора и пароль к нему известны только владельцу.
  • У разработчика заведен свой аккаунт с полными административными правами.
  • Для интеграции с 1С используется аккаунт с ограниченными правами на обмен данными.
  • Для менеджеров созданы свои аккаунты с доступом только в раздел с заказами.
  • Для контент-менеджера — доступ только в каталог товаров и текстовые рубрики.

Разграничить прав доступа

Как настроить? Придется повозиться, но этого того стоит. В первую очередь, нужно зайти в Настройки > Пользователи > Группы пользователей > {группа_пользователей} и выбрать нужные правила на вкладке Доступ. Затем пройтись по настройкам инфоблоков и статичных рубрик. Чтобы все сделать правильно, изучите подробную справку от 1С-Битрикс:

  1. Пример политики безопасности.
  2. Полная инструкция по настройке прав.

Изменить уровень безопасности у групп пользователей

Лучше настраивать сразу с политикой прав доступа. Самая уязвимая часть сайта — простые пароли у пользователей и не закрытая авторизация на разных устройствах. Также опасен длинный срок жизни ссылок на восстановление пароля и отсутствие капчи при ошибочном вводе пароля. Опасность в том, что случайные люди могут получить доступ к админке сайта, а злоумышленники — легко подобрать пароль.

Разграничить прав доступа

Как настроить? Нужно зайти в Настройки > Пользователи > Группы пользователей > {группа_пользователей}. В настройках каждой активной группы на вкладке Безопасность выбрать повышенный уровень. Если работа с сайтом ведется часто и нужна постоянная авторизация, рекомендуем в полях “Маска сети для привязки сессии” и “Маска сети для привязки сохраненной авторизации” поставить значение 255.255.255.0

Подробнее в инструкции.

Настроить журнал событий

Это функционал логирования всех действий, которые происходят на сайте: регистрация, авторизация и изменение данных пользователей, любые изменения страниц или настроек сайта. Вы удивитесь, но разбираться с тем, кто и когда внес изменения на сайте приходится часто. Если включен журнал событий и настроены разные учетные записи, то ответ на эти вопросы всегда будет под рукой.

Разграничить прав доступа

Как настроить? Зайти в Настройки > Настройки продукта > Настройки модулей > Главный модуль и переключиться на вкладку Журнал событий. Ставьте все галочки, пусть будет больше данных. А посмотреть лог можно будет в разделе Инструменты >  Журнал событий.

На всякий случай, сверьтесь с инструкцией.