Три совета: как повысить безопасность 1С-Битрикс
С посещения сайта начинается знакомство с компанией. Когда знакомство проходит успешно, вы получаете заказ. А если сайт перестал работать, исчезла важная информация или сломана верстка? Посетитель уйдет, не позвонит и не оставит заявку.
Хорошая новость в том, что повысить надежность и безопасность сайта не так сложно. Мы собрали три рекомендации, которые вы сможете самостоятельно внедрить и защититься от случайных ошибок и злоумышленников.
Разграничить права доступа
Самая важная и сложная задача из списка. Для каждой группы пользователей нужно настроить свою политику прав доступа. Такое разграничение нужно, чтобы каждый имел доступ только к своей сфере ответственности. Это сокращает риски случайных поломок и изменений настроек системы управления сайтом.
Удобно работать с временными сотрудниками — можно сразу ограничить срок действия аккаунта, автоматически выключив через месяц. Если компанию покидает штатный специалист, достаточно деактивировать личный аккаунт и не менять остальные пароли.
Пример распределения ролей для интернет-магазина:
- Главный логин администратора и пароль к нему известны только владельцу.
- У разработчика заведен свой аккаунт с полными административными правами.
- Для интеграции с 1С используется аккаунт с ограниченными правами на обмен данными.
- Для менеджеров созданы свои аккаунты с доступом только в раздел с заказами.
- Для контент-менеджера — доступ только в каталог товаров и текстовые рубрики.
Как настроить? Придется повозиться, но этого того стоит. В первую очередь, нужно зайти в Настройки > Пользователи > Группы пользователей > {группа_пользователей} и выбрать нужные правила на вкладке Доступ. Затем пройтись по настройкам инфоблоков и статичных рубрик. Чтобы все сделать правильно, изучите подробную справку от 1С-Битрикс:
Изменить уровень безопасности у групп пользователей
Лучше настраивать сразу с политикой прав доступа. Самая уязвимая часть сайта — простые пароли у пользователей и не закрытая авторизация на разных устройствах. Также опасен длинный срок жизни ссылок на восстановление пароля и отсутствие капчи при ошибочном вводе пароля. Опасность в том, что случайные люди могут получить доступ к админке сайта, а злоумышленники — легко подобрать пароль.
Как настроить? Нужно зайти в Настройки > Пользователи > Группы пользователей > {группа_пользователей}. В настройках каждой активной группы на вкладке Безопасность выбрать повышенный уровень. Если работа с сайтом ведется часто и нужна постоянная авторизация, рекомендуем в полях “Маска сети для привязки сессии” и “Маска сети для привязки сохраненной авторизации” поставить значение 255.255.255.0
Подробнее в инструкции.
Настроить журнал событий
Это функционал логирования всех действий, которые происходят на сайте: регистрация, авторизация и изменение данных пользователей, любые изменения страниц или настроек сайта. Вы удивитесь, но разбираться с тем, кто и когда внес изменения на сайте приходится часто. Если включен журнал событий и настроены разные учетные записи, то ответ на эти вопросы всегда будет под рукой.
Как настроить? Зайти в Настройки > Настройки продукта > Настройки модулей > Главный модуль и переключиться на вкладку Журнал событий. Ставьте все галочки, пусть будет больше данных. А посмотреть лог можно будет в разделе Инструменты > Журнал событий.
На всякий случай, сверьтесь с инструкцией.