Как защитить сайт на «1С-Битрикс» под Windows Server

Содержание

Ваш сайт на «Битриксе» работает под Windows Server? Отлично. А защищён ли он? Рассказали, как выставить права, настроить антивирус и не оставить дыр в файрволе.

Введение

Представьте, вы заходите на свой сайт на «1С-Битрикс» утром, а он взломан или заражён вирусом. Картина неприятная: страница недоступна, посетители видят ошибки или посторонний контент, репутация компании падает. Чтобы такой кошмар не стал реальностью, о безопасности нужно позаботиться заранее. Запустить проект на Windows Server — это лишь полдела. Не менее важно ещё и грамотно защитить его от киберугроз.

В статье рассказали, как обезопасить сайт на «1С-Битрикс», если он работает на Windows Server. Подсказали, какой антивирус поставить на сервер и как настроить его так, чтобы он не тормозил работу Bitrix, как закрыть лишний внешний доступ с помощью встроенного файрвола Windows и какие права доступа выставить на файлы и папки проекта, чтобы злоумышленники не смогли подменить код или незаметно загрузить вирус.

Аренда VPS/VDS — от ₽219/месяц

Почему выбирают VPS от AdminVPS:

✓ Дешевле физического сервера

✓ Более гибкий и мощный, чем обычный хостинг

✓ Бесплатная защита от DDoS и техподдержка 24/7

✓ Масштабируется под любые задачи

Виртуальный сервер VPS/VDS — ваш личный сервер для сайтов, магазинов, ботов и других проектов.

Встроенная защита «1С-Битрикс»

Система «1С-Битрикс: Управление сайтом» сама по себе хорошо защищена на программном уровне. В ней есть модуль проактивной защиты, включающий веб-антивирус и веб‑файрвол (WAF), который фильтрует подозрительные запросы. Эти инструменты обязательно стоит включить в административной панели Bitrix. Однако они оберегают сайт только от определённых типов атак, например, XSS-скриптов или SQL-инъекций, и не заменяют полноценный антивирус на сервере и грамотную настройку системы.

Вирус может проникнуть на сервер не только через уязвимость на самом сайте. Нередко вредоносный файл попадает через украденные FTP-пароли или бреши в плагинах. Windows Server по умолчанию открывает некоторые сервисы, например, удалённый рабочий стол, и если их не закрыть, злоумышленник может пытаться подобрать пароль администратора перебором. Проще говоря, встроенные средства «Битрикс» — лишь один уровень обороны. Для полной безопасности требуется комплексный подход: защита на уровне самого сервера, сети и файловой системы.

Надёжный VPS для Bitrix у провайдера AdminVPS — оцените все преимущества.

Антивирус на Windows Server

Первым делом позаботьтесь об антивирусной защите самого сервера. Для Windows Server существует встроенный «Защитник Windows» (Windows Defender), который можно использовать бесплатно. Если нужен более продвинутый вариант, рассмотрите специальные решения для серверов, например, Kaspersky Security для Windows Server, Dr.Web для Windows Server или ESET Server Security. Важно, чтобы антивирус официально поддерживал серверную ОС. Домашние версии часто не устанавливаются на Windows Server и не рассчитаны на высокие нагрузки.

После установки антивируса проверьте, включена ли постоянная защита и регулярно ли обновляются базы угроз. Настройте расписание полной проверки в нерабочие часы, чтобы сканирование всего диска не замедлило работу сайта днём. Также стоит добавить в исключения сканирования папки сайта «Битрикс», которые постоянно изменяются, например, директории кеша и пользовательских загрузок (папки /bitrix/cache/ и /upload/). При этом обязательно оставьте проверку всех новых и изменённых файлов. Если на сервер попадёт подозрительный скрипт, защита должна сразу его выявить.

Обратите внимание на компоненты антивируса, которые могут влиять на веб-сервер. Некоторые продукты безопасности содержат модуль проверки веб-трафика, и он может блокировать нормальную работу «Битрикса» из-за ложных срабатываний. Скажем, может перестать открываться административная панель или не работать совместное редактирование документов, хотя никаких вирусов нет. Если после установки защиты какие-то функции сайта стали работать некорректно, загляните в журналы антивируса и посмотрите, что он блокирует. При необходимости настройте для него исключения, доверьте безопасный URL или процесс. Правило простое, антивирус должен ловить реальные угрозы, но оставаться невидимым для нормальной работы сайта. Правильно настроенная защита не создаёт лишней нагрузки в часы пик, не сканирует по кругу одни и те же безопасные файлы, и уж тем более не удаляет системные файлы «Битрикса» по ошибке.

Файрвол Windows

Теперь настройте файрвол на сервере. В Windows Server он встроен и зачастую активен по умолчанию, но не лишним будет перепроверить. Задача файрвола — закрыть все порты, кроме необходимых, чтобы извне нельзя было подключиться к сервисам, которые вы не планировали открывать.

Сначала решите, какие подключения извне действительно нужны вашему серверу. Как правило, для веб-сайта требуются только порты 80 (HTTP) и 443 (HTTPS), через них пользователи заходят на страницы. Остальные внешние запросы стоит блокировать. Откройте консоль «Брандмауэр Защитника Windows с расширенной безопасностью» в параметрах файрвола и в списке входящих правил убедитесь, что для HTTP и HTTPS есть разрешающие правила. Если их нет, создайте вручную, указав нужные порты и протоколы. Всё прочее, напротив, должно быть запрещено. Лучше всего установить для профиля сети значение «Публичная сеть» и блокировать входящие подключения по умолчанию, разрешая лишь явно указанные сервисы.

Уделите особое внимание удалённому доступу к самому серверу. По умолчанию Windows допускает подключение по RDP для всех, кто знает учётные данные администратора. Оставлять так опасно, злоумышленники могут бесконечно перебирать пароли. Как минимум, отключите RDP-доступ, если он вам не нужен. Если нужен, ограничьте его. Сделать это можно через файрвол. Установите правило, разрешающее входящие подключения на порт 3389 только с вашего IP-адреса либо с нескольких доверенных адресов. В идеале лучше вообще закрыть прямой RDP из Интернета и использовать VPN, чтобы получить удалённый доступ к серверу.

Аналогично поступите с другими службами. Если вы не планируете поднимать FTP-сервер, убедитесь, что порт 21 закрыт. Сервер не должен сам отправлять почту, закройте порт 25. То же касается и баз данных. Если на сервере установлена, скажем, MySQL или MS SQL, но использовать её удалённо вы не собираетесь, не допускайте внешних подключений. Оставьте доступ к базе только локально, а внешние запросы по соответствующим портам заблокируйте. Чем меньше дыр останется в стене файрвола, тем меньше шансов, что злоумышленник найдёт лазейку. При этом сайту ничто не мешает работать, пользователи как заходили через веб-порты, так и будут заходить, а остальное сервер просто игнорирует.

Права доступа к файлам и папкам сайта

Время настроить корректные права доступа к файловой системе проекта. Windows Server использует NTFS, которая позволяет гибко задавать, кто может читать, изменять или удалять каждый файл. Неправильно выставленные разрешения открывают злоумышленникам пути взлома. Придерживайтесь принципа минимальных привилегий, то есть, каждому пользователю системы только тот доступ, который ему необходим. Аналогичный подход применяется на Linux-хостингах, где каталогам ставят 755, а файлам 644.

Убедитесь, что веб-сервер запускает сайт не от имени администратора, а под отдельной учётной записью с ограниченными правами. В IIS по умолчанию для этого создаётся виртуальный пользователь. Эта учётная запись должна иметь доступ к папке с сайтом, но ровно в том объёме, который нужен для работы сайта. Остальным пользователям системы доступ к веб-директории лучше запретить.

Через «Проводник» Windows найдите папку с файлами сайта, например, D:\sites\mysite, и откройте её свойства. Перейдите на вкладку «Безопасность». Здесь видно, какие аккаунты и группы имеют доступ. Удалите лишние записи, такие как группы «Пользователи» или Everyone, если они числятся, а затем добавьте пользователя, от имени которого работает сайт, либо соответствующую группу. Назначьте ему разрешения на чтение и выполнение для всей папки сайта. Этого достаточно, чтобы движок мог открывать страницы и скрипты. Далее настройте права на изменение только там, где сайту необходимо писать данные. Например, для директории пользовательских загружаемых файлов (/upload/) и папок кеша/временных файлов дайте учётной записи сайта право изменять содержимое. Зато на всех остальных файлах — ядре CMS, файлах шаблонов, конфигурации — оставьте только чтение. Тогда даже если вредоносный скрипт попадёт в систему, ему будет сложнее нанести серьёзный ущерб. Процесс, под которым работает сайт, просто не имеет полномочий менять критически важные файлы.

Дополнительно можно включить аудит изменений, чтобы отслеживать подозрительную активность. Windows позволяет записывать в журнал безопасности события изменения файлов, если настроить аудит для нужной папки. Это пригодится, когда вы захотите выяснить, кто и когда правил файлы проекта. Также рекомендуется отключить выполнение скриптов там, где им не место. Например, в каталоге загрузок /upload/ не должно быть исполняемого PHP-кода. В настройках IIS можно запретить запуск *.php в папке upload, и тогда даже если злоумышленник загрузит туда файл shell.php, он не сможет его выполнить.

После настройки прав доступа проверьте работу сайта. Если вы всё сделали правильно, «Битрикс» продолжит функционировать как обычно. Зато при попытке изменить или удалить защищённый системный файл, сервер вернёт ошибку доступа. Так и должно быть. Именно этого результата вы и добивались, настраивая права.

Заключение

Ни один сайт не может быть защищён на все сто, но, выполнив эти шаги, вы значительно повысите безопасность своего проекта. Антивирус, файрвол и строгие права доступа вместе создают многоуровневую защиту, способную отпугнуть большинство злоумышленников. Конечно, не стоит забывать и о других мерах: своевременно обновляйте CMS «Битрикс» и её модули, делайте регулярные бекапы, используйте сложные пароли и двухфакторную авторизацию для админ-панели. Регулярно проверяйте журналы, прислушивайтесь к советам разработчиков CMS и будьте внимательны к мелочам. Тогда шансы столкнуться со взломом или вирусами станут минимальны, а ваш сайт на Windows Server будет стабильно радовать и вас, и посетителей.

Читайте в блоге: