Аудит безопасности сайта 1С-Битрикс

Наша компания занимается разработкой, поддержкой и обслуживанием решений на Битрикс и Битрикс24 любой сложности. От простых одностраничных сайтов до сложных интернет магазинов, CRM систем с интеграцией 1С и телефонии. Опыт разработчиков подтвержден сертификатами от вендора.

8+Лет на рынкеподробнее 900+Реализованных проектовподробнее 100+Разработчиков в штатеподробнее 19+Партнеровподробнее

Предлагаемые услуги

Показано 1 из 1 услугВсе 1626 услуг

Простая

~2-3 рабочих дня

Часто задаваемые вопросы

Наши компетенции:

Бесплатная консультация

Закажите бесплатную консультацию если у вас есть вопросы. Профильный специалист вас проконсультирует.

Расчет стоимости

Если вы знаете, что именно вам нужно разработать, или у вас уже есть готовое техническое задание.

Этапы разработки

Последние работы

Разработка сайта компании B2B ADVANCE
1177
Разработка веб-сайта для компании ФИКСПЕР
811
Разработка на базе Битрикс, Битрикс24, 1С для компании Development of an Online Appointment Booking Widget for a Medical Center
564
Разработка на базе 1С Предприятие для компании МИРСАНБЕЛ
747
Разработка сайта на CRM Битрикс24 для компании DOLBIMBY
655
Разработка на базе Битрикс24 для компании ТЕХНОТОРГКОМПЛЕКС
976

Показать больше работ

Аудит безопасности сайта 1С-Битрикс

Аудит безопасности — не сканирование одним инструментом. Это последовательная проверка конфигурации платформы, сервера, кода и прав доступа. Результат — не просто список уязвимостей, а приоритизированный план устранения с оценкой рисков.

Что проверяется в первую очередь

Версия ядра и модулей — Marketplace → Обновления. Устаревшее ядро — источник известных CVE. Проверяйте changelog на security-патчи. Критические обновления выходят вне расписания.

Права на файлы и директории — типичная проблема на shared-хостинге:

find /var/www/html -type f -name "*.php" -perm -o+w
find /var/www/html/upload -type f -name "*.php"

PHP-файлы в /upload/ — верный признак заражения или неправильных прав.

Открытые директории — /.git/, /bitrix/backup/, /bitrix/php_interface/ не должны быть доступны извне. Проверьте через curl или браузер.

Проверка кода и компонентов

Кастомные компоненты в /local/components/ и /local/templates/ — основной вектор для уязвимостей. Проверяйте:

Экранирование вывода: htmlspecialchars(), \Bitrix\Main\Text\HtmlFilter::encode()
SQL-запросы: только через $DB->Query() с экранированием или через D7 ORM
Загрузка файлов: проверка MIME-типа через \CFile::CheckImageFile(), ограничение расширений
Использование $_REQUEST, $_GET, $_POST без валидации

Встроенный сканер Битрикс: Безопасность → Сканер безопасности. Проверяет известные паттерны заражения в файлах. Не заменяет ручной аудит, но быстро выявляет типовые инъекции.

Проверка конфигурации сервера

display_errors = Off в PHP на продакшене
expose_php = Off — не раскрывать версию PHP в заголовках
Заголовки безопасности: X-Content-Type-Options, X-Frame-Options, Content-Security-Policy
Открытые порты кроме 80/443 — проверить nmap или через панель хостинга

Случай из практики

Аудит интернет-магазина после подозрения на заражение. Сканер Битрикс ничего не нашёл. Ручная проверка find /var/www -name "*.php" -newer /var/www/html/bitrix/modules/main/classes/general/module.php выявила 12 файлов с изменёнными датами — в /upload/resize_cache/. Все содержали обфусцированный PHP-код с base64. Вектор заражения: уязвимость в устаревшем кастомном компоненте загрузки изображений без проверки расширения.

Итог аудита

Результат оформляется как отчёт с разделением по уровням критичности: критические (требуют немедленного исправления), высокие (в течение недели), средние и низкие. Для каждой позиции — конкретное техническое решение.

Сроки выполнения

Базовый аудит безопасности — от 1 до 2 рабочих дней. Углублённый с анализом кода кастомных модулей — от 3 до 5 дней.

1С Битрикс презентация 1С Битрикс24 презентация 1С Предприятие презентация