Управление безопасностью сайта: уязвимость готовых решений cторонних разработчиков на 1С-Битрикс

Управление безопасностью сайта - это комплекс мероприятий. Увы, ряд владельцев сайтов не до конца понимает, что просто покупка лицензии CMS - например, 1С-Битрикс, – это ещё не гарант отсутствия уязвимостей на сайте и надёжной защиты от вирусов. Очень важно своевременно обновлять версию PHP, лицензию CMS и готового решения. Об этом мы уже рассказывали в наших материалах про взлом сайтов на 1С-Битрикс.

Но есть ещё один очень важный нюанс. Обратите внимание: центр информационной безопасности и мониторинга инцидентов компании 1С-Битрикс (благо существует даже отдельный специальный проект «Безопасные интеграции») мониторит, фиксирует и сообщает внимание на все инциденты, которые касаются уязвимостей в решениях, интеграциях и дополнениях, чьими разработчиками являются сторонние компании без непосредственного участия 1С-Битрикс.

Что это значит на практике?

Вы хотите создать сайт. Вы находите на маркетплейсе готовое решение на платформе 1С-Битрикс одного из разработчиков и уверены, что ответственность за решение  сторонних разработчиков несёт сама компания 1С-Битрикс и она же окажет техподдержку в случае проблемы. Но на самом деле это не так. 1С-Битрикс не несёт ответственности за решения сторонних разработчиков, размещённые в маркетплейсе. Техническая поддержка таких решений осуществляется непосредственно их разработчиками.

Безусловно, именно готовые решения – это оптимальный вариант для большинства представителей малого и среднего бизнеса. Сугубо индивидуальные разработки в большинстве случаев неоправданные, нецелесообразные. Но важно понимать – готовые решения готовым решениям рознь. И выбор готового решения, и его «развёртывание» должны производить профессионалы. Они же, в свою очередь, и помогут разобраться с тем, чтобы вы работали с максимально качественным решением, а если беда всё-таки произошла, вы могли безболезненно обновить готовое решение до версии, у которой уязвимости уже устранены, или в случае, если решение полностью снято с публикации (потому что уязвимости очень существенные), «переехать» на другой шаблон.

Да, сама компания 1С-Битрикс максимально заинтересована в том, чтобы те, кто пользуется решениями на базе её CMS, могли решить проблемы максимально конструктивно. И ряд уязвимостей удаётся устранить – в том числе и благодаря инструкциям, которые специалисты 1С-Битрикс высылают разработчикам, чьи решения проблемные, например, потому что нет защиты от внедрения классов в сериализованные массивы. Уязвимые сайты устраняются из маркетплейса. Более того, для пользователей сайтов, созданных на решениях на базе 1С-Битрикс, доступен патчер, который автоматически сканирует сайт на предмет уязвимостей. Так что всё прозрачно.

Но важно понимать, что использование такого патчера – только одна из первых мер в случае уязвимостей сайта. Чтобы минимизировать риск дальнейших вторжений, важно всегда поддерживать самую актуальную версию сайта.

Рекомендации

• Если у вас устаревшие решения, обязательно устанавливайте патчер от 1С-Битрикс для устранения уязвимостей. Устаревшие версии – это наиболее краеугольный камень. Именно они могут содержать уязвимости, которые со временем становятся известны злоумышленникам.
• Проверяйте сайт на наличие вредоносных файлов (например, веб-шеллов – командных оболочек для удаленного управления веб-сервером) и обязательно избавляйтесь от них.
• Обязательно обновляйте само ядро 1С- Битрикс.
• Не игнорируйте обновление готового решения разработчика до последней версии. После обновления модулей проверяйте их файлы на наличие функции serialize(). Именно она возвращает строковое представление любого значения, которое может быть сохранено в PHP. Именно функция unserialize() может использовать эту строку для восстановления исходного значения переменной. Это важно для хранения или передачи значений PHP между скриптами без потери их типа и структуры
• Обращайтесь при необходимости непосредственно к разработчикам для устранения уязвимости или самостоятельно исправляйте уязвимости с помощью инструкции от разработчика готового решения (безусловно, если вы не программист, вас никто не просит сражаться со скриптами, расположенными в директории /ajax/ в корне сайта, укрощении небезопасной функции unserialize в PHP, но вашим помощником станет компания, которая «разворачивала» готовое решение. А, если вы всё же делали это самостоятельно, то ищите компании, которые активно работают с сайтами на базе 1С-Битрикс»), а ещё обладают опытом устранения вирусов с сайтов. Наши специалисты всегда будут для вас полезны.
• Не считайте лишним действием смену паролей для администраторов и смену доступов ssh/ftp.

Чем чревато использование необновлённых, уязвимых версий?

• Возможна утечка персональных данных, иной конфиденциальной информации.
• Появляется доступ к выполнению произвольных команд на сервере.
• Возникают проблемы с функциональностью сайта.
• Возможна загрузка и запуск майнеров криптовалюты. Повышенная нагрузка на сервер и сам сайт в этом случае неизбежна.

Не паникуйте

1. Если ваш сайт взломали из-за уязвимостей, а бэкапа нет, действуйте «хладнокровно»: вычищайте все вирусные файлы, устраняйте баги, обновляйте 1С-Битрикс, а после этого создайте бэкап. Да, идеально, когда всё в порядке изначально, но, если это не так, такой вариант оптимален. Далее, не забудьте заказать постоянную техподдержку (это очень полезно для избавления от головной боли и фокусирования на профильной деятельности) и больше не допускайте никаких промахов, в том числе и с бэкапами. Выигрывает тот, у кого резервное копирование организовано не формально, а системно.
2. Очень неприятен случай, когда из-за уязвимости готового решения вообще теряется возможность войти в админку. Но и здесь выход есть: анализ ситуации выполняется через сервер.
3. Если уязвимости в решениях некоторых разработчиков затрагивают конкретный модуль, но он не используется на сайте, то можно его просто удалить.

Да, чтобы исправить ситуацию, верно принять решение, нужны грамотные техспециалисты.  Управление безопасностью сайта  - это всегда последовательная, методичная работа. И, между прочим, с решениями на базе 1С-Битрикс решить вопрос просто. Главное, не забыть задать расписание и запустить выполнение бекапа в автоматическом режиме.

Увы, нередко бывает так: разработчик  оперативно исправляет уязвимость, как только реагирует 1С-Битрикс, но владельцы сайтов пренебрегли обновлением. Игнорирование обновлений компонентов сайта и серверного ПО - это очень серьёзная ошибка, за которую можно дорого заплатить!

Работайте с проверенными сайтами проверенных разработчиков. При разворачивании и обновлении пользуйтесь услугами специалистов. Ставьте модули только из проверенных источников. CMS 1С-Битрикс: Управление сайтом располагает всем необходимым, чтобы надежно защитить ваш сайт от взломов, утечки данных и других угроз, но только в вашей власти (или власти тех, кому вы доверили техподдержку сайта) мониторить риски, своевременно заботиться об обновлениях. Обновления - это лучшее  лекарство в таких ситуациях. Или, если  текущий шаблон технически устарел, не поддерживает обновления, нужен перенос ресурса на новый шаблон.