Безопасность решений Сотбит: подходы и методы защиты — советы в блоге
Автор: Сотбит
Когда бизнес переносит продажи, закупки и клиентское взаимодействие в онлайн, на первый план выходит вопрос безопасности: кто будет иметь доступ к данным, как они защищены и что произойдет в случае атаки.
За последние месяцы участились случаи взломов корпоративных сайтов и интернет-магазинов, в том числе на базе 1С-Битрикс.
Это вызвало волну обеспокоенности среди владельцев бизнесов: можно ли по-прежнему доверять платформе и готовым решениям? Нас всё чаще спрашивают напрямую — насколько защищены продукты Сотбит и как они справляются с современными угрозами.
Эта статья — наш честный и открытый ответ. Мы расскажем, как устроена архитектура безопасности в наших решениях, какие риски нейтрализуются на уровне платформы 1С-Битрикс и какие дополнительные меры мы реализуем, чтобы обеспечить защиту данных, процессов и доступа.
[spoiler]Кто мы и что разрабатываем
Сотбит — один из ведущих разработчиков решений на 1С-Битрикс. Мы не просто делаем сайты — мы строим полноценные цифровые платформы для автоматизации бизнеса. И в каждой из них безопасность реализована не «по остаточному принципу», а как системный подход. Ключевые наши решения:
Сотбит: B2B — платформа для автоматизации оптовых продаж с личным кабинетом контрагента.
Сотбит: Маркетплейс — решение для запуска собственного маркетплейса с множеством продавцов.
Сотбит: Розница — готовый интернет-магазин с SEO-инструментами и умный поиском.
Помимо этого, все наши решения включены в реестр отечественного ПО и аккредитованы Минцифры РФ, что подтверждает их соответствие требованиям по безопасности.
Защита на уровне платформы: что даёт 1С-БитриксМы используем все доступные встроенные механизмы безопасности «1С-Битрикс, на котором построены наши решения. Вот ключевые из них:
Шифрование данных. Вся передача и хранение данных — под защитой. Битрикс использует SSL и HTTPS для создания защищенных соединений между браузером пользователя и сервером. Это исключает риск перехвата данных при входе в админку, работе в личных кабинетах или передаче заказов.
Проактивная защита (WAF). Система включает встроенный Web Application Firewall, который в реальном времени анализирует запросы к сайту и блокирует подозрительную активность. Он эффективно защищает от SQL-инъекций, XSS-атак, CSRF, загрузки вредоносных скриптов и внедрения вредоносного кода.
Двухфакторная аутентификация (2FA). Для доступа к админке и личным кабинетам можно включить двухэтапную авторизацию — с использованием одноразового кода из мобильного приложения. Администраторы могут настроить 2FA как обязательную меру для всех пользователей или отдельных групп.
Гибкое разграничение прав. Bitrix позволяет точно настраивать доступ к разделам, модулям, инфоблокам и элементам. Права можно ограничить по времени, IP-адресу, роли, группе или даже отдельным действиям. Это особенно важно для крупных команд, где важно разграничить зоны ответственности.
Защита административной панели. Система администрирования имеет собственные механизмы безопасности: ограничение доступа по IP, использование CAPTCHA при входе, автоматическая блокировка при множестве неудачных попыток авторизации, логирование всех действий администратора.
Сканер безопасности. Bitrix предоставляет встроенный инструмент для аудита, который позволяет быстро выявить уязвимости и потенциальные риски: ошибки в правах доступа, проблемы в настройках PHP и сервера, вредоносный код и подозрительные файлы.
Обновления. Регулярные обновления системы и модулей позволяют закрывать уязвимости еще до того, как они будут использованы злоумышленниками. Система уведомляет о новых версиях и позволяет обновляться в пару кликов.
Журнал событий. Все действия в системе фиксируются: от авторизаций до изменений в структуре сайта. Это обеспечивает прозрачность, помогает при разборе инцидентов и служит дополнительной точкой контроля.
Резервное копирование. Bitrix поддерживает настройку регулярного резервного копирования базы данных и файлов сайта. Это позволяет восстановить систему даже после критических сбоев или атак.
Мы придерживаемся строгих внутренних регламентов, где безопасность не рассматривается как «дополнение», а является обязательным стандартом.
Подход к разработке:Фильтрация и валидация всех входных данных;
Использование подготовленных SQL-запросов для исключения инъекций;
Защита файлов и директорий через .htaccess;
Контроль зависимостей и их проверка через composer audit;
Работа с JSON только с валидацией по схеме;
Защита на уровне приложения (дополнительный Web Application Firewall);
Отказ от устаревших и небезопасных практик сериализации и авторизации.
SQL-инъекции и командные инъекции;
XSS (межсайтовые скрипты);
CSRF (подделка межсайтовых запросов);
Небезопасная десериализация;
SSRF (подделка серверных запросов);
LFI и RFI (локальное или удаленное внедрение файлов);
Небезопасное хранение паролей;
Ошибки в системе контроля доступа.
Безопасность — это не отдельный этап, а сквозной процесс, который мы закладываем в каждое решение: от архитектуры до пользовательского интерфейса. Платформа 1С-Битрикс предоставляет мощные инструменты защиты, а наши внутренние регламенты усиливают их за счет дополнительной фильтрации, аудита и контроля доступа.
Важно понимать: даже самая надежная система требует регулярных обновлений и тонкой настройки безопасности. Именно это обеспечивает устойчивость к новым угрозам и исключает уязвимости на практике.
Решения Сотбит — это не просто автоматизация. Это безопасная, проверенная временем платформа для вашего бизнеса.
Оригинальная статья.
|
