Аудит безпеки сайту 1С-Бітрікс

Наша компанія займається розробкою, підтримкою та обслуговуванням рішень на Бітрікс та Бітрікс24 будь-якої складності. Від простих односторінкових сайтів до складних інтернет-магазинів, CRM систем з інтеграцією 1С та телефонії. Досвід розробників підтверджено сертифікатами від вендора.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів
Пропоновані послуги
Показано 1 з 1 послугУсі 1626 послуг
Аудит безпеки сайту 1С-Бітрікс
Проста
~2-3 робочих дні
Часті питання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_website-b2b-advance_0.png
    Розробка сайту компанії B2B ADVANCE
    1262
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Розробка веб-сайту для компанії ФІКСПЕР
    851
  • image_bitrix-bitrix-24-1c_development_of_an_online_appointment_booking_widget_for_a_medical_center_594_0.webp
    Розробка на базі Бітрікс, Бітрікс24, 1С для компанії Development of an Online
    585
  • image_bitrix-bitrix-24-1c_mirsanbel_458_0.webp
    Розробка на базі 1С Підприємство для компанії МИРСАНБЕЛ
    751
  • image_crm_dolbimby_434_0.webp
    Розробка сайту на CRM Бітрікс24 для компанії DOLBIMBY
    657
  • image_crm_technotorgcomplex_453_0.webp
    Розробка на базі Бітрікс24 для компанії ТЕХНОТОРГКОМПЛЕКС
    989
Показати більше робіт

Аудит безпеки сайту 1С-Бітрікс

Аудит безпеки — не сканування одним інструментом. Це послідовна перевірка конфігурації платформи, сервера, коду та прав доступу. Результат — не просто список вразливостей, а пріоритизований план усунення з оцінкою ризиків.

Що перевіряється в першу чергу

Версія ядра та модулівMarketplace → Оновлення. Застаріле ядро — джерело відомих CVE. Перевіряйте changelog на security-патчі. Критичні оновлення виходять поза розкладом.

Права на файли та директорії — типова проблема на shared-хостингу:

find /var/www/html -type f -name "*.php" -perm -o+w
find /var/www/html/upload -type f -name "*.php"

PHP-файли в /upload/ — вірна ознака зараження або неправильних прав.

Відкриті директорії/.git/, /bitrix/backup/, /bitrix/php_interface/ не повинні бути доступні ззовні. Перевіряйте через curl або браузер.

Перевірка коду та компонентів

Кастомні компоненти в /local/components/ та /local/templates/ — основний вектор для вразливостей. Перевіряйте:

  • Екранування виведення: htmlspecialchars(), \Bitrix\Main\Text\HtmlFilter::encode()
  • SQL-запити: лише через $DB->Query() з екрануванням або через D7 ORM
  • Завантаження файлів: перевірка MIME-типу через \CFile::CheckImageFile(), обмеження розширень
  • Використання $_REQUEST, $_GET, $_POST без валідації

Вбудований сканер Бітрікс: Безпека → Сканер безпеки. Перевіряє відомі паттерни зараження у файлах. Не замінює ручний аудит, але швидко виявляє типові ін'єкції.

Перевірка конфігурації сервера

  • display_errors = Off у PHP на продакшені
  • expose_php = Off — не розкривати версію PHP у заголовках
  • Заголовки безпеки: X-Content-Type-Options, X-Frame-Options, Content-Security-Policy
  • Відкриті порти крім 80/443 — перевірити nmap або через панель хостингу

Випадок із практики

Аудит інтернет-магазину після підозри на зараження. Сканер Бітрікс нічого не знайшов. Ручна перевірка find /var/www -name "*.php" -newer /var/www/html/bitrix/modules/main/classes/general/module.php виявила 12 файлів зі зміненими датами — у /upload/resize_cache/. Усі містили обфускований PHP-код із base64. Вектор зараження: вразливість у застарілому кастомному компоненті завантаження зображень без перевірки розширення.

Підсумок аудиту

Результат оформляється як звіт із розподілом за рівнями критичності: критичні (потребують негайного виправлення), високі (протягом тижня), середні та низькі. Для кожної позиції — конкретне технічне рішення.

Терміни виконання

Базовий аудит безпеки — від 1 до 2 робочих днів. Поглиблений з аналізом коду кастомних модулів — від 3 до 5 днів.

1С Бітрікс презентація1С Бітрікс24 презентація1С Підприємство презентація