Налаштування Cloudflare WAF для 1С-Бітрікс

Наша компанія займається розробкою, підтримкою та обслуговуванням рішень на Бітрікс та Бітрікс24 будь-якої складності. Від простих односторінкових сайтів до складних інтернет-магазинів, CRM систем з інтеграцією 1С та телефонії. Досвід розробників підтверджено сертифікатами від вендора.
8+Років на ринку900+Реалізованих проектів100+Розробників у штаті19+Партнерів
Пропоновані послуги
Показано 1 з 1 послугУсі 1626 послуг
Налаштування Cloudflare WAF для 1С-Бітрікс
Проста
~1 робочий день
Часті питання

Наші компетенції:

Етапи розробки

Останні роботи

  • image_website-b2b-advance_0.png
    Розробка сайту компанії B2B ADVANCE
    1262
  • image_bitrix-bitrix-24-1c_fixper_448_0.png
    Розробка веб-сайту для компанії ФІКСПЕР
    851
  • image_bitrix-bitrix-24-1c_development_of_an_online_appointment_booking_widget_for_a_medical_center_594_0.webp
    Розробка на базі Бітрікс, Бітрікс24, 1С для компанії Development of an Online
    585
  • image_bitrix-bitrix-24-1c_mirsanbel_458_0.webp
    Розробка на базі 1С Підприємство для компанії МИРСАНБЕЛ
    751
  • image_crm_dolbimby_434_0.webp
    Розробка сайту на CRM Бітрікс24 для компанії DOLBIMBY
    657
  • image_crm_technotorgcomplex_453_0.webp
    Розробка на базі Бітрікс24 для компанії ТЕХНОТОРГКОМПЛЕКС
    989
Показати більше робіт

Налаштування Cloudflare WAF для 1С-Бітрікс

Інтернет-магазин на Бітрікс отримує кілька тисяч запитів до /bitrix/admin/ на добу від ботів, які перебирають паролі. Одночасно — DDoS на сторінку пошуку, що генерує навантаження на базу даних. Вбудований WAF Бітрікс (модуль security) справляється з частиною загроз, але спрацьовує вже після того, як запит дійшов до PHP. Cloudflare WAF фільтрує трафік до вашого сервера.

Делегування домену на Cloudflare

DNS домену делегується на NS-сервери Cloudflare. Після цього весь трафік проходить через Cloudflare перед потраплянням на сервер. У DNS-записах для A/AAAA/CNAME має бути встановлено режим «Proxied» (помаранчева хмара) — інакше WAF не працює.

Реальний IP сервера Cloudflare передає в заголовку CF-Connecting-IP. Бітрікс має логувати реальний IP, а не IP Cloudflare. У /bitrix/.settings.php або nginx.conf:

# Встановлюємо реальний IP із заголовка CF-Connecting-IP
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;
set_real_ip_from 104.16.0.0/13;
# ... інші діапазони Cloudflare
real_ip_header CF-Connecting-IP;

Актуальний список IP-діапазонів Cloudflare: https://www.cloudflare.com/ips-v4/.

Managed Rules (готові набори правил)

У панелі Cloudflare → Security → WAF → Managed Rules вмикаємо:

  • Cloudflare Managed Ruleset — базовий набір правил проти SQLi, XSS, Path Traversal
  • Cloudflare OWASP Core Ruleset — OWASP ModSecurity Core Rule Set

Для 1С-Бітрікс необхідно налаштувати виключення — Бітрікс генерує запити, що можуть помилково спрацьовувати на правила XSS та SQLi:

Правило виключення для admin-панелі:

  • Expression: http.request.uri.path contains "/bitrix/admin/"
  • Action: Skip → Cloudflare Managed Ruleset

Правило виключення для API обміну з 1С:

  • Expression: http.request.uri.path contains "/bitrix/1c_exchange.php"
  • Action: Skip або знизити sensitivity

Правило виключення для завантаження файлів:

  • Expression: http.request.uri.path contains "/bitrix/tools/upload.php"
  • Action: Skip

Custom Rules для специфіки Бітрікс

Блокування брутфорсу на admin:

(http.request.uri.path eq "/bitrix/admin/index.php"
 and http.request.method eq "POST"
 and not ip.src in {151.101.0.0/16 104.16.0.0/13})

Action: Rate Limiting — не більше 5 POST на хвилину з одного IP. При перевищенні — Challenge (JS challenge або CAPTCHA).

Блокування сканерів вразливостей:

(http.request.uri.path contains "/bitrix/admin/"
 and not cf.client.bot_score gt 30
 and http.user_agent contains "sqlmap")
or
(http.request.uri.path contains "wp-admin")
or
(http.request.uri.path contains ".env")

Action: Block із кодом 403.

Захист сторінки входу від ботів:

(http.request.uri.path eq "/login/"
 and http.request.method eq "POST"
 and cf.threat_score gt 10)

Action: Managed Challenge.

Bot Management

У Cloudflare → Security → Bots:

  • Bot Fight Mode — базовий захист, безкоштовно
  • Super Bot Fight Mode (Pro план) — блокує відомих шкідливих ботів, дозволяє пошукові боти

Для Бітрікс-магазину важливо: дозволити Яндекс.Бот та GoogleBot. Cloudflare за замовчуванням їх не блокує, але варто перевірити в Bot Analytics, чи не потрапили вони під помилкові спрацювання.

Page Rules і Cache Rules для admin

Admin-панель Бітрікс не повинна кешуватися на Cloudflare:

URL: example.com/bitrix/admin/*
Cache Level: Bypass

Аналогічно для особистого кабінету, кошика, оформлення замовлення — будь-які сторінки з персональними даними.

Rate Limiting для сторінок пошуку і фільтра

Сторінки пошуку (/search/) і фасетного фільтра (/catalog/?PAGEN_1=...) — часті цілі DDoS на рівні застосунку. Rate Limiting:

Expression: http.request.uri.path eq "/search/" and http.request.method eq "GET"
Rate: 30 requests per minute per IP
Action: Block for 1 hour

Для фільтра каталогу: обмеження за кількістю параметрів ? у URL.

Моніторинг і налаштування

Після вмикання правил — 24–48 годин моніторингу в режимі «Log» (без блокування). Cloudflare показує, які правила спрацьовують і на які легітимні запити. Тільки після аналізу — переводимо в «Block» або «Challenge».

Склад робіт

  • Делегування DNS на Cloudflare, налаштування реального IP на сервері
  • Увімкнення Managed Rules із виключеннями для Бітрікс
  • Custom Rules: брутфорс admin, сканери, сторінка входу
  • Rate Limiting для пошуку і фільтра каталогу
  • Bot Management, виключення для пошукових ботів
  • Моніторинг помилкових спрацювань, фінальне налаштування

Терміни: 3–5 днів базове налаштування. 1–2 тижні з періодом моніторингу та фінальним калібруванням правил.

1С Бітрікс презентація1С Бітрікс24 презентація1С Підприємство презентація