Yandex Metrika

Поиск по блогу

Найдите нужную статью о модулях 1С-Битрикс,
настройке и оптимизации

Теги: безопасность ×

Найдено результатов: 21 по тегам безопасность

NET::ERR_CERT_DATE_INVALID в Chrome на Windows 10: обновление корневых сертификатов

После снятия доверия со старого корня IdenTrust DST Root CA X3 цепочки Let’s Encrypt нуждаются в актуальном ISRG Root X1 в хранилище Windows. Обновляем доверенные корни через PowerShell с certutil и проверяем браузер без постоянного обхода предупреждений.

Безопасность «1С‑Битрикс»: сбор направлений от аудита админских сессий до политики загрузки файлов

Видимость и реальность границ доверия Стандартное ядро применяет многослойную проверку ввода, но кастомные приёмы сохранения бинарного контента в пользовательские поля иногда обходят белые списки расширений и разворачивают уязвимость уровень выше простого загрузочного аплоада без проверочного MIME. Охранная…

Административная панель «1С‑Битрикс»: типичные симптомы и линии расследования

Тематическая подборка про белый экран входа в кабинет, массовые операции над свойствами инфоблоков, рассылку персонализированной раскладки форм между пользователями, скрытие пунктов главного дерева админства и восстановление учётной записи при потере доступа.

Почему техподдержка сайта важна и как не путать вирус с типовой строкой Битрикс

Зачем договор о сопровождении Интернет‑магазин или корпоративный портал на «1С‑Битрикс» редко «живут» без доработок: обновления ядра, интеграции, ошибки после выкладки. Разово вызывать подрядчика на каждую нештатную ситуацию дорого; регулярное сопровождение даёт знакомство специалиста с проектом и более предсказуемые…

Провайдер подменяет скрипты по HTTP: почему важен HTTPS даже без оплаты

На чистом HTTP оператор может подсовывать редиректы на популярные URL скриптов (в том числе bitrix.info/ba.js или jQuery с CDN): вставка рекламы и затем загрузка настоящего файла. На HTTPS того же канала подмены обычно нет.

Сброс пароля root в MySQL/MariaDB (skip-grant-tables) для админа Битрикс

Зачем это понадобится На машине с 1С‑Битриксом пароль учётной записи БД нужен хотя бы для дампа (см. mysqldump ), миграции и восстановления. Если записи пароля из .settings.php и бэкапов нет или не подходит аккаунт с админ‑правами, остаётся стандартный путь восстановления через однопользовательский режим mysqld .…

Администрирование MySQL для проекта на Битрикс: пользователи, базы и оценка размера

После установки Bitrix‑ВМ или голого сервера с MySQL/MariaDB пригодятся базовые шаги: «закрыть» дефолтные дыры через mysql_secure_installation, посмотреть список логинов, развести доступ к боевым и тестовым схемам по префиксу, понимать риски учётной записи с host «%», выбрать utf8mb4 для новых баз и быстро узнать, какие каталоги съедают место.

Массив $_SERVER: заголовки, строка запроса и контекст PHP для бэкенда

Зачем PHP собирает суперглобальный $_SERVER: как из HTTP-полей получаются ключи HTTP_*, чем отличаются SCRIPT_NAME и PHP_SELF, как читать адрес клиента за балансировщиком и что в CLI нет «вебовых» переменных — кратко для разработчика 1С‑Битрикс.

Отдача файла на скачивание в PHP: заголовки, readfile и безопасный путь

Зачем отдельный скрипт В проекте на «1С‑Битрикс» часто нужно отдать счёт, выгрузку или вложение так, чтобы вкладка не открыла PDF «как страницу», а предложила сохранить файл. Для этого достаточно пары заголовков и потокового чтения с диска; важнее не ошибиться с путём и не превратить обработчик в «лазейку» по…

Защита сайта на Битрикс от взлома: сканер, типовые вредоносные приёмы в PHP и что проверять

Зачем это Битрикс-разработчику Сайт на «1С-Битрикс» — это PHP, файловая система, веб-сервер и база. Типовые векторы взлома те же, что и у любого приложения на PHP: загрузка или подмена скриптов, слабые пароли, устаревшие дополнения и ошибки в кастомном коде. Ниже — сжатая выжимка из подборки «Защита от взлома» с…

Провайдер подменяет скрипты по HTTP: реклама вместо счётчика Битрикс

На этапе вёрстки в консоли то и дело всплывали ошибки, похожие на сбой загрузки баннеров. Виновником оказался не плагин и не взлом CMS, а «дополнительная монетизация» трафика у оператора: подмена популярных JS по незашифрованному каналу.

Мультипаспорт в Битрикс: авторизация по ID пользователя только для локальной отладки

«Мультипаспорт» — страница, которая по числовому идентификатору сразу логинирует указанного пользователя. Оригинальный приём с параметром из GET безопасен только как временный локальный инструмент; ниже объясним риски и как обернуть вызов $USER→Authorize хотя бы минимальной защитой.

Уязвимости веб-приложений в проектах на Битрикс: SQL, XSS, CSRF и clickjacking

Типовые дыры в пользовательском коде поверх «1С-Битрикс»: конкатенация в SQL, вывод без экранирования, формы без проверки сессии и встраивание админки во фрейм. Как ядро снижает риск и что обязан закрывать разработчик.

Случайные числа и строки в Bitrix D7: Security\Random вместо RandString

Целое в диапазоне, текстовый токен фиксированной длины и строка по алфавиту через Bitrix\Main\Security\Random: зачем wrapper вокруг PHP, готовые маски символов и аналог RandString на произвольном наборе.

Битрикс, защита от фреймов и Яндекс Метрика: как не ломать Вебвизор

Если включена опция против встраивания во фрейм, Битрикс отдаёт жёсткий запрет браузеру и параллельно ломает Вебвизор и смежные отчёты Метрики. Ниже — как оставить защиту от clickjacking по умолчанию и временно ослаблять проверку только по рефереру из инфраструктуры Яндекса и с вашего собственного хоста.