Найдите нужную статью о модулях 1С-Битрикс,
настройке и оптимизации
Найдено результатов: 21 по тегам безопасность
После снятия доверия со старого корня IdenTrust DST Root CA X3 цепочки Let’s Encrypt нуждаются в актуальном ISRG Root X1 в хранилище Windows. Обновляем доверенные корни через PowerShell с certutil и проверяем браузер без постоянного обхода предупреждений.
Строгий транспорт настраивается на уровне веб-сервера и края сети а не файлом активной торговой темы магазина на платформе 1С‑Битрикс.
Домены ключевые политики смешение с композитом и понятное логирование ответа между клиентским и серверным слоем витрины.
Перед выкладкой сверьтесь что Apache читает AllowOverride нужного уровня на VM Bitrix или замените на nginx map.
Рубрика объединяет проверочные действия против XSS в пользовательских шаблонах, обновление сольных ключей авторизации между мультидоменной конфигурацией ограничения правил IP и сканеры уязвимостей приложений студии перед релизом.
Тематическая подборка про белый экран входа в кабинет, массовые операции над свойствами инфоблоков, рассылку персонализированной раскладки форм между пользователями, скрытие пунктов главного дерева админства и восстановление учётной записи при потере доступа.
Клиентские антивирусы могут ругаться на код чужого скриптов в режиме мультисайта; поддержка экономит время, а диагностика на сервере отделяет реальную угрозу от ложного срабатывания.
Быстрая смена через mysqladmin, плановая — ALTER USER в современных версиях, аварийный сброс — mysqld_safe --skip-grant-tables с последующим FLUSH PRIVILEGES.
На чистом HTTP оператор может подсовывать редиректы на популярные URL скриптов (в том числе bitrix.info/ba.js или jQuery с CDN): вставка рекламы и затем загрузка настоящего файла. На HTTPS того же канала подмены обычно нет.
Когда утерян пароль учётки с правами на базу сайта: аккуратная остановка mysqld, временный запуск без проверки привилегий, смена пароля под вашу ветку сервера и возврат обычного режима — с оговоркой про локальный доступ.
После установки Bitrix‑ВМ или голого сервера с MySQL/MariaDB пригодятся базовые шаги: «закрыть» дефолтные дыры через mysql_secure_installation, посмотреть список логинов, развести доступ к боевым и тестовым схемам по префиксу, понимать риски учётной записи с host «%», выбрать utf8mb4 для новых баз и быстро узнать, какие каталоги съедают место.
Зачем PHP собирает суперглобальный $_SERVER: как из HTTP-полей получаются ключи HTTP_*, чем отличаются SCRIPT_NAME и PHP_SELF, как читать адрес клиента за балансировщиком и что в CLI нет «вебовых» переменных — кратко для разработчика 1С‑Битрикс.
Как отдать бинарник браузеру без лишнего HTML в ответе: корректные заголовки, размер тела, readfile и почему нельзя собирать путь к файлу напрямую из query без проверки — с учётом типичных сценариев вокруг 1С‑Битрикс.
Сводка по материалам о защите PHP-проектов, переложенная на «1С-Битрикс»: неявный вызов кода во вредоносных скриптах, бесплатный сканер AI-Bolit по хостингу, инструменты проверки и осведомлённость про XSS. Где искать следы компрометации в дереве сайта.
На этапе вёрстки в консоли то и дело всплывали ошибки, похожие на сбой загрузки баннеров. Виновником оказался не плагин и не взлом CMS, а «дополнительная монетизация» трафика у оператора: подмена популярных JS по незашифрованному каналу.
«Мультипаспорт» — страница, которая по числовому идентификатору сразу логинирует указанного пользователя. Оригинальный приём с параметром из GET безопасен только как временный локальный инструмент; ниже объясним риски и как обернуть вызов $USER→Authorize хотя бы минимальной защитой.
Типовые дыры в пользовательском коде поверх «1С-Битрикс»: конкатенация в SQL, вывод без экранирования, формы без проверки сессии и встраивание админки во фрейм. Как ядро снижает риск и что обязан закрывать разработчик.
Целое в диапазоне, текстовый токен фиксированной длины и строка по алфавиту через Bitrix\Main\Security\Random: зачем wrapper вокруг PHP, готовые маски символов и аналог RandString на произвольном наборе.
Если включена опция против встраивания во фрейм, Битрикс отдаёт жёсткий запрет браузеру и параллельно ломает Вебвизор и смежные отчёты Метрики. Ниже — как оставить защиту от clickjacking по умолчанию и временно ослаблять проверку только по рефереру из инфраструктуры Яндекса и с вашего собственного хоста.
Добавлена поддержка Yandex SmartCaptcha