Когда бизнес переносит продажи, закупки и клиентское взаимодействие в онлайн, на первый план выходит вопрос безопасности: кто будет иметь доступ к данным, как они защищены и что произойдет в случае атаки.
За последние месяцы участились случаи взломов корпоративных сайтов и интернет-магазинов, в том числе на базе 1С-Битрикс.
Это вызвало волну обеспокоенности среди владельцев бизнесов: можно ли по-прежнему доверять платформе и готовым решениям? Нас всё чаще спрашивают напрямую — насколько защищены продукты Сотбит и как они справляются с современными угрозами.
Эта статья — наш честный и открытый ответ. Мы расскажем, как устроена архитектура безопасности в наших решениях, какие риски нейтрализуются на уровне платформы 1С-Битрикс и какие дополнительные меры мы реализуем, чтобы обеспечить защиту данных, процессов и доступа.
Кто мы и что разрабатываем
Сотбит — один из ведущих разработчиков решений на 1С-Битрикс. Мы не просто делаем сайты — мы строим полноценные цифровые платформы для автоматизации бизнеса. И в каждой из них безопасность реализована не «по остаточному принципу», а как системный подход. Ключевые наши решения:
-
Сотбит: B2B — платформа для автоматизации оптовых продаж с личным кабинетом контрагента.
-
Сотбит: Маркетплейс — решение для запуска собственного маркетплейса с множеством продавцов.
-
Сотбит: Розница — готовый интернет-магазин с SEO-инструментами и умный поиском.
Помимо этого, все наши решения включены в реестр отечественного ПО и аккредитованы Минцифры РФ, что подтверждает их соответствие требованиям по безопасности.
Защита на уровне платформы: что даёт 1С-Битрикс
Мы используем все доступные встроенные механизмы безопасности «1С-Битрикс, на котором построены наши решения. Вот ключевые из них:
-
Шифрование данных. Вся передача и хранение данных — под защитой. Битрикс использует SSL и HTTPS для создания защищенных соединений между браузером пользователя и сервером. Это исключает риск перехвата данных при входе в админку, работе в личных кабинетах или передаче заказов.
-
Проактивная защита (WAF). Система включает встроенный Web Application Firewall, который в реальном времени анализирует запросы к сайту и блокирует подозрительную активность. Он эффективно защищает от SQL-инъекций, XSS-атак, CSRF, загрузки вредоносных скриптов и внедрения вредоносного кода.
-
Двухфакторная аутентификация (2FA). Для доступа к админке и личным кабинетам можно включить двухэтапную авторизацию — с использованием одноразового кода из мобильного приложения. Администраторы могут настроить 2FA как обязательную меру для всех пользователей или отдельных групп.
-
Гибкое разграничение прав. Bitrix позволяет точно настраивать доступ к разделам, модулям, инфоблокам и элементам. Права можно ограничить по времени, IP-адресу, роли, группе или даже отдельным действиям. Это особенно важно для крупных команд, где важно разграничить зоны ответственности.
-
Защита административной панели. Система администрирования имеет собственные механизмы безопасности: ограничение доступа по IP, использование CAPTCHA при входе, автоматическая блокировка при множестве неудачных попыток авторизации, логирование всех действий администратора.
-
Сканер безопасности. Bitrix предоставляет встроенный инструмент для аудита, который позволяет быстро выявить уязвимости и потенциальные риски: ошибки в правах доступа, проблемы в настройках PHP и сервера, вредоносный код и подозрительные файлы.
-
Обновления. Регулярные обновления системы и модулей позволяют закрывать уязвимости еще до того, как они будут использованы злоумышленниками. Система уведомляет о новых версиях и позволяет обновляться в пару кликов.
-
Журнал событий. Все действия в системе фиксируются: от авторизаций до изменений в структуре сайта. Это обеспечивает прозрачность, помогает при разборе инцидентов и служит дополнительной точкой контроля.
-
Резервное копирование. Bitrix поддерживает настройку регулярного резервного копирования базы данных и файлов сайта. Это позволяет восстановить систему даже после критических сбоев или атак.
Как мы усиливаем безопасность в решениях Сотбит
Мы придерживаемся строгих внутренних регламентов, где безопасность не рассматривается как «дополнение», а является обязательным стандартом.
Подход к разработке:
-
Фильтрация и валидация всех входных данных;
-
Использование подготовленных SQL-запросов для исключения инъекций;
-
Защита файлов и директорий через .htaccess;
-
Контроль зависимостей и их проверка через composer audit;
-
Работа с JSON только с валидацией по схеме;
-
Защита на уровне приложения (дополнительный Web Application Firewall);
-
Отказ от устаревших и небезопасных практик сериализации и авторизации.
Что исключено на уровне кода:
-
SQL-инъекции и командные инъекции;
-
XSS (межсайтовые скрипты);
-
CSRF (подделка межсайтовых запросов);
-
Небезопасная десериализация;
-
SSRF (подделка серверных запросов);
-
LFI и RFI (локальное или удаленное внедрение файлов);
-
Небезопасное хранение паролей;
-
Ошибки в системе контроля доступа.
Резюме
Безопасность — это не отдельный этап, а сквозной процесс, который мы закладываем в каждое решение: от архитектуры до пользовательского интерфейса. Платформа 1С-Битрикс предоставляет мощные инструменты защиты, а наши внутренние регламенты усиливают их за счет дополнительной фильтрации, аудита и контроля доступа.
Важно понимать: даже самая надежная система требует регулярных обновлений и тонкой настройки безопасности. Именно это обеспечивает устойчивость к новым угрозам и исключает уязвимости на практике.
Решения Сотбит — это не просто автоматизация. Это безопасная, проверенная временем платформа для вашего бизнеса.
