Чек-лист безопасности сайта на 1С-Битрикс: 15 шагов для проверки вашего сайта за 10 минут

Этот чек-лист создан для владельцев сайтов, интернет-магазинов и технических специалистов, которые хотят быстро оценить уровень безопасности своего сайта на 1С-Битрикс.

Пройдите по 15 пунктам. Если хотя бы 3 из них вызывают у вас сомнения или отмечены красным — ваш сайт находится в зоне риска.

Блок 1. Обновления (риск: взлом через известные уязвимости)

1. Версия ядра 1С-Битрикс

Что проверить: Актуальная ли версия ядра? Норма: Последняя стабильная версия (не ниже 24.х).

Как проверить: Админка → Marketplace → Обновления платформы.

Риск: Устаревшее ядро содержит публичные уязвимости.

Лайфхак: быстро посмотреть версию Битрикса можно на любой странице административной панели, внизу *

* отображается информация по версии главного модуля

Как понять актуальна ли моя версия? Посмотреть дату последнего обновления или сравнить с официальной историей версий 1С-Битрикс https://dev.1c-bitrix.ru/docs/versions.php 

2. Обновления модулей

Что проверить: Все ли установленные модули обновлены?

Норма: Нет модулей с доступными обновлениями безопасности.*

Как проверить: Админка → Marketplace → Обновление решений.

Риск: Модули от сторонних разработчиков — частая точка входа.

* Сторонние модули установленные из маркетплейса 1С-битрикс иногда перестают поддерживаться разработчиками, в таком случае для них не будет доступных обновлений, но это не значит, что все в порядке. Стоит обратить внимание на дату последнего обновления – если она старше 3-5 месяцев – высокая вероятность, что модуль больше не поддерживается и обновления для него не выпускаются. Необновляемый модуль может содержать уязвимости и блокировать обновление 1С-Битрикс из-за несовместимости версий. 

сторонние модули установленные из маркетплейса 1С-битрикс

Блок 2. Права доступа и файлы (риск: утечка данных, подмена файлов)

3. Права на файлы и папки

Что проверить: Корректные ли права установлены?

Норма: Папки – 755, файлы – 644.

Как проверить: Админка → Контент → Структура сайта → Файлы и папки

Риск: Избыточные права позволяют злоумышленнику записать вредоносный код.

Быстрый доступ: https://<ваш домен>/bitrix/admin/fileman_admin.php?lang=ru&path=%2F

права на файлы и папки

4. Доступ к /bitrix/

Что проверить: Есть ли авторизация для доступа к /bitrix/?

Норма: Доступ к папке /bitrix/ запрещён для всех, кроме авторизованных администраторов.

Как проверить: Попробуйте открыть site.ru/bitrix/ в браузере.

Риск: Публичный доступ к служебным скриптам.

5. Защита файла .htaccess

Что проверить: Защищён ли файл .htaccess от изменения?

Норма: Файл .htaccess не доступен для записи извне.

Как проверить: Права 644 или 444.  Админка → Контент → Структура сайта → Файлы и папки

Риск: Изменение правил редиректа, подмена конфигурации.

Блок 3. Настройки сервера и окружения (риск: перехват данных, DoS)

6. HTTPS

Что проверить: Работает ли сайт по HTTPS?

Норма: Весь сайт доступен по HTTPS, HSTS включён.

Как проверить: Посмотреть на замок в адресной строке.

Риск: Перехват паролей, сессий, данных заказов.

 работает ли сайт по HTTPS

7. Защита от брутфорса (модуль «Проактивная защита»)

Что проверить: Есть ли защита от подбора паролей?

Норма: Включён модуль «Проактивная защита» или подключен сервис (Cloudflare, DDoS-Guard, Qrator Labs).

Как проверить: Админка → Настройки → Проактивная защита.

Риск: Подбор пароля администратора, получение полного доступа к сайту.

модуль «Проактивная защита»

На что дополнительно обратить внимание:

• Ограничение доступа к административному разделу по IP
• Уровень безопасности административной группы (сложность паролей, время сессий и др.)

8. Версия PHP

Что проверить: Используется ли поддерживаемая версия PHP?

Норма: PHP 8.2 и выше.

Как проверить: Админка → Настройки → Производительность  → PHP

Риск: Устаревшие версии PHP больше не получают патчи безопасности.

Быстрый доступ: https://<ваш сайт>/bitrix/admin/perfmon_php.php?lang=ru

 версия PHP

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 13507 тендеров
проведено за восемь лет работы нашего сайта.

9. Версия MySQL

Что проверить: Используется ли поддерживаемая версия MySQL?

Норма: MySQL 8.0.Как проверить: Админка → Настройки → Производительность  → сервер БД

Риск: MySQL 5.7 официально снят с поддержки, новые уязвимости не закрываются, растет риск SQL-инъекции, обхода авторизации, утечки данных

Быстрый доступ: https://<ваш сайт>/bitrix/admin/perfmon_db_server.php?lang=ru

версия MySQL

10. Закрыты ли от внешнего доступа phpinfo(), тестовые скрипты

Что проверить: Нет ли публичных скриптов, раскрывающих информацию?

Норма: Файлы phpinfo.php, test.php и подобные отсутствуют или закрыты.

Как проверить: Админка → Контент → Структура сайта → Файлы и папки

Риск: Утечка информации о версиях, путях, переменных окружения.

Быстрый доступ: https://<ваш домен>/bitrix/admin/fileman_admin.php?lang=ru&path=%2F

Блок 4. Резервное копирование (риск: безвозвратная потеря данных)

11. Регулярность бэкапов

Что проверить: Как часто создаются бэкапы?

Норма: Ежедневно (файлы + база данных).

Как проверить: Проверить даты созданных бэкапов за последние две недели

Риск: При взломе или сбое вы потеряете все данные.

регулярность бэкапов

12. Хранение бэкапов отдельно от сервера

Что проверить: Где хранятся копии?

Норма: На отдельном сервере, облачном хранилище или внешнем диске.

Как проверить: Посмотреть настройки бэкапов.

Риск: При взломе сервера злоумышленник удалит и бэкапы.

13. Проверка восстановления

Что проверить: Когда в последний раз проверяли восстановление из бэкапа?

Норма: Не реже 1 раза в месяц.

Как проверить: Спросить у администратора.

Риск: Бэкап есть, но он битый или не восстанавливается.

Блок 5. Мониторинг и логи (риск: пропустить взлом или ошибку)

14. Мониторинг доступности и подозрительной активности

Что проверить: Настроен ли мониторинг доступности сайта, изменения ключевых файлов, анализ логов.

Норма: Есть система мониторинга, настроены оповещения.

Как проверить: Проверить настройки системы мониторинга.

Риск: Взлом могут не заметить неделями.

мониторинг доступности сайта

15. Логирование действий администраторов

Что проверить: Записываются ли действия в админке?

Норма: Включено логирование в модуле «Журнал событий».

Как проверить: Админка → Журнал событий.

Риск: Нельзя понять, кто и когда изменил настройки или внёс вредоносный код.

Результат

Количество «красных» пунктов:

0, Отлично. Поддерживайте текущий уровень

1-2, Внимание. Устраните уязвимости в ближайшее время

3-5, Высокий риск. Срочный аудит безопасности

6 и более, Критический риск. Остановить приём платежей, срочный аудит

Что делать дальше

Если вы обнаружили проблемы — не паникуйте. Большинство уязвимостей устраняются в течение 1–2 дней.

Наша команда помогает:

• Провести полный аудит безопасности (20+ параметров).
• Устранить найденные уязвимости.
• Настроить мониторинг и регулярные проверки.
• Внедрить системную поддержку, чтобы проблемы не возвращались.

Запишитесь на бесплатный аудит безопасности: hello@monoplan.team

Бонус:

Запустите сканер безопасности встроенный в 1С-Битрикс, чтобы увидеть дополнительные проблемы и способы их исправления:

https://<ваш сайт>/bitrix/admin/security_scanner.php?lang=ru 

сканер безопасности

Чек-лист составлен в MONOPLAN — ИТ-отдел как сервис. Системное развитие, интеграции, автоматизация, поддержка, отраслевые решения — для e‑commerce, B2B, культуры и образования.

Берём под контроль цифровые продукты: от интернет-магазинов до B2B-систем.