Как восстановить пароль администратора
Несомненно, администратор сайта должен обладать хорошей памятью. Особенно если сайтов много. И для каждого сайта свой пароль. И занимается администратор сайтами не одновременно, а периодически.
Но в какой-то момент может оказаться так, что один из паролей все-таки будет подзабыт. В такой ситуации можно восстановить пароль администратора одним из нижеперечисленных способов.
Способ первый
- Пароль восстанавливается для пользователя с (т.к. это первый пользователь, зарегистрированный в системе, и в связи с этим обладающий правами администратора). Поэтому для начала вспомните, какой логин был у этого пользователя (по умолчанию устанавливается admin). Уточнить первого пользователя можно с помощью скрипта:
$rsUser = CUser::GetByID(1); $arUser = $rsUser->Fetch(); echo ""; print_r($arUser); echo "";
Update(1,array("PASSWORD"=>'Bitrix*123456')); echo $USER->LAST_ERROR; require($_SERVER['DOCUMENT_ROOT']."/bitrix/footer.php"); ?>Если доступ для неавторизованных пользователей закрыт, то перед процедурой восстановления пароля надо поправить файл .access.php в корне сайта, заменив:
$PERM["/"]["*"]="D";$PERM["/"]["*"]="R";Внимание! Обязательно удалите залитый файл со скриптом после восстановления пароля, а также верните все внесенные изменения!
Способ второй
- Cохраните следующий скрипт в php-файл c любым именем:
Authorize(1); require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/epilog_after.php"); ?>Внимание! Обязательно удалите залитый файл со скриптом после восстановления пароля!
Дополнительно
-
Как закрыть доступ к сайту другому администратору Иногда бывают такие ситуации, когда необходимо «вчерашнему» администратору сайта закрыть доступ к этому сайту (например, при смене подрядчика, создавшего и теперь сопровождающего Ваш сайт). Как же это сделать, ведь у него, как у администратора, есть все «адреса/пароли/явки»?
Bitrix Hub
Если у вас нет доступа к почте регистрационной и вы не можете восстановить пароль стандартными средствами, то можно выполнить его сброс имея только технический доступ к сайту. Рассмотрим это:
Вариант 1:
Создаем файл php с любым именем и кладем его в корень сайта, например, oqio902y82e.php
А лучше еще посложнее, чтобы кто-то случайно не открыл его набрав адрес браузере, так как он будет публично доступен, пока мы будем заниматься сбросом. В файл вставляем код:
Authorize(1); require($_SERVER["DOCUMENT_ROOT"]."/bitrix/modules/main/include/epilog_after.php"); ?>
После этого обращаемся к файлу через броузер.
Этот код авторизует любого, кто открыл этот файл – он появляется в системе как пользователь с Авторизация сохраняется пока жива сессия. И если пользователь с это – суперадминистратор, то вы получите права суперадминистратора, набрав в браузере адрес админ-панели сайта. Сразу как зайдете в админку — можете сменить пароль или выполнить необходимые действия, и разлогиниться закрыв браузер.
Сразу после сброса пароля – удалите файл, это дыра в безопасности!
Вариант 2:
Создаем тоже файл php и кладем его в корень сайта.
update(1,array("PASSWORD"=>'my_new_pass')); echo $USER->LAST_ERROR; require($_SERVER['DOCUMENT_ROOT']."/bitrix/footer.php"); ?>
Открываем этот файл в браузере один раз, и затем заходим в панель Bitrix как обычно, но указывая пароль, который мы указали в коде = my_new_pass. В этом скрипте так же подразумевается, что у суперадминистратора ID пользователя равен 1 и пароль для него мы меняем на my_new_pass.
Сразу после сброса пароля – удалите файл, это дыра в безопасности!
Плагин auth.as для 1C-Битрикс: Корпоративный портал Bitrix24
В этой инструкции мы рассмотрим процесс установки плагина от сервиса двухфакторной аутентификации auth.as для 1C-Битрикс: Корпоративный портал Bitrix24.
Описание плагина
Плагин добавляет второй фактор (временный пароль) в форму входа в корпоративный портал Bitrix24 и выглядит следующим образом (появилось новое поле «Одноразовый пароль»), которого нет в обычной форме входа:
Плагин взаимодействует с сервисом auth.as через публичный API. При работе используется функция check_code, которая принимает email пользователя, API ключ домена и одноразовый пароль. Плагин написан на PHP. Рассмотрим процесс установки и настройки плагина детально.
Установка плагина
Для установки модуля 1С-Битрикс AUTH.AS, необходимо скачать архив с файлами модуля, распаковать его в папку /bitrix/modules. В будущем, планируется истановка модуля из 1С-Битрикс:Маркетплейс.
Публичный репозиторий на Github: auth.as for Bitrix24 plugin
Инсталляция модуля осуществляется в административном интерфейсе на странице Настройки > Настройки продукта > Модули нажатием кнопки Установить.
Настройка плагина
После инсталляции плагина, на странице настроек модуля, необходимо указать «Адрес HTTP API» и «Ключ API» (получаются после подписки в сервисе), пользовательское свойство объекта «USER» типа «Да/Нет» (по-умолчанию при установке модуля создаётся пользовательское свойство UF_IS_CHECK_OTP), количество знаков в одноразовом пароле (по-умолчанию 6) и установить флаг «Включить модуль»:

В настройках модуля флаг «Включить модуль» позволяет включить/выключить использование одноразовых паролей на портале. Для включения использования одноразовых паролей для конкретного пользователя необходимо изменить значение его пользовательского поля UF_IS_CHECK_OTP на «Да»:

Для пользователей с включенным использованием одноразовых паролей имеется возможность увеличить время жизни сессии. Для этого нужно в настройках модуля указать необходимое значение в минутах «Время жизни сессии» (значение настройки php session.gc_maxlifetime не должно быть меньше указанного времени).
Сайт Auth.as использует «cookies» для обеспечения работоспособности и наилучшей функциональности. Находясь на этом сайте, Вы выражаете свое согласие с Политикой Конфиденциальности и Политикой Cookies.
Как восстановить пароль в битрикс корпоративный портал
Модуль «Проактивная защита» входит в систему «1С-Битрикс: Управление сайтом». Модуль реализует мощный комплекс защитных мероприятий для сайта и сторонних приложений.
Это целый ряд технических решений по обеспечению безопасности продукта и разработанных веб-приложений. Несколько уровней защиты от большинства известных атак на веб-приложения включает этот модуль. И каждый уровень серьезно повышает безопасность разработанных вами интернет-проектов.
Одной из первостепенных задач для владельцев веб-проектов является качественная и надежная защита от хакерских атак, взлома и кражи хранящейся на сайте информации.
Проактивная защита является существенным дополнением к стандартной политике безопасности продукта. Поэтому одноименный модуль включен во все редакции продукта «1С-Битрикс: Управления сайтом» (кроме Старта) и в продукт «1С-Битрикс: Корпоративный портал». Причем, что важно, и Проактивная защита, и Проактивный фильтр впервые в мире включены непосредственно в сам продукт!
Защита от DDoS

Компании «1С-Битрикс» и Qrator обеспечат непрерывность вашего бизнеса!
Уникальное совместное предложение для клиентов «1С-Битрикс» позволяет любому сайту с активной коммерческой лицензией получить защиту от DDoS до 10 дней бесплатно!
Веб-сайт любого масштаба — от небольшого регионального интернет-магазина до онлайн-представительства крупнейшей ритейлинговой сети — всегда должен быть доступен для посетителей. Ведь это и источник заказов, и канал коммуникации с клиентами, и «лицо» компании в Интернете, напрямую влияющее на ее имидж.
Одна из причин, по которым ваш сайт может перестать работать, — DDoS-атака (чаще всего — распределенная атака на ваш сайт с помощью большого числа «мусорных» запросов). Источники атак и ее технические реализации могут быть самыми разнообразными (целевая атака от конкурентов, автоматическая атака от ботнет-сети; большое количество HTTP-запросов, SYN-флуд атаки и т.д.)
Даже атака небольшой интенсивности потребует знаний грамотного технического специалиста для ее отражения. Справиться же с более серьезными атаками невозможно без специализированной защиты.
Проактивный фильтр (Web Application Firewall)
Проактивный фильтр (WAF — Web Application Firewal) обеспечивает защиту от большинства известных атак на веб-приложения. В потоке внешних запросов пользователей проактивный фильтр распознает большинство опасных угроз и блокирует вторжения на сайт. Проактивный фильтр – наиболее эффективный способ защиты от возможных ошибок безопасности, допущенных при реализации интернет-проекта (XSS, SQL Injection, PHP Including и ряда других). Действие фильтра основано на анализе и фильтрации всех данных, поступающих от пользователей через переменные и куки.

Включение проактивного фильтра
* Обратите внимание, что некоторые действия пользователей, не представляющие угрозы, тоже могут выглядеть подозрительно и вызывать ложное срабатывание фильтра.
- защита от большинства известных атак на веб-приложения;
- экранирование приложения от наиболее активно используемых атак;
- создание списка страниц-исключений из фильтрации (по маске);
- распознавание большинства опасных угроз;
- блокировка вторжений на сайт;
- защиты от возможных ошибок безопасности;
- фиксирование попыток атак в журнале;
- информирование администратора о случаях вторжения;
- настройка активной реакции — действий системы при попытке вторжения на сайт:
- сделать данные безопасными;
- очистить опасные данные;
- добавить IP адрес атакующего в стоп-лист на ХХ минут;
- занести попытку вторжения в журнал.
Аудит безопасности PHP-кода
Инструмент для аудита безопасности PHP-кода — удобный, точный и понятный инструмент для разработчика, который «подсказывает» узкие места в безопасности его кода. Инструмент позволяет не только предотвратить эксплуатацию уязвимости, но и устранить ее источник. Проверка показывает в отчете потенциальные уязвимости в коде и усиливает защиту сайта от взлома.


Инструмент для аудита PHP-кода Запустить автотетст Найти и опробовать этот инструмент можно в административной части сайта: Настройки -> Инструменты -> «Монитор качества» -> выбрать тест «Предприняты меры по обеспечению безопасности проекта на уровне веб-разработки» в разделе «Безопасность». Запустив тест, вы сможете просмотреть подробный отчет о его работе (при условии наличия найденных проблем).
Система проверки «Монитор качества» также работает в каталоге веб-приложений для сайтов и корпоративных порталов «1С-Битрикс: Маркетплейс» .
Веб-антивирус
Веб-антивирус встроен непосредственно в сам продукт — систему управления сайтами. Этот компонент защиты полностью соответствует общей концепции безопасности системы и в разы повышает защищенность и скорость реакции веб-приложения на веб-угрозы.
«Веб-антивирус» препятствует имплантированию вредоносного кода непосредственно в веб-приложения. И происходит это следующим образом. «Веб-антивирус» выявляет в HTML коде потенциально опасные участки и «вырезает» подозрительные объекты из кода сайта. В итоге вирусы не могут проникнуть на компьютер пользователя сайта — антивирус препятствует этому. И, что особо важно, «Веб-антивирус» уведомляет администратора портала — предупреждает о наличии заразы. Получая информацию об этом, администратор ищет источник зловредного кода, проводит «зачистку» компьютера и усиливает профилактические меры.
Панель безопасности с уровнями защищенности
Любой веб-проект, работающий под управлением «1С-Битрикс: Управление сайтом», обязательно имеет начальный уровень защиты. Однако с помощью модуля «Проактивная защита» можно значительно повысить защищенность собственного сайта. Нужно всего лишь выбрать и настроить один из уровней безопасности модуля: стандартный; высокий; повышенный. При этом система подскажет — выдаст рекомендации — какое действие необходимо установить для каждого параметра на выбранном текущем уровне.
- начальный уровень безопасности — получают проекты на базе Bitrix Framework без установленного модуля «Проактивная защита»;
- стандартный уровень – в проекте задействованы стандартные инструменты проактивной защиты продукта;
- проактивный фильтр (на весь сайт без исключений);
- ведется журнал вторжений за посление 7 дней;
- включен контроль активности;
- повышенный уровень безопасности для группы администраторов;
- использование CAPTCHA при регистрации;
- режим вывода ошибок (только ошибки).
- высокий уровень – рекомендованный уровень защиты, получают проекты, выполнившие требования стандартного уровня, и дополнительно включившие:
- журналирование событий главного модуля;
- защита административной части;
- хранение сессий в базе данных;
- смена идентификатора сессий.
- повышенный уровень – специальные средства защиты, обязательные для сайтов, содержащих конфиденциальную информацию пользователей, для интернет-магазинов, для тех, кто работает с критичной информацией.Дополнительно к высокому уровню:
- включение одноразовых паролей;
- контроль целостности скрипта контроля.
Безопасная авторизация без SSL
С помощью методики безопасной аутентификации пароли с формы авторизации ваших сотрудников невозможно взломать, поскольку они шифруются по алгоритму RSA с ключом 1024 бит и в таком виде передаются на корпоративный портал. При этом не важно, какие соединения и протоколы используют пользователи вашего портала.
- безопасная аутентификация с шифрованием пароля позволяет избежать передачи пароля в открытом виде без SSL;
- все инструменты, которые использовались ранее для авторизации, продолжат работать.
Журнал вторжений
- оперативная регистрация всех событий в системе;
- в случае срабатывания Проактивного фильтра запись в Журнале в одной из категорий атак:
- попытка внедрения SQL;
- попытка атаки через XSS;
- попытка внедрения PHP.
Одноразовые пароли
Модуль «Проактивная защита» позволяет включить поддержку одноразовых паролей и использовать их выборочно для любых пользователей на сайте.
Однако особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы».Система одноразовых паролей дополняет стандартную систему авторизации и позволяет значительно усилить систему безопасности интернет-проекта. Для включения системы необходимо использовать аппаратное устройство(например, Aladdin eToken PASS) или соответствующее программное обеспечение, реализующее OTP.
Что вам дает такая технология? Однозначную уверенность, что на сайте авторизуется именно тот пользователь, которому выдан брелок. При этом какое-то похищение и перехват паролей теряет всякий смысл, так как пароль одноразовый. Брелок же физический, дает уникальные одноразовые пароли и только при нажатии. А это значит, что владелец брелка не сможет передать пароль другому человеку, продолжая пользоваться входом на сайт.
- усиление системы безопасности интернет-проекта;
- использование аппаратных устройств;
- использование ПО, реализующего OTP;
- расширенная аутентификация с одноразовым паролем — при авторизации на сайте пользователь в дополнение к паролю дописывает одноразовый пароль;
- авторизация только с использованием имени (login) и составного пароля;
- заполнение при инициализации двух последовательно сгенерированных одноразовых паролей, полученных с устройства;
- восстановление синхронизации в случае нарушения синхронизации счетчика генерации в устройстве и на сервере.
Персональный генератор одноразовых паролей для сайта (OTP)
С помощью Bitrix OTP вы сможете самостоятельно включать или отключать использование на сайте системы одноразовых паролей для своей учетной записи. Это реализующее OTP программное обеспечение, разработанное компанией «1С-Битрикс», позволяет обойтись без покупки аппаратных устройств (например, Aladdin eToken PASS) или соответствующих программных аналогов.
Установить Bitrix OTP вы можете непосредственно с вашего сайта, работающего на «1С-Битрикс: Управление сайтом» 10.0 и выше. Для этого достаточно перейти в браузере мобильного устройства по адресу http:///bitrix/otp/ и следовать инструкциям на экране. Бесплатная установка Bitrix OTP также возможна из онлайн-магазина приложений.
Установите приложение от «1С-Битрикс» на ваш мобильный телефон и генерируйте одноразовые пароли для входа на сайт, поддерживающий авторизацию по OTP. Приложение поддерживает работу с несколькими сайтами одновременно.


Создание нового сайта Получение пароля Вы можете включить на мобильном сайте поддержку одноразовых паролей и использовать их выборочно для любых пользователей. Особо рекомендуется задействовать систему одноразовых паролей администраторам сайтов, поскольку это сильно повышает уровень безопасности пользовательской группы «Администраторы». Для этого достаточно создать в генераторе паролей новый сайт, поддерживающий авторизацию по ОТП, и потом каждый раз, при входе на этот сайт, получать для него одноразовый пароль. Генератор позволяет создать множество записей для таких сайтов, и нужный сайт вы сможете выбрать из списка.
Контроль целостности файлов
Контроль целостности файлов необходим для быстрого выяснения — вносились ли изменения в файлы системы. В любой момент вы можете проверить целостность ядра, системных областей, публичной части продукта.
Проверка целостности скрипта контроля
Перед проверкой целостности системы необходимо проверить скрипт контроля на наличие изменений. При первом запуске скрипта введите в форму произвольный пароль (состоящий из латинских букв и цифр, длиной не менее 10 символов), а также произвольное кодовое (ключевое) слово (отличное от пароля), и нажмите на кнопку «Установить новый ключ».
Защита административного раздела
Эта защита позволяет компаниям строго регламентировать сети, которые считаются безопасными и из которых разрешается сотрудникам администрировать сайт. Перед вами простой специальный интерфейс, в котором все это и делается — задается список или диапазоны IP адресов, из которых как раз и позволяется управление сайтом. Не бойтесь закрыть себе доступ в момент установки блокировки — этот момент проверяется системой.
Каков эффект от использования данной защиты? Любые XSS/CSS атаки на компьютер пользователя становятся неэффективными, а похищение перехваченных данных для авторизации с чужого компьютера — абсолютно бесполезным.
- ограничение доступа к административной части всех IP адресов, кроме указанных;
- автоматическое определение системой IP адреса пользователя;
- ручной ввод разрешенного IP адреса;
- установка диапазона IP адресов, с которых разрешен доступ к административной части.
Защита сессий
Большинство атак на веб-приложения ставят целью получить данные об авторизованной сессии пользователя. Включение защиты сессий делает похищение авторизованной сессии неэффективным. И, если речь идет об авторизованной сессии администратора, то ее надежная защита с помощью данного механизма является особо важной задачей. Какие инструменты использует этот защитный механизм? В дополнение к стандартным инструментам защиты сессий, которые устанавливаются в настройках группы, механизм защиты сессий включает специальные — и в некотором роде уникальные.
Хранение данных сессий в таблице модуля позволяет избежать чтения этих данных через скрипты других сайтов на том же сервере, исключив ошибки конфигурирования виртуального хостинга, ошибки настройки прав доступа во временных каталогах и ряд других проблем настройки операционной среды. Кроме того, это разгружает файловую систему, перенося нагрузку на сервер базы данных.
- защита сессий несколькими способами:
- время жизни сессии (минуты);
- смена идентификатора сессии раз в несколько минут;
- маска сети для привязки сессии к IP;
- хранение данных сессий в таблице модуля.
Контроль активности
Контроль активности позволяет установить защиту от чрезмерно активных пользователей, программных роботов, некоторых категорий DDoS-атак, а также отсекать попытки подбора паролей перебором. В настройках можно установить максимальную активность пользователей для вашего сайта (например, число запросов в секунду, которые может выполнить пользователь).
- защита от чрезмерно активных пользователей;
- защита от программных роботов;
- защита от некоторых категорий DDoS-атак;
- отсекание попыток подбора паролей перебором;
- установка максимальной активности пользователей для сайта (нормальной для человека);
- фиксирование превышения лимита активности пользователя в Журнале вторжений;
- блокирование пользователя, превысившего количество запросов в заданный временной интервал;
- вывод для заблокированного пользователя специальной информационной страницы.
Контроль активности пользователей ведется на основе средств модуля Веб-аналитика и, следовательно, доступен только в тех редакция продукта, в которые входит этот модуль.
Стоп лист
Стоп-лист — таблица, содержащая параметры, используемые для ограничения доступа посетителей к содержимому сайта и перенаправлению на другие страницы. Все пользователи, которые попытаются зайти на сайт с IP адресами, включенными в стоп-лист, будут блокированы.
- перенаправление посетителей, параметры которых содержатся в стоп-листе;
- блокировка пользователей по IP адресам из стоп-листа;
- ручное пополнение стоп-листа новыми записями;
- учет статистики пользователей, которым запрещен доступ к сайту ;
- установка периода действия запрета на доступ к сайту для пользователя, IP-сети, маску сети, UserAgent и ссылку, по которой пришел пользователь;
- изменяемое сообщение, которое будет показано пользователю при попытке доступа к сайту.
ООО «АВТОМАТИЗАЦИЯ»
компания была основана в 1999 году. Залог многолетнего динамичного развития компании – это стабильный и высокопрофессиональный коллектив. Качество услуг компании подтверждено сертификатами и статусам.
