Как защитить сайт на 1С-Битрикс от спам-регистраций ботов
Достаточно частой проблемой является автоматическая регистрация ботов на сайтах битрикс. Как правило они регистрируются с логином, который начинается с bitrixsupport_
Либо могут содержать в именах ссылки типа https://blahblah.blogspot.tw/, подстроки вида RUB GAZPROM, RUB TINKOFF и прочее.
Как правило, такие регистрации используются ботами для следующих целей:- Размещение скрытого SEO-спама — в профилях пользователей, комментариях, формах обратной связи, личных сообщениях или других пользовательских полях могут размещаться ссылки на сторонние ресурсы.
- Подготовка к дальнейшим атакам — наличие зарегистрированного пользователя иногда позволяет обойти часть ограничений сайта и использовать функционал, недоступный гостям.
- Рассылка спама — при наличии форм отправки сообщений, отзывов или внутренних уведомлений боты могут использовать аккаунты для массовой рассылки.
- Нагрузка на сайт и базу данных — массовая регистрация тысяч пользователей увеличивает объём БД, замедляет админку и может привести к сбоям резервного копирования.
- Проверка уязвимостей — автоматическая регистрация часто является первым этапом сканирования сайта на наличие уязвимостей в модулях и кастомном коде.
Именно поэтому даже на сайтах, где регистрация пользователей фактически не используется, важно понимать, как устроен механизм регистрации в 1С-Битрикс, и заранее принимать меры защиты.
При этом отсутствие формы регистрации в публичной части сайта не означает, что регистрация на нём невозможна. На практике боты продолжают успешно создавать учетные записи.
Это связано с тем, что в ядре 1С-Битрикс присутствуют служебные страницы с дефолтной формой регистрации, которые могут быть доступны из публичной части сайта. Ниже приведены примеры таких страниц:
- /auth/?register=yes
- /crm/?register=yes
- /auth/oauth2/?register=yes
- /bitrix/wizards/bitrix/demo/public_files/ru/auth/index.php?register=yes
- /bitrix/wizards/bitrix/demo/public_files/en/auth/index.php?register=yes
- /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/custom-registration/index.php
- /bitrix/wizards/bitrix/demo/modules/examples/public/language/en/examples/custom-registration/index.php
- /bitrix/wizards/bitrix/demo/modules/examples/public/language/ru/examples/my-components/news_list.php?register=yes
- /bitrix/wizards/bitrix/demo/modules/examples/public/language/en/examples/my-components/news_list.php?register=yes
- /bitrix/wizards/bitrix/demo/modules/subscribe/public/personal/subscribe/subscr_edit.php?register=yes
- /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/public/ru/personal/profile/index.php?register=yes
- /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/public/en/personal/profile/index.php?register=yes
- /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/public/ru/board/my/index.php?register=yes
- /bitrix/modules/bitrix.siteinfoportal/install/wizards/bitrix/infoportal/site/public/en/board/my/index.php?register=yes
- /bitrix/wizards/bitrix/demo/indexes/ru/cancel/?register=yes
- /bitrix/wizards/bitrix/demo/indexes/en/cancel/?register=yes
Проверьте наличие этих страниц на вашем сайте. Если они доступны из публичной части, рекомендуется закрыть их от общего доступа.
Однако важно понимать, что одного этого шага недостаточно для полной защиты от спам-регистраций. В 1С-Битрикс механизм регистрации реализован на уровне главного модуля, поэтому злоумышленник может отправить POST-запрос с регистрационными данными на практически любую страницу сайта и тем самым инициировать автоматическую регистрацию пользователя.
Таким образом, защита от спам-регистраций требует не только закрытия служебных страниц, но и корректной настройки самого механизма регистрации в 1С-Битрикс. Ниже рассмотрим основные варианты решения.
В этом случае можно пойти простым путем и убрать галочку Позволять ли пользователям регистрироваться самостоятельно? в настройках.
Настройки > Настройки продукта > Настройки модулей > Главный модуль (вкладка Авторизация)
Тогда никакие новые регистрации не будут происходить на сайте.
Нужно включить Использовать CAPTCHA при регистрации в настройках главного модуля.
Подводя итог, защита сайта от спам-регистраций должна рассматриваться как часть общей системы безопасности проекта. Даже если регистрация используется редко или только для служебных целей, её корректная настройка и контроль позволяют избежать лишней нагрузки на сайт, проблем с безопасностью и негативных последствий для SEO.
