Настройки безопасности

В разделе безопасности настраиваются доступ в панель управления, параметры сессии, SSL, защита сайта, блокировка IP-адресов, подтверждение телефона, пароли, смена владельца, удаление сайта и журнал действий.

Где находятся настройки безопасности

Откройте панель управления сайтом. Большинство параметров находится в верхнем меню Безопасность; настройки SSL находятся в меню Домены и SSL.

Основные пункты раздела Безопасность:

• Параметры безопасности — сессии, IP-привязка, ограничение входа в панель управления по IP.
• Защита сайта — IP-фильтр, контент-фильтр, фильтры User-Agent и Email, антиспам, антиклон.
• Пароли и телефон — подтверждение телефона, смена пароля, пароли FTP и PHP FTP.
• Смена владельца сайта — передача сайта другому пользователю uID.
• Удаление сайта — полное удаление сайта.
• Лог действий по сайту — история действий с контентом, настройками и безопасностью.

Отдельный пункт в меню Домены и SSL:

• SSL-сертификаты — сертификаты, HTTPS и перенаправление на защищённый протокол.

Параметры безопасности

В разделе Параметры безопасности настраиваются ограничения входа и параметры сессии администратора.

Максимальное количество одновременных входов в панель управления

Параметр позволяет работать в панели управления нескольким администраторам или из нескольких браузеров одновременно. Доступные значения — от 1 до 4. Если лимит превышен, первая активная сессия будет завершена.

Тайм-аут сессии

Если администратор не выполняет действий в панели управления в течение выбранного времени, сессия завершится. Для продолжения работы потребуется повторный вход. Доступные значения: 30 дней, 3 часа, 6 часов, 18 часов.

Cookies SameSite

Атрибут SameSite ограничивает работу cookie в стороннем контексте и помогает снизить риски, связанные со сторонними cookie. Для большинства сайтов безопаснее оставить текущее значение.

Уровень безопасности сессии по IP-адресу

Параметр определяет, насколько строго сессия администратора привязана к IP-адресу.

• Средний — фиксация сети класса C, подходит большинству пользователей.
• Низкий — фиксация сети класса B, полезно при частой смене IP.
• Отсутствует — без фиксации IP.
• Высокий — точная фиксация IP, подходит при статическом IP.

Вход в панель только с указанных IP-адресов и подсетей

В список можно добавить IP-адреса и подсети, с которых разрешён вход в панель управления. Подсети указываются в форматах вроде 100.101.102, 100.101.102.*, 100.101.102.0/24.

Настройка SSL и HTTPS

SSL-сертификаты управляются в разделе Домены и SSL → SSL-сертификаты.

В этом разделе можно проверить сертификаты доменов, открыть настройки SSL и подключить HTTPS для сайта.

• Подключить HTTPS — переводит сайт на защищённый протокол.
• Отключить автоматическое перенаправление на HTTPS — отключает редирект с HTTP на HTTPS.
• Запретить HTTP для подключаемых ресурсов — запрещает подключение ресурсов, доступных только по HTTP.

Перед включением HTTPS для собственного домена убедитесь, что для него выпущен SSL-сертификат. Подробнее: Зачем нужны SSL-сертификаты, как выпустить SSL-сертификат, как подключить SSL-сертификат.

Защита сайта и блокировки

Раздел Безопасность → Защита сайта состоит из нескольких вкладок. В них настраиваются ограничения по IP-адресам, запрещённым словам и ссылкам, User-Agent, email-адресам, жалобам на спам и защита от клонирования сайта.

IP-фильтр

IP-фильтр отключает пользователям с заблокированными IP возможность оставлять комментарии, отправлять сообщения, размещать материалы и выполнять другие действия на сайте.

1. Откройте Безопасность → Защита сайта.
2. Выберите вкладку IP-фильтр.
3. В поле Список IP-адресов укажите адреса или подсети, которые нужно заблокировать.
4. Каждый адрес или диапазон указывайте с новой строки.
5. Нажмите Сохранить.

В поле можно использовать одиночный IP-адрес, неполный диапазон или подсеть в формате CIDR. Примеры форматов показаны в подсказке поля: 192.168.0.77, 10.0.0., 10.0.0.0/24.

Контент-фильтр

Контент-фильтр проверяет пользовательские материалы и сообщения на запрещённые элементы: слова, домены, URL-адреса и регулярные выражения.

1. Откройте вкладку Контент-фильтр.
2. Включите проверку добавляемых материалов, если нужно проверять название, текст и поля материала.
3. Включите проверку сообщений на сайте, если нужно проверять комментарии, гостевую книгу, мини-чат и форум.
4. В поле Список запрещённых элементов добавьте слова, домены, ссылки или регулярные выражения.
5. Каждый элемент указывайте с новой строки.
6. Нажмите Сохранить.

Материал или сообщение не будет опубликовано, если содержит запрещённый элемент. В интерфейсе отображается лимит списка: использовано и осталось элементов.

Фильтр User-Agent

Фильтр User-Agent ограничивает доступ к сайту для определённых браузеров, роботов и парсеров по их идентификатору User-Agent.

1. Откройте вкладку Фильтр User-Agent.
2. В поле Список User-Agent или правил ограничения по шаблону добавьте строки User-Agent или регулярные выражения.
3. Каждое правило указывайте с новой строки.
4. Нажмите Сохранить.

Примеры из интерфейса: .*bot.* заблокирует User-Agent, содержащие bot, а curl/.* — запросы через curl. Максимальная длина одной строки — 255 символов.

Фильтр Email

Фильтр Email ограничивает доступ для пользователей по email-адресам или шаблонам email-адресов.

1. Откройте вкладку Фильтр Email.
2. В поле Список правил ограничения по шаблону email-адресов добавьте email или регулярные выражения.
3. Каждое правило указывайте с новой строки.
4. Нажмите Сохранить.

Можно заблокировать конкретный адрес, домен или группу адресов по шаблону. Например, шаблон вида .*@spamdomain\.com блокирует адреса на указанном домене.

Антиспам

Антиспам управляет действиями с сообщениями, на которые пользователи жалуются как на спам.

1. Откройте вкладку Антиспам.
2. В поле скрытия укажите количество жалоб, после которого сообщение будет скрыто.
3. В поле премодерации укажите количество жалоб, после которого сообщение будет отправлено на премодерацию.
4. Укажите 0, если нужно отключить соответствующее действие.
5. Нажмите Сохранить.

На странице также доступны списки сообщений, на которые пожаловались пользователи, сообщений, набравших заданное количество жалоб, и сообщений, которые администраторы отметили как «не-спам».

Антиклон

Антиклон помогает защитить сайт от автоматического скачивания контента и динамического клонирования через проксирование запросов на других доменах.

1. Откройте вкладку Антиклон.
2. В блоке Блокировка обращений с IP-адресов укажите IP-адреса, которым нужно полностью запретить обращение к сайту.
3. При необходимости измените HTML-страницу, которая будет показана заблокированным посетителям.
4. В блоке Блокировка определённых стран укажите двухбуквенные коды стран через запятую, например DE,US,UA,RU.
5. Оставьте включённым пропуск поисковых ботов из заблокированных стран, если сайту важна индексация.
6. Настройте перенаправление посетителей с чужих доменов, если нужно возвращать пользователей с клона на настоящий сайт.
7. Нажмите Сохранить.

В нижней части вкладки находится Топ IP-адресов. Для анализа подозрительной активности можно включить логирование IP-адресов, исключить из логов запросы к панели управления, администраторов или поисковых ботов, а также выбрать действие при превышении заданного количества запросов.

Подробнее о функции: Защита сайта от клонирования.

Топ IP-адресов и логирование

В блоке Топ IP-адресов отображаются адреса, чаще всего обращающиеся к сайту. Эти данные помогают анализировать подозрительную активность.

• Активировать логирование IP-адресов — включает сбор данных для анализа.
• Не логировать запросы к ПУ — исключает обращения к панели управления.
• Не логировать администраторов — исключает IP-адреса администраторов.
• Не логировать ботов поисковых систем — исключает поисковых роботов.

Перед блокировкой IP-адреса проверьте, действительно ли он создаёт проблему. Слишком жёсткая блокировка может затронуть обычных посетителей или поисковых роботов.

Подтверждение телефона и пароли

Раздел Безопасность → Пароли и телефон используется для подтверждения телефона и управления паролями.

Подтверждение телефона

Если номер телефона не был подтверждён при регистрации или создании сайта, подтвердите его в этом разделе. Инструкция: Подтверждение номера телефона.

Смена пароля аккаунта

В разделе паролей можно изменить пароль для входа в панель управления. Используйте сложный уникальный пароль и не передавайте его другим людям.

Способ авторизации

• Глобальный пароль — пароль администратора uID-аккаунта, который используется для сайтов аккаунта.
• Отдельный пароль — пароль только для конкретного сайта. Если он забыт, используйте восстановление через /admin/456.

Замена пароля FTP

FTP используется для загрузки большого количества файлов через FTP-клиенты. Для небольших загрузок используйте файловый менеджер. Для смены или создания FTP-пароля потребуется ответ на секретный вопрос.

Замена пароля PHP FTP

Пароль PHP FTP используется для доступа к серверу PHP. PHP-скрипты размещаются в папке /scripts, файлы должны иметь расширение .php. Для смены пароля потребуется ответ на секретный вопрос.

Смена владельца сайта

Раздел Безопасность → Смена владельца сайта используется для передачи сайта другому владельцу.

После смены новый владелец получит возможность изменить пароль для входа, а ответ на секретный вопрос в настройках сайта будет обновлён. Подробная инструкция: Смена владельца сайта.

Удаление сайта

Раздел Безопасность → Удаление сайта предназначен для полного удаления сайта.

Подробная инструкция: Удаление сайта.

Лог действий

Раздел Безопасность → Лог действий по сайту помогает понять, кто и когда выполнял действия, связанные с сайтом.

• Контент и настройки — действия с материалами, настройками, товарами, заказами и страницами.
• Безопасность — входы в панель управления и операции, связанные с безопасностью.
• Платёжные системы — операции платёжных систем, тарифов и автоплатежей.
• Импорт YML — события импорта товаров из YML-файлов.

Частые проблемы

Панель управления завершает сессию слишком быстро. Проверьте Тайм-аут сессии в параметрах безопасности.

Панель управления выбрасывает из-за изменения IP. Проверьте Уровень безопасности сессии по IP-адресу. При нестабильном IP используйте менее строгий режим.

Не получается войти после ограничения входа по IP. Проверьте, не изменился ли ваш IP-адрес. Если доступ потерян, потребуется обращение в техническую поддержку.

После включения HTTPS сайт работает некорректно. Проверьте наличие SSL-сертификата для домена и ресурсы, подключённые только по HTTP.