AWAFAWAF

1С-Битрикс

Для 1С-Битрикс предпочтительно подключать AWAF через .htaccess auto_prepend_file, если Apache/PHP это поддерживают. Так защита стартует перед каждым PHP-запросом в зоне действия настройки, а не только в одном entry point.

Предпочтительный способ

На Apache с mod_php и разрешённым php_value добавьте директиву в .htaccess корня Bitrix-сайта. Используйте абсолютный путь к каталогу AWAF.

php_value auto_prepend_file "<путь_до_каталога>/antibot/index.php"

Почему это важно для Bitrix

auto_prepend_file загружает AWAF перед выполнением каждого PHP-файла в области действия .htaccess: публичного index.php, /bitrix/admin/, AJAX-обработчиков, legacy-скриптов, обменов и прямых PHP endpoint-ов.

Это надёжнее, чем include только в одном шаблоне или фронтовом index.php, потому что часть административных, служебных и старых PHP-файлов может обходить обычный публичный маршрут.

Если php_value недоступен

На PHP-FPM/CGI/Nginx используйте .user.ini с auto_prepend_file, настройку vhost/pool или эквивалент в панели хостинга. Если таких вариантов нет, добавьте require_once в раннюю общую точку входа, обычно index.php, до HTML-вывода и тяжёлой логики CMS.

Fallback через entry point менее универсален, поэтому отдельно проверьте /bitrix/admin/, AJAX, компоненты форм, обмены, cron, служебные URL и прямые PHP endpoint-ы.

Проверка

  • Сделайте бэкап проекта и config.ini AWAF.
  • Разместите AWAF в /antibot/ и проверьте /antibot/ в браузере.
  • Проверьте публичные страницы, /bitrix/admin/, авторизацию, AJAX, формы, оплату, обмены, cron и sitemap/XML.
  • Если капча мешает обменам, AJAX, API, оплатам или админке, добавляйте точные whitelist_url/captcha_uri правила после анализа RayID.