Нередко во время разработки решения на платформе Bitrix Framework разработчики и тестировщики создают тестовые учетные записи типа "test/123456" с административными правами, тестовые группы с высокими привилегиями. Создаются и тестовые страницы типа "test.php", выводящие, например, список сумм на лицевых счетах Покупателей, информацию о конфигурации системы и другую внутреннюю информацию. Иногда создаются страницы, при заходе на которые пользователь, без ввода пароля, становится администратором. Или разработчики для упрощения отладки в коде проекта вставляют инструкции, отправляющие им на личный email информацию и данные о работе и ошибках и т.п.

Очень важно удалить временные учетные записи со слабыми паролями и тестовые страницы перед вводом решения в эксплуатацию - чтобы ими не воспользовались злоумышленники.

1. Проверить отсутствие тестовых учетных записей и групп.
2. Проверить, чтобы у оставшихся "не тестовых" учетных записей были "сильные" пароли, длиной не менее 8 символов и состоящие из букв разного регистра, цифр и знаков препинания.
3. Проверить отсутствие тестовых страниц и файлов.