Взломали сайт на Битрикс? А вы обновили версию PHP, лицензию CMS и готового решения?

В последнее время многие взволнованы взломом сайтов на CMS 1C- Битрикс. Проблема коснулась тех, кто использует продукты 1С-Битрикс на PHP версии ниже 8.0, давно не обновлял лицензию CMS, лицензию готового решения

Если не продлевать лицензию, то и не обновляется и сама платформа. Ваш ресурс уязвимый.

Если владельцы не проводят обновление, невозможно обеспечить ресурсу безопасность и без рисков дополнять ресурс информацией. Сделать обновление чрезвычайно важно.

Увы, сайты 1С-Битрикс на версии PHP версиях 5.4 - 7.4.33 в Сети - ещё распространённое явление.

Что происходит при взломе чаще всего?

Рассмотрим взлом через призму пользователя и с технической точки зрения.

Взгляд пользователя

1. Ресурс полностью перестаёт открываться.

2. Максимально ограниченная работоспособность. Открывается только шаблон готового решения. При этом продолжает работать главная страница сайта и административная часть, не всегда полностью или главная не работает, но «админка» с натяжкой открывается.

2. Уязвимыми становятся некоторые модули. Например, перестают открываться новости, блоги, раздел с вакансиями. По сути пользователь видит на странице только название раздела, а контент в них не отображается.

Проблема! Сайт частично или полностью перестает работать, сейчас могут даже взломать без поломки сайта, но будет рассылаться куча спама, и сайт будет заблокирован хостингом.

Техническая сторона

Один из вариантов проблемы с технической стороны:

1. Затирается главный файл .htaccess и в код главной страницы index.php. Это как раз последствие того, что в начало хакером добавлялся вредоносный код. При попытке изменений .htaccess или index.php они мгновенно перезатираются.

2. Во всех заражённых директориях сайта создаются файлы .htaccess. Они запрещают доступ через браузер к директориям.

3. Создаются дополнительные файлы в директориях сайта с вредоносным кодом и рандомным названием.

4. Встраивается вредоносный код в ряд файлов.

Обратите внимание: файлы для взлома попадаю ИМЕННО через не обновленные модули CMS Битрикс.

Что важно сделать?

• Своевременно обновить лицензию CMS.
• Своевременно обновить лицензию готового решения.
• Обновить PHP до версии 8.0., а лучше 8.1 версии. Кстати, с 1 февраля, Битрикс вообще ограничил поддержку PHP версий, находящихся ниже 8.0.

Если не обновить готовое решение, то не получится обновить версию PHP. То есть все связано.

Уязвимости, если вы не обновляете лицензии

Прежде всего, страдает БЕЗОПАСНОСТЬ.

Но и это ещё не всё:

• Падает скорость, нарушается быстродействие сайта. Неприятно, но нужно признать, что без лицензии CMS сайт может работать медленнее.
• Без лицензии готового решения не будут доступны ВООБЩЕ обновления (и может пострадать не просто безопасность, а, например, функционал для e-commerce).
• Начинаются проблемы с оперативной технической поддержкой (и не при продленной лицензии CMS, и непродленной лицензии готового решения, например, «Аспро»). Если же есть активная лицензия готового решения «Аспро», она позволяет получать доступ к регулярным обновлениям и услугам техподдержки, лицензия продлевается на один год с момента активации.
• Ресурс может начать терять позиции в поиске.

При не обновлённой лицензии CMS блокируются возможности для развития ресурса, теряется доступ к облачным сервисам, а как следствие опять страдает безопасность и функциональность, в частности владелец ресурса отрежет от себя от следующих технических благ:

• Инспектор сайтов 1С-Битрикс, который с определенной периодичность проверяет работоспособность и доступность сайта, срок регистрации домена, срок истечения лицензии Битрикс, срок действия SSL сертификата. Особенно без Инспектора сайта сложно представить работу интернет-магазина.
• Облачный бэкап, сохраняющий данные в облако. Бесценно, когда нужно экономить на сервере и увеличивать уровень безопасности сохраненных резервных данных.
• CDN ускорение для загрузки статического контента (картинки, стили, скрипты) через сеть дистрибуции контента (Content Delivery Network или Content Distribution Network, CDN), а значит, через сервера, ближайшие к посетителю сайта. И это опять-таки все влияет на скорость загрузки. Причём речь идёт о изменении скорости в несколько раз

Конечно, это блага самого Битрикс, и пользователь сам волен выбирать, будет он прибегать к ним или выберет альтернативу.

Если вы не обновляете лицензию CMS, возникают и проблемы доступом в Маркетплейс– площадке, где вы можете найти готовые решения и модули от сторонних разработчиков для 1С-Битрикс. Да, текущие решения продолжат работу, но скачать что-то новое вы не сможете физически.

Помните, все нововведения своевременно внедряются в БУС (Битрикс Управление Сайтом), и ваша задача – просто своевременно обновлять лицензию.

Почему обновление важно доверить профессионалам?

При обновлении версии PHP для Битрикс не «порите» горячку. Что может произойти? Вот возможные сценарии:

Если в списке модулей возникнут пустые строки, то может возникнуть [Ux11] Ошибка описания модуля «название модуля» и придётся поработать с install/index.php.

Если возникнет ошибка работы со статическими методами придётся искать проблемный метод и дописывать слово static.

Если возникнет ошибка в функции count(), учитывайте: в php 8 функция count стала требовать строго типизированный параметр, и придётся делать "переопределение" функции, «пробегаться» по сторонним модулям.

Если возникнет проблема с функцией each(), то тоже не стоит удивляться. В версии PHP 8 удалена функция each. Придётся заниматься заменой функции.

К обновлениям готовы? Без них вам точно не обойтись. Это вопрос безопасности и функциональности!