В последнее время многие взволнованы взломом сайтов на CMS 1C- Битрикс. Проблема коснулась тех, кто использует продукты 1С-Битрикс на PHP версии ниже 8.0, давно не обновлял лицензию CMS, лицензию готового решения
Если не продлевать лицензию, то и не обновляется и сама платформа. Ваш ресурс уязвимый.
Если владельцы не проводят обновление, невозможно обеспечить ресурсу безопасность и без рисков дополнять ресурс информацией. Сделать обновление чрезвычайно важно.
Увы, сайты 1С-Битрикс на версии PHP версиях 5.4 - 7.4.33 в Сети - ещё распространённое явление.
Что происходит при взломе чаще всего?
Рассмотрим взлом через призму пользователя и с технической точки зрения.
Взгляд пользователя
1. Ресурс полностью перестаёт открываться.
2. Максимально ограниченная работоспособность. Открывается только шаблон готового решения. При этом продолжает работать главная страница сайта и административная часть, не всегда полностью или главная не работает, но «админка» с натяжкой открывается.
2. Уязвимыми становятся некоторые модули. Например, перестают открываться новости, блоги, раздел с вакансиями. По сути пользователь видит на странице только название раздела, а контент в них не отображается.
Проблема! Сайт частично или полностью перестает работать, сейчас могут даже взломать без поломки сайта, но будет рассылаться куча спама, и сайт будет заблокирован хостингом.
Техническая сторона
Один из вариантов проблемы с технической стороны:
1. Затирается главный файл .htaccess и в код главной страницы index.php. Это как раз последствие того, что в начало хакером добавлялся вредоносный код. При попытке изменений .htaccess или index.php они мгновенно перезатираются.
2. Во всех заражённых директориях сайта создаются файлы .htaccess. Они запрещают доступ через браузер к директориям.
3. Создаются дополнительные файлы в директориях сайта с вредоносным кодом и рандомным названием.
4. Встраивается вредоносный код в ряд файлов.
Обратите внимание: файлы для взлома попадаю ИМЕННО через не обновленные модули CMS Битрикс.
Что важно сделать?
- Своевременно обновить лицензию CMS.
- Своевременно обновить лицензию готового решения.
- Обновить PHP до версии 8.0., а лучше 8.1 версии. Кстати, с 1 февраля, Битрикс вообще ограничил поддержку PHP версий, находящихся ниже 8.0.
Уязвимости, если вы не обновляете лицензии
Прежде всего, страдает БЕЗОПАСНОСТЬ.
Но и это ещё не всё:
- Падает скорость, нарушается быстродействие сайта. Неприятно, но нужно признать, что без лицензии CMS сайт может работать медленнее.
- Без лицензии готового решения не будут доступны ВООБЩЕ обновления (и может пострадать не просто безопасность, а, например, функционал для e-commerce).
- Начинаются проблемы с оперативной технической поддержкой (и не при продленной лицензии CMS, и непродленной лицензии готового решения, например, «Аспро»). Если же есть активная лицензия готового решения «Аспро», она позволяет получать доступ к регулярным обновлениям и услугам техподдержки, лицензия продлевается на один год с момента активации.
- Ресурс может начать терять позиции в поиске.
- Инспектор сайтов 1С-Битрикс, который с определенной периодичность проверяет работоспособность и доступность сайта, срок регистрации домена, срок истечения лицензии Битрикс, срок действия SSL сертификата. Особенно без Инспектора сайта сложно представить работу интернет-магазина.
- Облачный бэкап, сохраняющий данные в облако. Бесценно, когда нужно экономить на сервере и увеличивать уровень безопасности сохраненных резервных данных.
- CDN ускорение для загрузки статического контента (картинки, стили, скрипты) через сеть дистрибуции контента (Content Delivery Network или Content Distribution Network, CDN), а значит, через сервера, ближайшие к посетителю сайта. И это опять-таки все влияет на скорость загрузки. Причём речь идёт о изменении скорости в несколько раз
Если вы не обновляете лицензию CMS, возникают и проблемы доступом в Маркетплейс– площадке, где вы можете найти готовые решения и модули от сторонних разработчиков для 1С-Битрикс. Да, текущие решения продолжат работу, но скачать что-то новое вы не сможете физически.
Помните, все нововведения своевременно внедряются в БУС (Битрикс Управление Сайтом), и ваша задача – просто своевременно обновлять лицензию.
Почему обновление важно доверить профессионалам?
При обновлении версии PHP для Битрикс не «порите» горячку. Что может произойти? Вот возможные сценарии:
Если в списке модулей возникнут пустые строки, то может возникнуть [Ux11] Ошибка описания модуля «название модуля» и придётся поработать с install/index.php.
Если возникнет ошибка работы со статическими методами придётся искать проблемный метод и дописывать слово static.
Если возникнет ошибка в функции count(), учитывайте: в php 8 функция count стала требовать строго типизированный параметр, и придётся делать "переопределение" функции, «пробегаться» по сторонним модулям.
Если возникнет проблема с функцией each(), то тоже не стоит удивляться. В версии PHP 8 удалена функция each. Придётся заниматься заменой функции.
К обновлениям готовы? Без них вам точно не обойтись. Это вопрос безопасности и функциональности!