Технический аудит — это «медосмотр» для интернет-магазина. Он показывает, что работает нормально, что вот-вот сломается, и что уже тихо ломается прямо сейчас. Большинство владельцев магазинов на Битрикс никогда не проводили аудит — и узнают о проблемах только тогда, когда они становятся аварией. Разбираем, что проверять, как интерпретировать результаты и когда пора звать специалиста.
Зачем магазину технический аудит
Интернет-магазин — это не просто сайт. Это система из десятков компонентов: CMS, база данных, веб-сервер, PHP, SSL-сертификат, кэширование, обмен с 1С, платёжные модули, модули доставки. Каждый из них может деградировать постепенно, незаметно для владельца.
Сайт загружается 5 секунд вместо 2 — но вы привыкли. Бэкапы не делаются третий месяц — но вы не проверяли. PHP устарел и не получает патчей безопасности — но сайт же работает. Пока однажды утром не перестаёт.
Аудит нужен не когда что-то сломалось — а чтобы не сломалось. Это разница между экстренной хирургией и ежегодным чекапом. Чекап дешевле, приятнее и спасает жизни. Аудит интернет-магазина работает по тому же принципу: выявляем скрытые проблемы до того, как они превратились в аварию с конкретными потерями в рублях.
Три ситуации, когда аудит обязателен. Первая: вы запустили магазин больше года назад и ни разу не проверяли техническое состояние. За год накапливается достаточно проблем, чтобы одна из них стала критической. Вторая: вы сменили подрядчика (разработчика, хостера, администратора) — нужно понять, в каком состоянии вам передали инфраструктуру. Третья: магазин стал работать медленнее, но непонятно почему — аудит найдёт конкретную причину вместо гадания.
Что проверяют при аудите: 7 блоков
Блок 1. Производительность
Скорость загрузки — первое, что чувствует покупатель. Если страница грузится дольше 3 секунд, 40% посетителей уходят, не дождавшись. Для интернет-магазина, где каждый посетитель — потенциальный покупатель, это прямые потери.
Что проверяем: время загрузки главной, каталога и карточки товара (через Google PageSpeed и Яндекс.Вебмастер), время ответа сервера (TTFB — Time To First Byte, норма до 200 мс), работу кэширования (включён ли управляемый кэш Битрикс, композитное кэширование), нагрузку на базу данных (количество и скорость SQL-запросов на страницу).
Типичные находки: отключённый кэш (ускорение после включения — в 3–5 раз), неоптимизированные изображения (занимают 80% веса страницы), тяжёлые SQL-запросы от сторонних модулей.
Блок 2. Безопасность
Взлом — это не вопрос «если», а вопрос «когда», если магазин не защищён. Аудит показывает, насколько магазин готов к атаке.
Что проверяем: версию Битрикс (есть ли непатченные уязвимости), версию PHP (7.4 и ниже — критическая дыра, не получает обновлений безопасности), настройки проактивного фильтра (WAF), наличие двухфакторной аутентификации для администраторов, доступность админки из интернета (идеально — только по IP), контроль целостности файлов (включён ли), наличие подозрительных файлов (бэкдоры, веб-шеллы).
Типичные находки: Битрикс не обновлялся 8–14 месяцев (есть 3–5 непатченных уязвимостей), пароль админки — admin123, проактивный фильтр отключён «потому что мешал».
Блок 3. Резервное копирование
Бэкап — это последняя линия обороны. Если всё остальное не помогло — бэкап спасает данные. Но только если он существует, актуален и рабочий.
Что проверяем: настроены ли автоматические бэкапы, где они хранятся (на том же сервере — не считается), как часто создаются (ежедневно — минимум), включена ли база данных в бэкап (часто забывают), когда последний раз проверяли восстановление (никогда — типичный ответ).
Типичные находки: бэкап настроен, но хранится на том же диске. Или настроен, но не включает базу данных. Или настроен полгода назад и с тех пор не проверялся — и оказывается повреждённым.
Блок 4. Обмен с 1С
Если магазин интегрирован с 1С — обмен данными требует отдельной проверки. Это одно из самых хрупких мест в инфраструктуре.
Что проверяем: статус последнего обмена (успешен или с ошибкой), частоту и расписание обмена, размер файлов обмена и настройки пошагового обмена, свободное место в папке /upload/1c_exchange/, совместимость версий модулей обмена Битрикс и 1С.
Типичные находки: обмен «падает» 2–3 раза в неделю, но владелец узнаёт об этом от покупателей. Папка с временными файлами обмена занимает 8 гигабайт и никто её не чистит.
Блок 5. SSL и безопасность соединений
SSL-сертификат — не только «замочек» в браузере. Это обязательное условие для приёма платежей, для доверия Яндекса и для защиты данных покупателей.
Что проверяем: срок действия SSL-сертификата (не истёк ли, когда истекает), настроено ли автопродление, правильность цепочки сертификатов (mixed content — когда часть ресурсов загружается по HTTP), редирект с HTTP на HTTPS (все страницы должны отдавать HTTPS).
Типичные находки: сертификат истекает через 2 недели, автопродление не настроено. Или: 30% картинок загружаются по HTTP, браузер показывает «Частично защищено».
Блок 6. Серверная инфраструктура
Даже если CMS работает идеально — проблемы сервера могут убить производительность и стабильность.
Что проверяем: тип хостинга (виртуальный, VDS, выделенный — что подходит для нагрузки магазина), ресурсы (CPU, RAM, диск — достаточно ли, есть ли запас), версии серверного ПО (nginx, MySQL/MariaDB, PHP — актуальные ли), настройки PHP (лимиты памяти, времени выполнения, OPcache), настройки MySQL (размер буфера, кэширование запросов), мониторинг (есть ли, что отслеживается).
Типичные находки: магазин с 10 000 товарами работает на виртуальном хостинге за 500 рублей. MySQL не настроен — используются параметры по умолчанию. OPcache отключён.
Блок 7. Пользовательский опыт и конверсия
Технические проблемы напрямую влияют на конверсию. Этот блок — на стыке техники и бизнеса.
Что проверяем: работает ли корзина без ошибок (добавление, удаление, пересчёт), проходят ли тестовые заказы от начала до конца, работают ли платёжные модули, работает ли поиск по каталогу, корректно ли отображается мобильная версия, есть ли ошибки в консоли браузера (JavaScript-ошибки).
Типичные находки: кнопка «Купить» не работает на 3 из 10 карточках товаров (JavaScript-ошибка от стороннего модуля). Или: мобильная версия отображает цены в одну строку без пробелов — «19500руб» вместо «19 500 ₽».
Как провести базовую проверку самостоятельно
Вот 10 пунктов, которые можно проверить прямо сейчас, без специалиста и без доступа к серверу.
Пункт 1: откройте сайт на телефоне. Всё читаемо? Кнопки нажимаются? Корзина работает?
Пункт 2: замерьте скорость на PageSpeed Insights (pagespeed.web.dev). Оценка ниже 50 для мобильной версии — повод для беспокойства.
Пункт 3: проверьте SSL. Кликните на «замочек» в адресной строке. Когда истекает сертификат? Через полгода — нормально. Через 2 недели — пора действовать.
Пункт 4: попробуйте оформить тестовый заказ. Пройдите весь путь — от каталога до подтверждения. Есть ли ошибки?
Пункт 5: откройте админку Битрикс → Настройки → Обновления. Есть красная плашка «Доступны обновления»? Сколько обновлений пропущено?
Пункт 6: проверьте панель Яндекс.Вебмастера. Есть ли предупреждения о безопасности или ошибки сканирования?
Пункт 7: откройте журнал обмена с 1С (если интеграция есть). Последний обмен — успешный или с ошибкой?
Пункт 8: спросите хостера или администратора: когда был последний бэкап? Где он хранится? Проверяли ли восстановление?
Пункт 9: попробуйте зайти в админку по адресу /bitrix/admin/ — если открывается без ограничений из любого места — это уязвимость.
Пункт 10: проверьте, какой пароль от админки. Если admin/admin или название компании — смените немедленно.
Если из 10 пунктов вы обнаружили проблемы в 3 и более — это сигнал: магазину нужно внимание. Не паникуйте, но и не откладывайте: каждая незакрытая проблема увеличивает вероятность инцидента.
По нашему опыту, средний магазин на Битрикс, который ни разу не проходил аудит, имеет 5–8 проблем из 10. Из них 2–3 — критические. Владелец обычно знает об одной из них («да, сайт тормозит») и не подозревает об остальных.
Хотите полную картину? Мы проверяем все 7 блоков за 24 часа — бесплатно. Отчёт с приоритетами: что исправить первым.
Что делать с результатами
Аудит — это диагноз, а не лечение. После аудита у вас будет список проблем. Ключевой вопрос: в каком порядке их решать?
Мы используем трёхуровневую приоритизацию.
Красные (критические) — решать немедленно, в течение 1–3 дней. Сюда попадают: устаревший PHP без патчей безопасности, отсутствие бэкапов, обнаруженные бэкдоры или вредоносный код, неработающая корзина или оплата.
Жёлтые (важные) — решать в течение 2 недель. Необновлённый Битрикс (есть уязвимости, но не критические), медленная загрузка (5+ секунд), отсутствие мониторинга, проблемы с SSL.
Зелёные (рекомендации) — запланировать на ближайший месяц. Оптимизация изображений, тонкая настройка MySQL, включение композитного кэша, улучшение мобильной версии.
Пример из практики: магазин бытовой техники прошёл аудит. Нашли 12 проблем. Три красные: PHP 7.2 (конец жизни два года назад), бэкапы не делались 4 месяца, обнаружен подозрительный PHP-файл в корне сайта. Пять жёлтых: Битрикс не обновлялся 11 месяцев, скорость загрузки 6.8 секунд, обмен с 1С «падает» раз в неделю, SSL истекает через 3 недели, мониторинг отсутствует. Четыре зелёные: неоптимизированные картинки, MySQL на настройках по умолчанию, OPcache отключён, mixed content на странице оплаты.
Начали с красных. Через два дня: PHP обновлён до 8.2, бэкапы настроены на внешнее хранилище, подозрительный файл удалён и сервер просканирован целиком. Через неделю закрыли жёлтые. Через месяц — зелёные. Результат: скорость загрузки упала с 6.8 до 1.9 секунд, конверсия выросла на 22% за следующий месяц.
Когда самостоятельной проверки недостаточно
10 пунктов из раздела выше покрывают примерно 30% полного аудита — видимую часть айсберга. Остальные 70% требуют доступа к серверу: настройки PHP, MySQL, nginx, анализ логов, проверка прав доступа к файлам, поиск вредоносного кода, оценка производительности базы данных.
Вот признаки того, что пора привлекать специалиста. Сайт тормозит, но причина непонятна — вы уже проверили картинки и кэш, а скорость всё равно низкая. Были подозрительные инциденты — необъяснимые ошибки, рост нагрузки, жалобы покупателей на «странное поведение» сайта. Сменился подрядчик — новый разработчик или хостер, и нужно понять состояние «наследства». Готовитесь к высокому сезону — распродажа, праздники, рекламная кампания — и хотите убедиться, что сервер выдержит нагрузку.
Профессиональный аудит занимает 4–8 часов работы специалиста. Результат — документ с полным перечнем находок, приоритетами и рекомендациями. Не абстрактные «улучшите производительность», а конкретные: «увеличить innodb_buffer_pool_size с 128M до 1G — ускорит запросы к каталогу на 40%».
Важный нюанс: аудит должен делать специалист, который разбирается именно в вашей CMS. Аудит «универсального» сисадмина покажет общее состояние сервера, но пропустит специфику Битрикс: настройки проактивной защиты, кэширование компонентов, работу агентов, обмен с 1С. Ищите тех, кто специализируется на 1С-Битрикс и серверном администрировании одновременно.
Ещё один момент: аудит — это не разовая акция. Техническое состояние магазина меняется постоянно: обновляются модули, растёт каталог, увеличивается трафик, появляются новые уязвимости. Аудит, проведённый полгода назад, уже частично устарел. Оптимальный подход — регулярный мониторинг (который проверяет ключевые параметры ежедневно) плюс полный аудит раз в год.
Частые вопросы
Как часто нужно проводить технический аудит?
Полный аудит — минимум раз в год. Если магазин активно развивается (новые модули, рост трафика, обновления CMS) — раз в 6 месяцев. Базовую проверку по 10 пунктам можно делать самостоятельно раз в месяц.
Сколько стоит профессиональный аудит?
На рынке — от 10 000 до 50 000 рублей в зависимости от глубины и объёма магазина. Мы проводим базовый аудит (7 блоков, отчёт с приоритетами) бесплатно — как точку входа для знакомства с клиентом.
Может ли аудит сломать что-то на сайте?
Нет. Аудит — это проверка, а не изменение. Мы ничего не меняем в настройках, не обновляем модули, не трогаем код. Только читаем, измеряем и документируем. Изменения — отдельный этап, после согласования.
Что нужно предоставить для аудита?
Для базового аудита: доступ к админке Битрикс (логин, пароль) и SSH-доступ к серверу. Для расширенного — ещё доступ к панели управления хостингом. Все доступы используются только для аудита и не сохраняются после завершения.
Чем технический аудит отличается от SEO-аудита?
SEO-аудит проверяет, как сайт виден поисковикам: мета-теги, структура URL, заголовки, микроразметка. Технический аудит проверяет инфраструктуру: скорость, безопасность, стабильность, бэкапы. Они дополняют друг друга, но решают разные задачи. Быстрый и безопасный сайт — фундамент для SEO. Без технической базы никакая поисковая оптимизация не даст результата: если сайт грузится 8 секунд и периодически падает, никакие мета-теги не помогут.
Бесплатный аудит от Апельсин Код
Мы проверяем все 7 блоков за 24 часа. Бесплатно, без обязательств. Вы получаете PDF-отчёт с конкретными находками и приоритетами: что критично, что важно, что можно отложить.
Почему бесплатно? Потому что аудит — лучший способ познакомиться. Вы видите нашу экспертизу на деле. Мы видим реальное состояние вашего сервера. Если после аудита решите, что вам нужна постоянная поддержка — обсудим. Если нет — у вас останется отчёт с инструкцией, что делать.
Три шага: оставьте заявку, мы свяжемся в течение часа, через 24 часа отчёт у вас на почте.
За прошлый год мы провели аудиты для более 50 магазинов на Битрикс. В каждом нашли минимум 3 проблемы, о которых владелец не знал. В 40% случаев — критические уязвимости, которые могли привести к взлому или потере данных. Лучше узнать об этом из нашего отчёта, чем от покупателей.
→ Заказать бесплатный аудит: support.orangecode.ru