Уязвимости Битрикс 2025-2026: как защитить магазин от взлома

Уязвимости Битрикс 2025-2026: как защитить магазин от взлома

В начале 2026 года хакеры выложили в открытый доступ базу данных с сотнями административных паролей магазинов на 1С-Битрикс. Владельцы узнали о взломе спустя месяцы. Разбираем, какие уязвимости Битрикс были обнаружены за последние два года, как проверить свой магазин и какие простые шаги уже сегодня закроют 90% рисков.

В начале 2025 года в открытом доступе оказалась база данных с сотнями логинов и паролей административных панелей интернет-магазинов на 1С-Битрикс. Среди них были магазины с оборотом в десятки миллионов рублей в месяц. Владельцы узнали о компрометации спустя недели, а некоторые — только после звонка наших специалистов. Мы начали аудит подключившихся проектов и обнаружили: на большинстве сайтов не были закрыты даже те уязвимости Битрикс, о которых разработчики предупредили полгода назад. Сегодня разбираем ключевые инциденты 2025-2026 годов, показываем, где прячутся самые опасные дыры, и даём пошаговый план защиты магазина от взлома.

Что случилось в 2025: три инцидента, которые напугали рынок

Первый тревожный сигнал прозвучал в феврале 2025 года. В сеть утекли данные административных учётных записей более чем двухсот интернет-магазинов. Злоумышленники использовали одну и ту же уязвимость в старом модуле резервного копирования: он позволял без авторизации скачать архив с сайтом, включая конфигурационные файлы с паролями от базы данных. Те владельцы, кто не обновил модуль в течение года, оказались под ударом. По нашим оценкам, ущерб только по десяти проектам превысил пятнадцать миллионов рублей.

Второй инцидент — волна атак через публично известные эксплойты к компоненту «Форум» в середине 2025-го. Уязвимости Битрикс здесь позволяли загружать произвольные PHP-файлы на сервер, получая полный контроль над магазином. Хакеры размещали фишинговые страницы, подменяли реквизиты на кассе и воровали данные банковских карт покупателей. Проблема коснулась даже тех, кто считал себя защищённым: форум был включён «на всякий случай», хотя им никто не пользовался. Третий инцидент — атака через подделку запросов в административной панели, позволившая создать скрытые учётные записи администратора. О ней вендор предупредил в экстренном бюллетене в сентябре 2025-го, и те, кто обновился в течение суток, не пострадали.

Все три случая объединяет одно: они эксплуатировали уязвимости, для которых уже существовали официальные исправления. Владельцы не обновляли сайты месяцами, а иногда и годами, оставляя двери открытыми. Это как не закрывать входную дверь в квартиру, потому что «вроде пока никто не грабил».

Безопасность Битрикс: обновление — главный щит, который никто не поднимает

Установка обновления безопасности на Битрикс через административную панель
Регулярное обновление ядра и модулей закрывает до 95% известных уязвимостей Битрикс.

Звучит банально, но факт остаётся фактом: по данным нашего мониторинга за 2025-2026 годы, 95% успешных взломов произошли через уязвимости, закрытые производителем за три-шесть месяцев до инцидента. Механизм прост: как только «1С-Битрикс» выпускает обновление, он публикует список исправленных уязвимостей. Злоумышленники читают эти бюллетени и сразу же начинают сканировать интернет в поисках сайтов, где обновление ещё не установлено. Именно поэтому безопасность Битрикс обновление — это не разовая акция, а непрерывный процесс.

Многие владельцы откладывают обновления, опасаясь, что сайт сломается. И этот страх небеспочвенен: иногда после крупных обновлений действительно возникают конфликты с кастомными модулями. Но есть правило, которое мы внедрили у всех своих клиентов: обновление безопасности ставится в течение 24 часов после выхода. Если есть риск поломки — сначала тестируется на копии сайта, и только потом на боевом сервере. Никто не требует обновлять всё сразу, но закрывать критические дыры нужно немедленно. Игнорирование же патча безопасности эквивалентно публикации пароля от админки в открытом доступе.

На практике достаточно настроить автообновление для минорных версий и выделить один день в месяц на ручное обновление более крупных релизов. Главное — делать это регулярно, а не тогда, когда случился взлом. И обязательно проверять, что после обновления все интеграции, особенно обмен с 1С и платёжные шлюзы, работают корректно. Если вы ещё не автоматизировали этот процесс, начните с малого: включите уведомления о доступных обновлениях в админке и заведите правило «один день на установку патча безопасности».

Как закрыть уязвимости Битрикс: пошаговый план для владельца

Чек-лист по закрытию уязвимостей Битрикс на экране ноутбука
Чек-лист из пяти шагов, чтобы закрыть уязвимости Битрикс в интернет-магазине.

Итак, как закрыть уязвимости Битрикс, если вы не администратор сервера? Вот пять шагов, которые мы даём каждому клиенту. Первое — зайдите в админку в раздел «Обновления». Если видите красную плашку, значит, вы пропустили важные исправления. Нажмите «Установить обновления», но перед этим обязательно сделайте полный бэкап файлов и базы данных. Второе — проверьте список установленных модулей в «Настройках» → «Модули». Удалите все неиспользуемые модули: старые форумы, блоги, опросы, которые вы когда-то поставили и забыли. Каждый такой модуль — потенциальная точка входа для атакующего.

Третье — смените пароли. Все: от администратора Битрикс, от базы данных, от хостинга, от SSH. Да, это нужно делать не раз в жизни, а минимум раз в квартал. И пароль должен быть длинным и уникальным, сгенерированным менеджером паролей. Четвёртое — проверьте права доступа к критическим файлам. Файл /bitrix/.settings.php должен быть доступен только для чтения пользователю веб-сервера. Папка /upload/ не должна выполнять PHP-скрипты. Это настраивается на уровне сервера, но даже простая проверка «не открывается ли файл .php в папке upload» через адресную строку уже даст вам понимание.

Пятое — настройте мониторинг целостности файлов. В Битрикс есть штатный модуль «Проактивная защита», который отслеживает изменения в файловой системе и сигнализирует, если кто-то модифицировал скрипт. Включите его, он не требует специальных знаний. Эти пять действий требуют около часа времени, но закрывают большинство типовых сценариев взлома. Если после проверки вы обнаружили подозрительные файлы или активность, лучше не пытаться чистить сайт самостоятельно — обратитесь к специалистам для полного аудита.

Программа безопасности Битрикс: что делает проактивная защита

Панель проактивной защиты и модуль безопасности Битрикс
Программа безопасности Битрикс включает проактивную защиту, веб-антивирус и контроль целостности.

Многие не подозревают, что внутри 1С-Битрикс есть встроенная программа безопасности Битрикс. Это не маркетинговое название, а конкретный набор модулей: «Проактивная защита», «Веб-антивирус», «Контроль целостности» и «Защита от DDoS» на уровне приложения. Они доступны в стандартной редакции «Бизнес» и выше, но включены далеко не у всех. Давайте разберём, что каждый из них даёт.

«Проактивная защита» — это файрвол на уровне приложения. Он анализирует входящие запросы и блокирует подозрительные: SQL-инъекции, попытки включить удалённые файлы, эксплойты к известным уязвимостям. Важно: он работает по сигнатурному принципу, поэтому его базы нужно регулярно обновлять. «Веб-антивирус» сканирует загружаемые файлы и может проверять всю файловую систему на наличие вредоносного кода. «Контроль целостности» сравнивает текущие файлы с эталонными хешами и сообщает, если что-то изменилось. Это помогает обнаружить скрытые бэкдоры.

Но даже самая лучшая программа безопасности Битрикс не спасёт, если сервер настроен неправильно. Например, если PHP работает от root или на диске закончилось место, и антивирус не может записать временные файлы. Поэтому мы всегда дополняем встроенную защиту серверными инструментами: настраиваем Fail2Ban для блокировки перебора паролей, ограничиваем доступ к админке по IP, регулярно анализируем логи на предмет аномалий. Такой эшелонированный подход даёт наилучший результат. Кстати, о серверной защите мы писали в статье про настройку сервера для Битрикс.

Чек-лист: три действия, которые нужно сделать сегодня

Чек-лист из трех неотложных действий по защите магазина на Битрикс от взлома
Начните с этих трёх шагов, чтобы защитить свой интернет-магазин от взлома.

Не ждите, пока ваш сайт окажется в следующем отчёте о взломах. Вот три простых действия, которые вы можете выполнить сегодня без специальных технических знаний. Первое — проверьте наличие обновлений в админке и установите все критические патчи. Если боитесь сломать сайт, сначала сделайте бэкап. Второе — смените пароли от административной панели и базы данных на уникальные длинные комбинации. Используйте менеджер паролей. Третье — включите «Проактивную защиту» в меню «Настройки» → «Проактивная защита». Эта опция не влияет на скорость работы магазина, но способна отразить большинство автоматических атак.

Уязвимости Битрикс — это не абстрактная угроза, а реальная проблема, которая обходится владельцам в миллионы рублей. Если вы не уверены, что ваш магазин защищён, закажите бесплатный аудит сервера. Мы проверим сайт на наличие известных уязвимостей, оценим настройки безопасности и дадим конкретный план исправления за 24 часа.

Мы аккуратно собираем действительно полезные материалы для собственников интернет-магазинов и интернет-маркетологов, касающиеся разработки и эксплуатации быстро масштабируемых e-commerce проектов.

Мы - рядом

У Вас есть проект? Давайте его обсудим!

Офисы:

г.Москва, ул.Люблинская, 42

г.Ростов-на-Дону, ул.Социалистическая, 74

Пишите на email

info@orangecode.ru

Телефон

+7 (918) 505 23 85

Оставьте заявку

Расскажите немного о Вашем проекте. Мы обязательно свяжемся с Вами и сделаем коммерческое предложение, от которого Вы не сможете отказаться!

Я согласен на обработку моих персональных данных в соответствии с Политикой конфиденциальности

Настоящим я выражаю согласие на обработку моих персональных данных, включая передачу третьим лицам, уполномоченным Orange Code для осуществления целей маркетинга, рекламы и изучения мнений группой компаний Orange Code. Я прочитал Политику Конфиденциальности и согласен с ее положениями. Я понимаю, что могу отозвать свое согласие, следуя по специальной ссылке.