Добавить в корзинуПозвонить
Найти в Дзене
Сергей Малышев | Апельсин Код

Мы проверили 50 магазинов на Битрикс — вот что нашли в каждом втором

3
3 мин
За прошлый год мы провели технические аудиты для более чем 50 интернет-магазинов на 1С-Битрикс. Маленьких и больших, с каталогами от 500 до 40 000 позиций, с оборотами от 300 тысяч до 15 миллионов в месяц. И вот что мы обнаружили: в каждом магазине были проблемы, о которых владелец не знал. В каждом. Не в каждом втором. Не в 80%. В ста процентах. Минимум 3 скрытые проблемы. В среднем — 6. Из них 2–3 критические — такие, которые в любой момент могут превратиться в аварию. Больше половины магазинов работали на PHP 7.4 или ниже. Эта версия не получает обновлений безопасности с ноября 2022 года. Три с лишним года без патчей. Это как машина, которая не прошла техосмотр три года — и всё ещё ездит. Пока. Один из магазинов работал на PHP 7.1 — версии, которая устарела в 2019 году. Владелец не знал, что такое «версия PHP». И не должен знать — это задача администратора. Но администратора не было. После обновления PHP с 7.4 до 8.2 сайт ускорился на 25% — просто потому что новая версия PHP быстрее
Оглавление
Проверка сайта на ошибки
Проверка сайта на ошибки

За прошлый год мы провели технические аудиты для более чем 50 интернет-магазинов на 1С-Битрикс. Маленьких и больших, с каталогами от 500 до 40 000 позиций, с оборотами от 300 тысяч до 15 миллионов в месяц. И вот что мы обнаружили: в каждом магазине были проблемы, о которых владелец не знал. В каждом.

Не в каждом втором. Не в 80%. В ста процентах. Минимум 3 скрытые проблемы. В среднем — 6. Из них 2–3 критические — такие, которые в любой момент могут превратиться в аварию.

Находка №1: устаревший PHP (62% магазинов)

Больше половины магазинов работали на PHP 7.4 или ниже. Эта версия не получает обновлений безопасности с ноября 2022 года. Три с лишним года без патчей. Это как машина, которая не прошла техосмотр три года — и всё ещё ездит. Пока.

Один из магазинов работал на PHP 7.1 — версии, которая устарела в 2019 году. Владелец не знал, что такое «версия PHP». И не должен знать — это задача администратора. Но администратора не было.

После обновления PHP с 7.4 до 8.2 сайт ускорился на 25% — просто потому что новая версия PHP быстрее обрабатывает код. Бонус к безопасности — бесплатно.

Находка №2: бэкапы на том же сервере (54% магазинов)

Больше половины магазинов хранили резервные копии на том же физическом диске, что и сайт. Это не бэкап — это иллюзия бэкапа. Если диск выходит из строя — пропадает и сайт, и «бэкап».

В одном случае мы обнаружили, что автобэкап настроен, но последняя копия — четырёхмесячной давности. Скрипт бэкапа падал с ошибкой из-за нехватки места, но ошибку никто не видел. Владелец был уверен: «Бэкапы делаются каждый день.»

Проверка восстановимости — отдельная история. Из 50 магазинов только 4 когда-либо проверяли, что бэкап действительно восстанавливается. Остальные 46 — на веру.

Находка №3: проактивный фильтр отключён (44% магазинов)

Проактивный фильтр (WAF) — встроенная система защиты Битрикс. Она блокирует типовые атаки: SQL-инъекции, XSS, попытки перебора паролей. В 44% магазинов она была выключена.

Причина одна и та же: «Фильтр блокировал что-то у разработчика, и его выключили, чтобы не мешал.» Выключили — и забыли включить обратно. На полгода. На год. На два.

Это как снять дверной замок, потому что ключ иногда заедает. Логично? Нет. Но именно так поступают с проактивной защитой.

Технический аудит сайта интернет-магазина
Технический аудит сайта интернет-магазина

Находка №4: мониторинг отсутствует (78% магазинов)

Почти восемь из десяти магазинов не имели никакого мониторинга. О том, что сайт упал, владелец узнавал от покупателей. Или от менеджеров. Или случайно — зайдя на сайт через несколько часов после падения.

Среднее время обнаружения проблемы без мониторинга — 4–8 часов. С мониторингом — 5 минут. Разница в часах простоя: при дневной выручке 50 000 рублей — это 10 000–30 000 рублей потерь, которых могло не быть.

Настройка базового мониторинга (UptimeRobot или аналог) занимает 10 минут и стоит 0 рублей. Но 78% магазинов этого не сделали.

Находка №5: скорость загрузки выше 4 секунд (48% магазинов)

Почти каждый второй магазин грузился дольше 4 секунд. Самый медленный — 11,2 секунды (каталог 8 000 товаров на виртуальном хостинге за 500 рублей, кэш отключён, картинки не сжаты).

Причины повторялись от магазина к магазину: выключенный композитный кэш (включение = ускорение в 2–3 раза), необработанные изображения (сжатие = минус 60% веса страницы), MySQL на настройках по умолчанию (тюнинг буферов = минус 30% времени запросов).

После оптимизации типичный результат: с 5–7 секунд до 1,5–2 секунд. Конверсия — плюс 15–25% в первый месяц.

Находка №6: подозрительные файлы на сервере (18% магазинов)

В каждом пятом магазине мы нашли PHP-файлы, которые не относились ни к Битрикс, ни к установленным модулям. В 9% случаев — подтверждённые бэкдоры (файлы для удалённого доступа злоумышленника). Самому старому бэкдору было 2 года. Два года кто-то имел полный доступ к серверу.

Контроль целостности файлов — встроенный инструмент Битрикс. Он сравнивает текущие файлы с эталоном и показывает изменения. Был включён только в 12% магазинов.

Проверка сайта на технические ошибки
Проверка сайта на технические ошибки

Что с этим делать

Если вы узнали свой магазин хотя бы в двух из шести находок — стоит провести аудит. Не «когда-нибудь», а сейчас. Проблемы не рассасываются — они копятся. PHP не обновится сам. Бэкдор не удалится сам. Бэкапы не починятся сами.

Аудит — это не страшно и не дорого. За 24 часа можно получить полную картину: что критично, что важно, что может подождать. И дальше решать: делать самому, нанимать разового специалиста или подключать абонентку.

Мы проводим аудит серверов бесплатно — за 24 часа. Без обязательств, с конкретным отчётом. Вы видите нашу экспертизу на деле. Мы видим реальное состояние вашего сервера.

→ support.orangecode.ru