Эту историю рассказал нам Артём — владелец магазина туристического снаряжения. Мы попросили разрешения поделиться. Он согласился при условии, что не называем магазин. Называем просто: «тот самый случай».
Артём купил интернет-магазин на Битрикс три года назад. Уже готовый, с каталогом, с настроенным обменом с 1С, с дизайном. Разработчик сделал всё «под ключ» и пропал — как это обычно бывает.
Первые полгода всё шло хорошо. Потом в админке появилась жёлтая плашка: «Доступно обновление». Артём её видел, но трогать не решался. Логика понятная: работает — не трогай. К тому же однажды он слышал, как у знакомого «что-то сломалось после обновления». Так и откладывал.
Через год плашка стала красной.
Артём продолжал откладывать.
Что происходило всё это время
Ничего страшного, казалось бы. Сайт работал. Заказы шли. Обмен с 1С не сбоил.
Но параллельно происходило вот что.
Каждые несколько месяцев Битрикс выпускал патчи безопасности — закрывал уязвимости. На сайте Артёма эти патчи не стояли. Уязвимости копились.
В ноябре прошлого года, в разгар предновогодних продаж, магазин взломали. Тихо, без видимых следов на сайте. Злоумышленники получили доступ к базе данных покупателей — имена, email, телефоны, адреса доставки. И ещё три недели использовали сервер для рассылки спама.
Первый признак — жалоба от одного покупателя: «Мне звонят с незнакомого номера и знают, что именно я заказывал у вас в мае.»
Потом — предупреждение от хостера: сервер замечен в рассылке спама, IP попал в чёрные списки. Яндекс снял сайт из выдачи.
Артём потерял две недели продаж и около 150 тысяч рублей на восстановление. Плюс — репутационный ущерб, который не посчитаешь.
Откуда взялась уязвимость
Мы разобрали инцидент. Взлом произошёл через уязвимость в модуле загрузки файлов — через неё злоумышленники загрузили PHP-шелл.
Патч для этой уязвимости Битрикс выпустил 14 месяцев назад.
Четырнадцать месяцев уязвимость была закрытой для всех, кто обновился. И открытой — для тех, кто не обновился.
Почему многие всё равно откладывают
Это не история про невнимательность. Артём — нормальный предприниматель, который занят бизнесом, а не техническими деталями сайта.
Проблема в другом: никто ему не объяснил простую вещь. Обновление Битрикс — это не «нажать кнопку и молиться». Это процедура с подготовкой: бэкап, проверка совместимости, тест после обновления.
Если знать эту процедуру — риск минимален. Если не знать — риск есть и при обновлении, и без него. Только без него — он накапливается.
Что надо было сделать
Семь шагов, которые занимают час:
- Сделать полный бэкап (файлы + база)
- Проверить совместимость модулей с новой версией
- Убедиться в актуальности PHP на сервере
- Выбрать рабочий день вне акций и пиков
- Запустить обновление через Маркетплейс
- Проверить сайт и обмен с 1С сразу после
- Проверить ещё раз через 24 часа
Артём теперь обновляет Битрикс каждый месяц. Мы помогаем — делаем это в рамках абонентского обслуживания, пока он занимается закупками.
Развязка
После восстановления Артём спросил: «Почему вы сразу не написали, что так нельзя?»
Честный ответ: мы не знали о его магазине. Теперь — знаем.
Если ваш Битрикс не обновлялся больше трёх месяцев — скорее всего, есть незакрытые уязвимости. Проверить это несложно.
Мы смотрим бесплатно за 24 часа: текущую версию, отставание от актуальной, состояние PHP, уязвимые модули. Без обязательств.
Подробности: support.orangecode.ru