Уязвимости в шаблонах Aspro: что происходит и как защитить сайт

Если сайт работает на 1С-Битрикс, использует шаблоны Aspro или модуль esol.importxml — вы под угрозой. Особенно если не обновляете систему, не следите за версией PHP и не продлеваете лицензии на сторонние модули. 

Aspro — это набор готовых шаблонов для интернет-магазинов. Они упрощают запуск, но вместе с удобством тянут за собой и уязвимости.

Хакерам достаточно одной дыры, чтобы получить доступ к серверу, внедрить вредоносный код и начать управлять сайтом. Заражение происходит по разным сценариям — через устаревшие компоненты, незащищённые задачи в cron (системный планировщик задач), или через функцию unserialize, которая обрабатывает данные из файлов и в ряде случаев позволяет выполнить чужой код.

Пообщались с отделом разработки. Переводим с технического языка на человеческий. 

В статье разберём:

• как взламывают сайты на 1С-Битрикс;
• какие признаки говорят о том, что сайт уже под атакой;
• что делать, чтобы закрыть уязвимости;
• когда обращаться к разработчикам;
• сколько стоит проверка и защита сайта.

Как атакуют сайты на 1С-Битрикс

Сайты на Битриксе взламывают по одной и той же причине: владельцы не обновляют систему, продолжают использовать устаревшие модули и оставляют включенными функции, которые давно считаются небезопасными.

Чаще всего это не из-за лени или беспечности. Просто о поддержке никто не напоминает, а подрядчика, который бы регулярно следил за безопасностью, нет. Один раз сайт запустили — и дальше всё работает «как есть», пока не случится сбой или взлом.

Часто проблема связана с модулем esol.importxml, который помогает загружать данные на сайт из файлов — например, товары из Excel. Но в этом модуле есть уязвимость, как и в kda, который выполняет схожие функции и используется для массового импорта и экспорта данных в инфоблоках. Злоумышленники используют её, чтобы получить доступ к серверу.

Главная дыра — функция unserialize. Она может «распаковать» данные из файла, но делает это без проверки. Если хакер подсовывает туда вредоносный код — сервер его послушно выполняет. А дальше: сайт заражён, появляется бэкдор (скрытый доступ), и взломщик делает всё, что угодно — встраивает рекламу, крадёт информацию.

Это не случайная ошибка и не баг. Это давно известный способ атаковать сайты, который до сих пор работает. Постоянное обновление и перепроверка модулей помогают избежать этого.

Хотя стоит отметить: в других CMS, например WordPress, регулярные обновления плагинов тоже не панацея — часто они сами ломают сайт.

Как понять, что сайт уже взломан

Признаки, на которые стоит обратить внимание:

• появились новые cron-задачи, которых вы не создавали;
• в корне лежат неизвестные папки: assets/images, backup, logs;
• файл .htaccess ведёт на казино, фишинг или сторонние сайты;
• в /bitrix/admin или /upload появились подозрительные скрипты;
• админка работает нестабильно, в логах — странные запросы.

Даже если внешне выглядит нормально — это не значит, что угрозы нет. Вредоносный код часто прячется под видом служебных файлов и cron.

6 шагов, как защитить сайт от взлома

Большинство атак на Битрикс связаны с одними и теми же ошибками: старые модули, слабые пароли, отсутствие контроля за cron и резервным копированием. Даже базовая профилактика снижает риски.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 12703 тендера
проведено за восемь лет работы нашего сайта.

Защита сайта — это не настройка одного параметра. Это процесс, который включает диагностику, обновление и контроль состояния. Если работать последовательно — уязвимости устранятся и закроются точки входа для взлома.

С чего начать:

1. Проверьте сервер и сайт на вредоносный код. Не ограничивайтесь веб-папками. Просмотрите системные процессы и подозрительные файлы.
2. Обновите CMS, ядро и модули до последней версии. Это закроет распространённые уязвимости — CVE-2022-27228.
3. Удалите лишнее, избавьтесь от устаревших, неиспользуемых и пиратских модификаций.
4. Проверьте настройки доступа, используйте надёжные пароли, разделяйте права доступа по ролям.
5. Сделайте резервную копию — но только после чистки. Это сохранит работоспособную версию сайта.
6. Настройте регулярный аудит уязвимостей, логов и активности — это поможет заметить проблему до того, как она станет критичной.

Когда пора обращаться к разработчику

Взлом сайта на 1С-Битрикс — не всегда катастрофа. Если вы понимаете, как работает CMS, знаете, что такое cron, и умеете работать с серверной частью — технически можно справиться самостоятельно. Но важно помнить: просто удалить модуль недостаточно.

Бэкдор может остаться в системе и запускаться автоматически. Это скрытый «чёрный ход» — вредоносный файл или скрипт, который позволяет хакеру снова зайти на сайт, даже если основная уязвимость уже закрыта.

При этом внешне сайт будет работать нормально, а вредоносный код — продолжать действовать в фоне. Поэтому перед тем как что-то удалять, нужно провести полную диагностику.

Что важно сделать:

• не искать вирусы вручную — используйте инструменты сканирования;
• провести аудит всей CMS и серверной части;
• убедиться, что после обновлений не остались лазейки в коде или конфигурации.

Если у вас интернет-магазин, корпоративный сайт или рабочая CRM — лучше не рисковать. В этих случаях стоимость ошибки выше, чем стоимость услуги. Без проверки неясно, осталась ли угроза и где именно она прячется.

Стоимость зависит от размера сайта, количества подключённых модулей и глубины внедрения. Простая проверка с удалением вредоносных cron-задач и обновлением CMS занимает 1–2 дня. Это — базовый уровень.

Если сайт сложный, есть кастомные модули, ручная доработка или сломана часть функционала — потребуется больше времени. Цена на экспресс-проверку и очистку стартует от 10 000 ₽. Полный аудит с восстановлением и настройкой защиты обойдётся дороже — но даст гарантию, что атака не повторится.

Вывод: безопасность — это не разовая задача

Многие ставят Bitrix и забывают о нём на годы. Именно в этом проблема. CMS требует регулярных обновлений, настройки резервного копирования и контроля уязвимостей.

Bitrix — это не «коробка с сайтом», а полноценное веб-приложение. Оно должно быть защищено: актуальные версии, проверенные модули, закрытые дыры. Это — база, если вы работаете с клиентскими данными.

Если хотите, чтобы ваш сайт не стал очередной точкой входа для атаки — работайте с теми, кто умеет не просто развернуть Bitrix, а закрыть его от угроз.