Все статьи
Разработка 28 апреля 2026 г. · 11 мин

Защита сайта на Битриксе от взлома в 2026: чек-лист после волны атак

Прямой ответ: чтобы защитить сайт на 1С-Битрикс от взлома, нужно установить «Проактивную защиту» на уровне «Высокий», включить двухфакторную аутентификацию, ограничить доступ к /bitrix/admin/ по IP, обновить ядро и все модули (особенно Aspro), настроить WAF и хранить бэкапы вне сервера. Ниже — полный чек-лист с настройками и приоритетами.

Прямой ответ: чтобы защитить сайт на 1С-Битрикс от взлома в 2026 году, нужно сделать семь вещей — установить «Проактивную защиту» на уровне «Высокий», включить 2FA для всех админов, ограничить доступ к /bitrix/admin/ по IP, обновить ядро и все модули (включая Aspro), поставить WAF перед сайтом, наладить ежедневные бэкапы вне сервера и настроить мониторинг изменений файлов. Ниже — подробный чек-лист с приоритетами и реальными настройками.

Почему сайты на Битриксе массово ломают в 2026

За последние 18 месяцев в Рунете прошли три крупные волны взломов сайтов на 1С-Битрикс. Самая массовая — в феврале 2025, когда через известную уязвимость CVE-2022-27228 в модуле vote были взломаны тысячи сайтов одновременно. Параллельно атакам подверглись шаблоны Aspro: злоумышленники использовали SSRF и SQL-инъекции в кастомных компонентах.

Главные причины успеха атак — одинаковы из года в год: непродлённая лицензия (а значит, нет обновлений безопасности), устаревший Aspro, открытая на весь интернет админка, простые пароли, отсутствие 2FA. По нашей статистике (мы лечили 30+ заражённых сайтов в 2025), в 90% случаев взлом происходил на сайтах, где не обновлялось ядро более 6 месяцев.

Базовый чек-лист защиты на 2026 год

Если у вас сейчас 30 минут — сделайте сразу эти семь пунктов. Этого достаточно, чтобы перестать быть лёгкой целью для массовых сканеров.

  1. Продлить лицензию Битрикс. Без неё нет обновлений безопасности — а значит, любая публично известная уязвимость остаётся открытой.
  2. Обновить ядро и все модули через Marketplace → Установленные решения. Особое внимание — Aspro (Max, Next, Allcorp3, Lite): за 2025 год вышло 4 критичных патча.
  3. Включить «Проактивную защиту» на уровне «Высокий» в разделе Настройки → Проактивная защита.
  4. Настроить 2FA для всех аккаунтов с правами администратора через мобильное приложение Битрикс или TOTP.
  5. Ограничить /bitrix/admin/ по IP через .htaccess или директиву NGINX.
  6. Поставить WAF — Cloudflare, Curator, Qrator или встроенный WAF Yandex Cloud.
  7. Включить резервное копирование с хранением вне сервера (S3, Yandex Object Storage, Selectel).

Проактивная защита: что включать, а что ломает функционал

Модуль «Проактивная защита» поставляется со всеми редакциями Битрикс начиная с «Стандарт». В 2026 году он остаётся главной линией обороны на уровне приложения. Уровней три: «Стандартный», «Высокий», «Параноидальный».

Что включать на уровне «Высокий»:

  • Защита административных разделов — блокирует подбор паролей и сессии без привязки к IP.
  • Журнал вторжений — фиксирует подозрительные запросы (SQL-инъекции, XSS-попытки, обращения к eval).
  • Контроль активности — ограничивает число запросов с одного IP за минуту. Полезно против сканеров и ботов.
  • Защита редиректов — закрывает «открытые редиректы», которые используются для фишинга.
  • Стоп-лист — автоматическая блокировка IP, попавших в журнал вторжений 3+ раз.
  • Хранение сессий в БД — защищает от воровства файла сессии при компрометации хостинга.

Что ломает функционал и требует тестирования: «Параноидальный режим» — разлогинивает пользователей при смене IP. На мобильном интернете это создаёт ад в личных кабинетах. Включаем только для админки, не для клиентского раздела.

Двухфакторная аутентификация: как настроить

В 2026 году одного пароля недостаточно. Утечки баз пользователей с других ресурсов и атаки credential stuffing — одна из самых частых причин взлома. 2FA включается за 5 минут и в разы повышает планку защиты.

  1. Зайти в Настройки → Пользователи → Двухфакторная аутентификация.
  2. Включить обязательное 2FA для группы «Администраторы» и «Контент-редакторы».
  3. Поддерживаемые методы: TOTP (Google Authenticator, Yandex Key, Authy), мобильное приложение Битрикс24, СМС.
  4. Запретить вход в админку без 2FA через настройку «Принудительное использование».

Ограничение доступа к /bitrix/admin/ по IP

Самый простой и эффективный способ закрыть админку от 99% атак — разрешить вход только с офисных IP или VPN. Добавьте в .htaccess в корне сайта:

<FilesMatch "(bitrix/admin|bitrix/tools)">
    Order Deny,Allow
    Deny from all
    Allow from 1.2.3.4
    Allow from 5.6.7.8
</FilesMatch>

Если используется NGINX без Apache, аналогичная конструкция в конфиге сервера:

location ~ ^/bitrix/(admin|tools) {
    allow 1.2.3.4;
    allow 5.6.7.8;
    deny all;
}

Если у вас динамический IP — подключите корпоративный VPN (WireGuard, OpenVPN) и разрешите доступ только с его адреса.

Отдельная история: уязвимости Aspro

Шаблоны Aspro — самые популярные коммерческие решения для Битрикса в Рунете. И именно они чаще всего становятся точкой входа: их компоненты работают с пользовательскими данными напрямую, а разработчики не всегда успевают закрывать дыры так же быстро, как ядро Битрикса.

Что делать владельцам сайтов на Aspro:

  • Подписаться на канал обновлений Aspro в Marketplace и проверять выход патчей минимум раз в 2 недели.
  • Держать активную лицензию шаблона — без неё обновления безопасности недоступны.
  • Проверить, нет ли в шаблоне «правок руками» в файлах /bitrix/templates/aspro_*/ — такие правки слетают при обновлении и часто содержат старый уязвимый код.
  • Все кастомные правки выносить в /local/ — это стандартная практика, которая позволяет обновлять Aspro без потери модификаций.

WAF и защита от DDoS

WAF (Web Application Firewall) — это слой между интернетом и сайтом, который фильтрует подозрительные запросы до того, как они дойдут до Битрикса. Базовые опции в 2026 году:

  • Cloudflare — тарифы от $0 до $20/мес, защита от DDoS, базовый WAF, кэш статики.
  • Qrator Labs — российский провайдер, специализируется на защите от DDoS, есть WAF-модуль.
  • Curator — защита от ботов и DDoS, популярен у крупного e-commerce в РФ.
  • Yandex Cloud WAF — встроен в Yandex Application Load Balancer, удобен, если хостите в Yandex Cloud.

Минимальный конфиг — блокировка по геозоне (если вы работаете только по РФ — блокируете весь зарубежный трафик), rate limit на 100 запросов в минуту с одного IP, блокировка известных бот-сетей.

Бэкапы, которые реально спасут

Бэкап, лежащий на том же сервере, что и сайт, — это не бэкап. При взломе вместе с сайтом шифруют или удаляют и его. Правильная схема:

  1. Ежедневный полный бэкап файлов и БД средствами Битрикса (раздел Настройки → Резервное копирование).
  2. Автоматическая выгрузка в внешнее хранилище: S3, Yandex Object Storage, Selectel, Backblaze B2.
  3. Хранение минимум 14 копий: 7 ежедневных + 4 еженедельных + 3 ежемесячных.
  4. Раз в квартал — тестовое восстановление на dev-сервере. Бэкап, который никогда не разворачивали, в 30% случаев оказывается битым.

Что делать, если сайт уже взломан

Если вы заподозрили взлом (антивирус браузера ругается, в поисковой выдаче появились страницы с китайскими иероглифами, в /bitrix/.settings.php чужой код) — краткий план:

  1. Закрыть сайт от посетителей через техническую страницу (но оставить себе доступ).
  2. Не удалять файлы — сначала снять копию для анализа, потом восстановить чистый бэкап.
  3. Поменять все пароли: админок Битрикса, FTP, SSH, БД, почтовых ящиков, привязанных к сайту.
  4. Запустить «Сканер безопасности» в Битриксе и проверить файлы через AI-Bolit или Manul.
  5. Найти точку входа: проверить логи NGINX/Apache за месяц до взлома, искать аномалии — массовые POST-запросы, обращения к upload, попытки SQL-инъекций.
  6. Закрыть точку входа: обновить уязвимый модуль, поставить заплатку, ограничить функционал.
  7. Проинформировать пользователей о возможной утечке — требование 152-ФЗ.

Бесплатный аудит безопасности от Inter Web

Мы — золотой партнёр 1С-Битрикс с 11-летним опытом. Регулярно лечим заражённые сайты и проводим аудит безопасности. Если есть подозрение на компрометацию — напишите, проведём бесплатный экспресс-аудит за 3 дня: проверим версии, конфиги, журналы, наличие подозрительных файлов и пришлём отчёт с рекомендациями.

FAQ

Вопросы и ответы

Ответы на типовые вопросы по теме статьи. Размечены как FAQPage — при релевантности запроса Яндекс и Google могут показать их в быстром ответе.

Как защитить сайт на Битрикс от взлома в 2026?
Семь шагов: продлить лицензию, обновить ядро и все модули (особенно Aspro), включить «Проактивную защиту» на уровне «Высокий», настроить 2FA для всех админов, ограничить /bitrix/admin/ по IP, поставить WAF (Cloudflare, Qrator, Curator), настроить ежедневные бэкапы во внешнее хранилище. Каждый пункт реализуется за 30 минут до 2 часов.

Что такое CVE-2022-27228 и опасна ли она в 2026?
CVE-2022-27228 — критическая уязвимость в модуле «Голосования» 1С-Битрикс, позволяющая удалённое выполнение кода без авторизации. Через неё прошла массовая волна взломов в феврале 2025. Если ядро обновлено до актуальной версии (24.0.0+), уязвимость закрыта. На сайтах с устаревшим ядром остаётся опасной.

Нужен ли WAF, если уже включена «Проактивная защита»?
Да. «Проактивная защита» работает на уровне приложения: запрос уже дошёл до PHP. WAF фильтрует трафик до сервера, защищает от DDoS, ботов, эксплойтов нулевого дня. Это два разных слоя обороны, они дополняют друг друга. Минимум: бесплатный Cloudflare для блокировки массовых атак.

Что делать, если сайт на Битрикс уже взломан?
Закрыть сайт техстраницей, не удалять следы (нужны для анализа), сменить все пароли (админ, FTP, SSH, БД), запустить «Сканер безопасности» Битрикса и AI-Bolit или Manul, найти точку входа в логах, закрыть её обновлением или патчем, восстановить чистый бэкап, уведомить пользователей по 152-ФЗ. На лечение в среднем уходит 1–3 дня.

Защищают ли шаблоны Aspro от взлома?
Aspro по умолчанию не повышает безопасность сайта — это шаблон, а не модуль защиты. Более того, кастомные компоненты Aspro исторически содержали уязвимости (последние патчи — 2025 год). Чтобы Aspro был безопасен, нужно держать активную лицензию шаблона и оперативно ставить обновления. Все правки переносить в /local/, чтобы не потерять при апдейте.

Можно ли защитить Битрикс без активной лицензии?
Базовые меры (2FA, ограничение по IP, WAF, бэкапы, сложные пароли) работают и без лицензии. Но без неё нет обновлений безопасности — публичные уязвимости остаются открытыми. Это вопрос времени до взлома. В 2026 году эксплуатация известных CVE происходит за дни, иногда — часы после публикации.

Другие статьи

Весь блог →
Разработка 10 мин

Сайт на Битриксе тормозит: чек-лист ускорения за 1 день

Прямой ответ: если сайт на 1С-Битрикс тормозит — нужно включить композитный кэш, OPcache и Memcached/Redis, проверить slow_log MySQL, перейти на NVMe, выключить лишние модули и переписать тяжёлые getList на D7 API. В 80% случаев это даёт ускорение с 4+ секунд до 1 секунды без переписывания сайта.
Разработка 11 мин

Интеграция 1С-Битрикс с Wildberries и Ozon в 2026: выгрузка, остатки, заказы

Прямой ответ: чтобы интегрировать сайт на 1С-Битрикс с Wildberries и Ozon, нужно настроить три потока — выгрузку товаров (карточки, цены, фото), синхронизацию остатков (раз в 5–15 минут) и обратное получение заказов в Битрикс. Делается через готовые модули (МойСклад, Sellematics, KUB-24) или кастомный коннектор на REST API. Сроки внедрения — от 2 до 8 недель в зависимости от объёма каталога.
Автоматизация и ИИ 12 мин

Подробный разбор проекта tg-gemini-bot: создание мобильного командного центра для полноценного управления Gemini CLI через Telegram. Архитектура на Node.js, интеграция с tmux и автоматизация подтверждений для автономной разработки в 2026 году.
Трафик и SEO 8 мин

Переход с Google Analytics на Яндекс Метрику в 2026: миграция без потери данных

Прямой ответ: чтобы перейти с Google Analytics на Яндекс Метрику, нужно установить счётчик Метрики параллельно с GA4 на 2–4 недели для сверки данных, перенести цели и e-commerce-события, экспортировать исторические данные GA в BigQuery или CSV до отключения, настроить связку с Яндекс Директом и CRM. Полный переход занимает от 3 до 10 рабочих дней.
Следующий шаг

Нужен подобный подход в вашем проекте?

Обсудим задачу и оценим, что можно сделать в вашем контексте. Аудит — бесплатно, отчёт и созвон за 5–7 дней.

Оставить заявку Написать в Telegram