АП-ИМ
Написать нам в Telegram
+7 (812) 99-777-05info@up-im.ru

Взломали сайт на Битрикс: что делать прямо сейчас

Безопасность
4 марта 2026 г.
Фото Максим Козлов
Максим КозловРуководитель отдела разработки

Утром вы открываете сайт — а вместо главной страницы редирект на казино, хостер прислал письмо о рассылке спама с вашего аккаунта, а в Яндекс.Вебмастере красное предупреждение о вредоносном коде. Знакомая ситуация? Для владельцев сайтов на 1С-Битрикс в 2024–2025 годах это стало массовым явлением. В этой статье разбираем, что делать прямо сейчас, чтобы минимизировать ущерб и вернуть сайт в работу.

Шаг 1. Не паникуйте и не пытайтесь восстановить сайт из бэкапа

Первый инстинкт — откатить всё из резервной копии. Это ошибка. Бэкап может содержать тот же вредоносный код — бэкдоры часто внедряются за недели до видимой атаки. Кроме того, откат уничтожит логи и следы взлома, а значит — вы не узнаете, как именно проникли на сайт, и через день-два всё повторится.

Шаг 2. Зафиксируйте инцидент

Прежде чем что-либо менять, сохраните текущее состояние:

  • Сделайте полный бэкап заражённого сайта (файлы + база данных) — он понадобится для анализа вектора атаки
  • Сохраните логи веб-сервера (access.log, error.log) за последние 2–3 месяца
  • Сделайте скриншоты видимых последствий: редиректы, подменённый контент, предупреждения поисковиков
  • Зафиксируйте дату и время обнаружения — это важно для уведомления Роскомнадзора, если произошла утечка персональных данных

Шаг 3. Изолируйте сайт

Ваша задача — остановить активную угрозу:

  • Смените все пароли — хостинг, FTP, SSH, админ-панель Битрикс, база данных MySQL. Все без исключения. Используйте новые уникальные пароли длиной не менее 16 символов
  • Отключите публичный доступ к сайту — поставьте заглушку через .htaccess или настройки nginx. Пока сайт заражён, каждый посетитель подвергается риску
  • Заблокируйте доступ к админ-панели по IP — оставьте только свой адрес
  • Проверьте список администраторов в Битрикс — если появились чужие учётные записи, отключите их

Шаг 4. Определите вектор атаки

Понимание того, как именно взломали сайт — ключ к тому, чтобы это не повторилось. Основные векторы атак на Битрикс:

Уязвимости в модулях и ядре CMS. В 2024–2025 годах было обнаружено несколько критических уязвимостей в 1С-Битрикс, включая CVE в модуле «Управление структурой» и REST API. Проверьте версию ядра Битрикс в файле /bitrix/modules/main/classes/general/version.php — если она ниже актуальной, это вероятная точка входа.

Устаревшие модули и компоненты. Даже если ядро обновлено, старые модули из Маркетплейса могут содержать уязвимости. Проверьте список установленных модулей в админке: Настройки → Модули.

Украденные или слабые пароли. Проверьте логи авторизации: Настройки → Инструменты → Журнал событий. Если видите успешные входы с незнакомых IP — пароль был скомпрометирован.

Загрузка файлов через формы. Если на сайте есть формы с загрузкой файлов без валидации, через них мог быть загружен PHP-шелл.

Шаг 5. Очистите сайт от вредоносного кода

Полная очистка — это кропотливый процесс, который требует экспертизы:

  • Проверьте файлы в корне сайта — часто бэкдоры размещают именно здесь: файлы с именами вроде config.php.bak, wp-login.php (на Битрикс-сайте!), xmlrpc.php и подобные
  • Проверьте директорию /upload/ — это самое популярное место для размещения шеллов. Ищите .php файлы в папках, где должны быть только изображения
  • Проверьте .htaccess — в корне и во всех поддиректориях. Вредоносные редиректы часто прописывают именно здесь
  • Проверьте cron-задания — командой crontab -l на сервере. Злоумышленники часто добавляют задания, которые восстанавливают бэкдор после удаления
  • Используйте встроенный сканер Битрикс — Настройки → Проактивная защита → Сканер безопасности. Он находит не всё, но базовые проблемы покажет
  • Проверьте базу данных — ищите подозрительные записи в таблицах b_event, b_agent. Вредоносный код может быть внедрён в агенты и обработчики событий

Шаг 6. Обновите всё

После очистки — обновление:

  • Обновите ядро Битрикс до последней стабильной версии
  • Обновите все модули из Маркетплейса
  • Обновите PHP до поддерживаемой версии (8.1+ для актуальных версий Битрикс)
  • Обновите серверное ПО — nginx, Apache, MySQL/MariaDB
  • Включите проактивную защиту Битрикс и веб-антивирус

Шаг 7. Проверьте юридические обязательства

Если на сайте были формы с персональными данными (имя, телефон, email, адрес) и есть основания полагать, что база данных была скомпрометирована — вы обязаны уведомить Роскомнадзор в течение 24 часов. С 30 мая 2025 года за утечку персональных данных действуют оборотные штрафы до 500 млн рублей, а за неуведомление — отдельный штраф до 3 млн рублей.

Шаг 8. Верните сайт в поисковую выдачу

Если Яндекс или Google пометили сайт как опасный:

  • В Яндекс.Вебмастере: Безопасность и нарушения → Запросить перепроверку
  • В Google Search Console: Проблемы безопасности → Запросить проверку
  • Снятие пометки занимает от нескольких часов до нескольких дней

Как не допустить повторного взлома

Восстановление — это только половина дела. Если не закрыть уязвимости системно, взлом повторится. Рекомендуем провести полноценный аудит безопасности, который выявит все слабые места: от конфигурации сервера до уязвимостей в коде.

Мы в АП-ИМ работаем с Битрикс с 2008 года — знаем его уязвимости изнутри, потому что строим и поддерживаем десятки сайтов на этой платформе. Если ваш сайт взломали — мы поможем восстановить его и закрыть точку входа. Если хотите предотвратить инцидент — закажите аудит безопасности.