Защита сайта на Битрикс от взлома: сканер, типовые вредоносные приёмы в PHP и что проверять

Зачем это Битрикс-разработчику

Сайт на «1С-Битрикс» — это PHP, файловая система, веб-сервер и база. Типовые векторы взлома те же, что и у любого приложения на PHP: загрузка или подмена скриптов, слабые пароли, устаревшие дополнения и ошибки в кастомном коде. Ниже — сжатая выжимка из подборки «Защита от взлома» с акцентом на то, что имеет смысл делать на проекте Битрикс.

Неявный вызов PHP и «шеллы»

Вредоносные скрипты часто маскируют вызов интерпретатора: обфускация, вызовы через переменные, конструкции без «нормального» текста кода. Хорошие разборы этих приёмов есть в статьях на Хабре: про продвинутые методы неявного вызова (и продолжение), про PHP-шелл без буквенно-цифровых символов и более простые приёмы того же класса.

Где смотреть на Битрикс. После инцидента проверяйте не только /upload и пользовательские каталоги, но и неожиданные .php в статике, временные файлы агентов, самописные интеграции вне стандарта модулей, а также целостность ядра: сравнение контрольных сумм, бэкап «чистого» дистрибутива и отличия в /bitrix (правки без документирования — красный флаг).

Сканер AI-Bolit на хостинге

Среди внешних инструментов в исходной подборке указан AI-Bolit — бесплатный сканер вредоносного кода по файловой системе хостинга. На практике его полезно гонять по корню сайта и отдельно по каталогам с большим числом загрузок; ложные срабатывания возможны на легитимно «хитром» коде — ответы нужно разбирать вручную, а не слепо удалять.

Тестирование своей защиты и XSS

Обзор инструментов для проверки защиты и вводная по XSS из той же заметки полезны как ориентир по классу задач: что искать в своих формах, фильтрах и выводе. В экосистеме Битрикс дополняйте это встроенными механизмами — экранирование вывода, фильтры инфоблоков, проактивная защита, корректная работа с сессией на кастомных POST-обработчиках.

Инструменты в браузере (для специалистов)

Ссылка на подборку расширений Chrome для моделирования атак напоминает: подобные средства применяют осознанно, в рамках регламента и на тестовых средах. Для владельца производственного сайта результат важнее в виде отчёта аудита и чек-листа, а не «установил десять плагинов в рабочий браузер».

Краткий чек-лист по проекту

• актуальное ядро и модули; резервное копирование до обновлений;
• ограничение прав на запись, отдельные пользователи SFTP/SSH от веб-сервера;
• скан AI-Bolit или аналог после подозрения на компрометацию;
• просмотр логов веб-сервера и модулей безопасности;
• ревизия кастомного PHP: нет ли прямых include из пользовательского ввода и «чёрных ходов».

Итог: подборка с PushOrigin — отправная точка в тематику; для Битрикс её нужно приземлять на файловую структуру сайта, обновления и качество собственного кода поверх платформы.