Владельцы необновленных сайтов на «1С-Битрикс» с решениями (в основном — снятыми с продажи, устаревших версий и т. п.) от «Аспро» и некоторых других разработчиков подвергаются риску заражения. За счет эксплуатации древних уязвимостей, которые давно устранены вендором, злоумышленник в лучшем случае нарушает работу сайта, в худшем — крадет информацию, переадресует пользователей на сторонние веб-ресурсы и выполняет другие нежелательные действия.

Причем попытки владельца откатить версию с помощью бэкапов хостера не спасают. Мы опишем наш опыт решения проблемы и изложим варианты восстановления сайта на устаревшем ПО «1С-Битрикс» с готовым решением «Аспро» без активной поддержки.

Условия попадания в группу риска:

• Ваш сайт создан на CMS «1С-Битрикс: Управление сайтом».

• Ядро CMS и решения не обновлялись более 1,5 лет.

• На сайте используется на решение от компании Аспро, Esolutions, Sotbit, Маяк и других. Проверьте тут, есть ли в списке ваше решение.

Как понять, что ваш сайт заражен:

• Сайт долго открывается или открываются не запрашиваемые страницы.

• При попытке перейти на внутренние страницы сайта вы видите ошибку «Доступ запрещен».

• Ваш хостер прислал письмо об обнаружении аномальной активности исходящего трафика или почтовых рассылок с угрозой приостановить функцию отправки почты, либо сообщил об уязвимостях с примерами зараженных файлов.

• В файловой структуре присутствует множество непонятных файлов и папок, не относящихся к структуре вашего сайта.

• Невозможно войти в админ-панель сайта.

• Наблюдаются прочие аномалии в работе сайта.

В любом из этих случаев важно как можно быстрее начать действовать. Если пройдет слишком много времени без активной реакции, ситуация может усугубиться — ведь обычно стандартный shared-хостинг хранит архивы только за последние 30 дней. В этот период восстановление сайта можно провести значительно быстрее и дешевле.

Процесс устранения уязвимостей, очистки сайта от вирусов и обновления до актуальной версии

Рассмотрим самый сложный пример из нашей практики. Вводные: Прошло более 30 дней с момента заражения. В админ-панель сайта не попасть, ни одна страница не открывается, да еще и пароль от админки никто не помнит. Единственная зацепка — доступ в панель управления хостингом.

Когда пароля и бэкапов нет, делаем так:

1. Для начала переходим в панель управления хостера. Нам необходимо восстановить работу админ-панели сайта, чтобы страница *ваш_домен*/bitrix/admin/ открывала форму авторизации, а не выдавала ошибку. Для этого идем в файловый менеджер и удаляем из папок bitrix и bitrix/admin/ файлы .htaccess. Не переживайте, что удалите лишнее, потом мы заново разместим все, что необходимо.

* В одном из последних восстановленных нами проектов вирус разместил более 5000 файлов .htaccess. Не пытайтесь вычистить их все руками — есть специальный инструмент, но об этом позже.

2. Теперь, когда можем открыть страницу авторизации, если мы не помним пароль от админ-панели, нам необходимо произвести сброс пароля и восстановить его. Обычно почтовая подсистема сайта уже не работает и стандартным механизмом сбросить пароль не выйдет. Но все же стоит попытаться. Если результата нет, то ищем в интернете способы восстановления пароля от админки CMS. Писать тут рабочий способ специально не будем, ибо это может стать еще одной уязвимостью. Кто понимает, тот сделает.

3. После входа в админ-панель сайта вы, скорее всего, обнаружите, что многие разделы не открываются. Причина — всё те же файлы .htaccess. Пока нам необходимо только попасть на страницу системы обновлений (*ваш_домен*/bitrix/admin/update_system.php).

Здесь жмем «Проверить обновления» (п. 1). Если видим, что лицензия и ключ (п.2) показываются, но период получения обновлений окончился — значит, всё в порядке. Если же видим ошибку и вместо ключа — что-то иное, то, скорее всего, неверен адрес сервера для получения обновлений. Внесите изменения на странице настроек главного модуля (*ваш_домен*/bitrix/admin/settings.php), как показано на скриншоте.

После этого вернитесь на страницу системы обновлений и перейдите по ссылке «Проверить ключ» (п. 3). Вы попадете на сайт «1С-Битрикс», где сможете оплатить продление лицензионного ключа. Либо обратитесь к своему разработчику, если его контакты еще у вас есть, он поможет приобрести продление для вас.

4. Перейдите в раздел «Настройки — Инструменты — Резервное копирование — Список резервных копий» (*ваш_домен*/bitrix/admin/dump_list.php) и проверьте, нет ли там свежего по дате архива. Обычно добропорядочные разработчики перед тем, как вносить масштабные изменения на сайте, делают бэкап.

5. Если есть сохраненная резервная копия сайта — просто восстановите сайт до последней рабочей версии до заражения.

6. Независимо от того, удалось ли вам восстановиться с бэкапа или нет, следующим шагом будет обновление ядра и решений, имеющих доступ к обновлениям до последней версии, через штатную систему. Если видите ошибку с переходом на PHP 8, игнорируйте ее, сначала нужно устранить уязвимость. Поэтому установите обновления, которые вам доступны без перехода на PHP 8.

7. Далее необходимо осуществить патчинг уязвимостей решений из списка «1С-Битрикс». В нем напротив каждого решения есть рекомендации. Практически каждый разработчик сделал простой патч. Просто закиньте нужный файл в корень сайта и выполните инструкции.

8. Пункт необходимый, если вы не смогли восстановиться из безопасной версии и работаете с зараженным сайтом. После того, как вы пропатчите все решения, вы устраните уязвимости для нового заражения вирусами, но они могут оставаться на сайте. У многих хостеров, как правило, в панели управления предусмотрен инструмент для бесплатной проверки файлов сайта на вирусы. Ее результатом в рассматриваемом случае обычно становится длинный список зараженностей. Игнорируйте всё, что связанно с .htaccess, а остальное удалите вручную.

9. Если на вашем сайте есть кнопка «Сайт под защитой», то можно сразу перейти к пунктам устранения угрозы с помощью системы проактивной защиты «1С-Битрикс».

С проактивной защитой «1С-Битрикс» работаем следующим образом:

• Тут есть отличная функция «Настройки — Проактивная защита — Поиск троянов — Проверка .htaccess» (*ваш_домен*/bitrix/admin/xscan_htaccess.php). После проверки вы можете удалить все пораженные файлы и установить минимальный набор. Это самый простой и быстрый способ избавиться от зараженных файлов, сколько бы их ни было, не прибегая к удалению вручную.

• Пройдите в раздел «Поиск троянов — Сканирование файлов» (*ваш_домен*/bitrix/admin/xscan_worker.php) и проведите сканирование. То, что вызывает подозрение, проверьте отдельно, указав путь вручную. А также можно написать в поддержку «1С-Битрикс» с просьбой проверить подозрительные файлы.

• Далее, активируйте все варианты защиты: проактивный фильтр, веб-антивирус. Очень неплохо будет если вы подключите также двухэтапную авторизацию.

10. Осуществите переход на PHP 8. Тут начинается самое интересное. Скорее всего, вы столкнетесь с тем, что ваш сайт работает на PHP 7-й версии, поэтому необходимо будет перейти на PHP 8. У нас есть подробная статья об этом.

Если кратко, мы действуем по следующему сценарию:

1. Накатываем обновления, которые нам дает поставить система сразу.

2. Идем к хостеру меняем версию PHP на минимум 8.2. После этого, как правило, сайт перестанет работать, но админка будет функционировать, что даст нам возможность установить все последние обновления. Устанавливаем.

3. Переходим к обновлению решений, обновляем все, что можно. Если вы хорошо понимаете, что за компоненты установлены и для чего они нужны и видите, что в списке есть решения с оконченным демонстрационным режимом или неактивной поддержкой, которые точно не нужны в работе, лучше их удалить. Делайте это только если точно знаете, что это за решение и как оно взаимодействует с вашим сайтом.

4. После вам необходимо руками исправить все возникающие ошибки в публичной части и админ-панели сайта. Как правило ошибки возникают с PHP-функциями, подключением устаревших скриптов и так далее. В помощь вот такие шпаргалки: официальная и от хороших людей.

11. Перейдите по возможности на MySQL 8. Это выходит за рамки данной инструкции, поэтому оставим в виде рекомендации. Пункт в контексте рассматриваемой темы необязательный.

12. Перейдите в «Настройки — Модули» (*ваш_домен*/bitrix/admin/module_admin.php). Удалите все неиспользуемые модули. Важно: если не знаете, что за модуль и как он влияет на ваш сайт — не трогайте.

13. Аналогично пункту 12 делаем и тут: «Настройки — Настройки продукта — Список мастеров» (*ваш_домен*/bitrix/admin/wizard_list.php). Удалите обязательно демо интернет-магазин, демо корпоративный сайт и так далее. Если вы используете решение «Аспро», не удаляйте мастер «Аспро».

14. После всех пунктов выше сделайте следующее: перейдите в папку /upload/tmp/ и удалите в ней всё. Затем выполните повторное сканирование на вирусы с помощью хостерных утилит. Его результатом должна стать отметка, что вирусов не обнаружено. Далее, если у вас стоят ограничения на исходящий трафик, почтовые подсистемы и прочее, отправьте запрос хостеру, чтобы сняли ограничения с указанием на то, что все проблемы устранены и вирусов теперь нет.

15. В финале важно убедиться, что сайт работает как нужно. Это делается за два шага:

1. Пройдите в раздел «Настройки — Инструменты — Проверка системы» (*ваш_домен*/bitrix/admin/site_checker.php). Если обнаружатся ошибки — устраните их.

2. После тут: «Настройки — Настройки продукта — Автокеширование» (*ваш_домен/bitrix/admin/cache.php*), на вкладке «Очистка файлов кеша», удалите все.

Затем перейдите на сайт, откройте консоль (клавишей F12) и походите по сайту. Важно пройти по всем страницам, проверить весь функционал, работу форм, фильтров, слайдеров, получение писем из форм, работу сторонних интеграций.

В дальнейшем важно не забывать обслуживать сайт, так как вредоносное ПО постоянно развивается и не исключено появление новых способов заражения. Регулярно проверяйте и устанавливайте обновления, следите за безопасностью паролей и не игнорируйте сообщения хостера.

Новый мировой порядок заставляет нас адаптироваться, поэтому мы снова смотрим в сторону нашего родного ВК. Помимо прочего, «ВКонтакте» позволяет владельцам групп размещать товары и услуги. Нас, конечно же, интересует не собственно заполнение специального раздела ВК, а интеграция соцсети с сайтом на «1С-Битрикс».

В этой статье акцентируем внимание на том, как можно настроить интеграцию и публиковать свои услуги в разделе «Товары» в группе ВК. Процесс полностью автоматизированный: требуется просто один раз все настроить.

Основы

Итак, у нас есть сайт-каталог на любой редакции «1С-Битрикс». С товарами или услугами — не важно.

И у нас есть группа «ВКонтакте», и мы ее администрируем. Для примера возьмем нашу группу:

Для начала переходим на страницу маркетплейса «Битрикс» с решением «Магазин ВКонтакте» («Товары ВКонтакте 2.0»).

Этот модуль позволяет выгружать каталог товаров интернет-магазина или просто элементы инфоблоков в качестве товаров в сообщество социальной сети «ВКонтакте». Мы не будем останавливаться на плюсах и минусах «Магазина ВКонтакте» и на его возможностях. Подробно узнать о них можно на официальном сайте решения. Тут описана и базовая последовательность установки модуля.

Мы же расскажем о ключевых нюансах и тонкостях, не освещенных в официальной документации.

Режим раздела «Товары»

На втором шаге установки модуля интеграции, при настройках раздела «Товары» в группе «ВКонтакте», нам предлагается выбрать для него один из двух вариантов: «Простой» или «Расширенный».

Обращаем ваше внимание, что в ВК есть «Услуги», и есть «Товары». Нам интересен именно раздел «Товары». Еще в начале мы сказали о том, что в раздел «Товары» можно выгружать не только собственно товары, но и услуги. К тому же описание модуля говорит, что мы можем вообще что угодно туда выгружать. Поэтому когда мы говорим «товары», мы имеем в виду любую информацию нашего сайта, которую мы хотим поместить в раздел «Товары» в группе «ВКонтакте».

В инструкции к модулю сказано, что обязательно нужно использовать расширенный режим. Это справедливо, если у вас интернет-магазин, и вы выгружаете обычные товары.

Но если требуется выгрузить в сообщество «ВКонтакте» услуги, необходимо выбирать режим «Базовый». В противном случае работать ничего не будет.

Отбор товаров

Следующий момент — отбор товаров для экспорта. Тут мы немного зависнем. В чем суть. Раздел «Услуги» группы «ВКонтакте» предлагает нам использовать подборки. Подборки можно создавать неограниченно.

Действительно, если у вас много товаров или услуг, то удобно объединять товары в подборки, чтобы пользователям было легче ориентироваться.

Перед тем как настраивать отбор контента в настройках нашего Битрикс, мы должны провести подготовительные работы:

1. Создать подборки. Создаются они в секции «Подборки» в настройках модуля в «Битрикс». У нас, к примеру, сделана подборка «Популярные услуги».

При настройке отбора товаров подборки уже должны быть созданы!

2. Теперь мы должны остановиться на отборе объектов инфоблока. Для отбора используется стандартный фильтр «Битрикс». Все элементарно: достаточно правильно настроить условия. Для этого нужно установить, значения каких полей должны быть равны или, наоборот, не равны определенным параметрам.

Так мы можем выгрузить объекты, например, из конкретной категории, или только активные.

Но мы говорим об услугах. В инфоблоке может быть много услуг, и часть из них нам вовсе не нужна в нашей группе ВК. Нам потребуется специальный параметр, который мы сможем использовать в фильтре отбора товаров. Для этого мы создали для услуг свойство «Выгружать в фид YML».

Точнее, в нашем случае мы используем свойство, которое до этого уже создали с аналогичной целью: для отбора товаров в фид «Яндекса» для формирования турбо-страниц. Если это интересно — напишите в комментариях — выложим подробный обзор о турбо-страницах для контентных сайтов с услугами: нетиповое индивидуальное решение, позволяющее создавать адекватные турбо-страницы, как, например, у нас.

В отборе ставим «Выгружать в фид» со значением «Да». А далее идем в услуги или товары и проставляем «Да/Нет» нужным позициям каталога. Так мы сможем не только использовать стандартные решения отбора, но и управлять выгрузкой как нам нужно.

3. Теперь, когда мы поговорили о возможностях создания специальных свойств для отбора контента, данную методику можно применить и для «Подборок».

4. Далее мы формируем сопоставление основных свойств инфоблока со свойствами товаров в ВК. Из основных свойств нам нужны наименование, изображение, описание и цена.

Остановимся на блоке описание. Тут просто фантастический конструктор описаний. Мы взяли стандартное поле анонса из всех возможных тэгов автозамены. Но можно сгенерировать абсолютно любое описание используя тэги стандартных и пользовательских свойств инфоблока.

Источник: https://bxmaker.ru/doc/vk/vygruzki/#%D0%BE%D1%82%D0%B1%D0%BE%D1%80-%D1%82%D0%BE%D0%B2%D0%B0%D1%80%D0%BE%D0%B2

Остальные моменты стандартные. Настроек много, тонкие моменты мы описали, а с остальными попробуйте поиграть сами.

Cron

Следующий блок — это cron. Благодаря ему мы экспортируем объекты в нашу группу и обновляем цены, картинки и прочие зависимые свойства в полностью автоматическом режиме. Поменялась цена — меняем на сайте и не думаем о том, что ее необходимо править на «ВКонтакте». Просто следите за актуальностью товаров/услуг на сайте, как первоисточнике, и у вас будет всегда актуальная информация в вашей группе ВК.

Важное предупреждение! По умолчанию при настройке автоэкспорта будут удалены все товары и подборки, которые были добавлены до этого в вашей группе.

Если вам важно, чтобы «ВКонтакте» присутствовала и информация с сайта, и то, что вы добавляете сами руками, и вам не важна актуальность данных, то используйте следующие позиции в настройках отбора товара:

• Отключить удаление старых альбомов — включает режим, предполагающий, что подборки, которые больше не должны выгружаться, будут сохранены (вместо удаления).

• Отключить удаление старых товаров и дубликатов — включает режим, при котором ненужные больше товары сохраняются (вместо удаления).

Автоматизация — повсюду

Вообще, когда речь идет о каталоге товаров, модуль интеграции «Магазин ВКонтакте» представляет собой просто золотую жилу. Но в рамках нашей статьи мы рассмотрели только нюансы выгрузки услуг как товаров в группу «ВКонтакте».

Кстати, мы используем фиды всюду, где это возможно. Один раз созданный фид может использоваться в 2ГИС, в «Яндекс.Справочнике», при генерации турбо-страниц, на «Яндекс.Маркете», на Zoon, в том же ВК и не только.

А вы используете автоматические выгрузки с сайта? Делитесь в комментариях своим опытом и пишите, если интересно узнать об этом подробнее.

«Битрикс» обновил все свои модули и штатные компоненты для работы с PHP 8 и активно принуждает разработчиков сторонних решений обновить код своих продуктов. Вплоть до удаления решения, если оно не поддерживает 8-ю версию. При этом выполнить переход сайта с CMS Bitrix на PHP 8.x не так просто, как кажется на первый взгляд.

Почему важно обновить PHP

Если вы используете сайт под управлением 1С-Битрикс любой редакции и ваш сайт работает на PHP версии ниже 8.0 — вы можете лицезреть вот такую надпись в админ панели своего сайта:

Версия PHP 7.х объявлена устаревшей и больше не поддерживается, для нее не выпускаются исправления функциональных ошибок и ошибок безопасности. Использование версий PHP ниже 8 крайне нерекомендовано.

Вы не сможете установить обновления продуктов «1С-Битрикс» для исправления ошибок и получения нового функционала, пока не обновите PHP до минимальной версии 8.0 или рекомендованной 8.1 в своем серверном окружении.

Что делать

На первый взгляд очевидно, что нужно просто перейти на работу сервера в связке с PHP 8-ой версии. Ок. Идем в панель управления хостингом. Находим наш сайт, переходим в настройки и выбираем нужную версию PHP. Можно выбрать сразу 8.2 последнюю. к примеру, в панели ispmanager это делается здесь:

Переходим на сайт для проверки и с вероятностью 99,99% ваш сайт сломается или вообще выдаст белый экран.

В чем проблема и болезненность перехода

Все просто. В новой версии PHP немного изменились требования к написанию кода и то, что разрешалось в версии 7.4, например, теперь вызывает ошибку и сайт ломается. Получается для работы сайта необходимо, чтобы весь код соответствовал новым требованиям. Как известно Битрикс — это система управления, состоящая по большей части из ядра и публичной части. С ядром все понятно, но остается сторонний код: это и шаблон, и свои компоненты, и сторонние модули, установленные из Макретплейса Битрикс. Вот в них и заключается вся боль.

Мы рассмотрим два сценария обновления сайта. Первый — идеальный (правильный, рекомендуемый), а второй — нестандартный (комбинированный метод)

Идеальный вариант: последовательность шагов

1. Так как «Битрикс» уже все обновил и настроил под использование 8-ки, прежде чем изменять настройки сервера, мы должны обновить ядро через стандартный функционал «Битрикс». Естественно для этого у вас должна быть активная поддержка на решение. Если нет, и вы видите надпись, что срок поддержки вашей лицензии окончен, то необходимо продлить ее, купив за 25% от стоимости лицензии. Редакцию вашей лицензии вы можете увидеть все в том же разделе /bitrix/admin/update_system.php?lang=ru в секции «Ответ сервера обновлений».

2. Теперь переходим в установленные решения.

В этом разделе нас интересуют все сторонние решения, установленные на сайте. Их необходимо также обновить. Конечно, есть платные и бесплатные решения. Бесплатные обновляем, а на платных смотрим срок поддержки активен или нет. Если нет, то каждое решение необходимо продлить. Условия продления могут быть разными, но обычно это 50% от стоимости решения. Подробнее вы можете посмотреть на странице Маркетплейса, кликнув по названию этого решения.

3. После обновления ядра и всех сторонних модулей переходим к тому, с чего начинали: производим настройку на стороне хостинга, выставив нужную версию.

Результат: Если сайт небольшой, относительно новый и создавался с использованием стандартных компонентов Битрикс (с минимальными внесениями изменений) или на каком-либо готовом решении, то он запустится без каких-либо проблем. К сожалению, за нашу практику мы ни разу не встретили сайт, который достаточно просто обновить. Так что нам такой вариант не подходит. Поэтому мы работаем по второму сценарию.

Нестандартный (комбинированный) метод: последовательность шагов

Данный метод пригодится если у вас:

• свой уникальный шаблон;

• кастомные компоненты;

• решения, не поддерживаемые более разработчиками, но необходимые вам для работы (например, решение «Аспро Медицинский центр 2.0» официально не поддерживается более разработчиком, и к нему не выпускаются никакие обновления);

• вносились правки в ядро;

• нет желания или возможности продлевать решение по какой-либо другой причине, например, потому что слишком дорого.

С этим нам чаще всего и приходится работать.

Сразу оговоримся, лицензия на решение 1С-Битрикс у вас должна быть активной в любом случае. Вносить правки в ядро — отчаянный шаг.

Итак, процесс:

1. Создаем полную резервную копию сайта.

2. Обновляем ядро, как и в рекомендуемом способе. Если вы вносили изменения в ядре или штатных компонентах, то вам необходимо перенести все измененные файлы в папку local.

3. Переходим в установленные решения и обновляем все, что можно обновить. Если и сторонние решения правили, то переносим все изменения и доработки в local-папку.

4. Далее включаем вывод ошибок в настройках, файл /bitrix/.settings.php.

5. Затем настраиваем хостинг и активируем 8-ку.

6. После переходим на сайт и видим ошибки. Читаем текст ошибки и вносим изменения в файлы указанные в тексте ошибки. Информации по типовым ошибкам море. Вот лишь несколько примеров, которых будет достаточно для практически любого сайта:

• https://helpdesk.bitrix24.ru/open/17332020/

• https://www.brekot.ru/blog/1s-bitriks-i-php-8/

• https://www.sng-it.ru/snippet/oshibki-pri-perekhode-sayta-na-bitrikse-na-php-8-1.html

От себя можем добавить некоторые тонкости, которых нет в описанных выше мануалах.

• Если вы не видите ошибок, а видите белый экран, ищите их в исходном коде (Ctrl + U).

• Просмотрите все страницы вашего сайта. На каждой странице может использоваться разный функционал и если у вас типовая услуга, то это не значит, что, устранив проблемы на одной странице, вы избавитесь от других.

• Обязательно проверьте интерактив сайта, попробуйте произвести все функциональные тесты: отправить форму, проверить калькуляторы, воспользоваться поиском по сайту.

• Проверьте ошибки в консоли (F12).

• Проведите проверку системы штатным инструментом /bitrix/admin/site_checker.php?lang=ru. Здесь может оказаться много подсказок в случае проблем.

Описанное выше может решить штатный администратор сайта. Углубляться детальнее нет смысла. Более сложные моменты требуют специальных знаний.

Таким способом мы уже перевели на новые рельсы практически всех наших клиентов. А теперь решили поделиться инструкцией. И если понадобится, готовы помочь реализовать ее.