1С-Битрикс: Управление сайтом
| 1С-Битрикс | |
|---|---|
 | |
| Тип | Система управления содержимым |
| Разработчики |
ООО «1С-Битрикс», ООО «Битрикс» |
| Написана на | PHP |
| Интерфейс | веб-интерфейс |
| Операционная система | Кроссплатформенное программное обеспечение |
| Последняя версия | 20.0 (2019) |
| Лицензия | Проприетарное программное обеспечение |
| Сайт | 1c-bitrix.ru |
1С-Битрикс: Управление сайтом[1] — система управления контентом веб-проекта (CMS) от российской компании «Битрикс».
Функциональность
[править | править код]«1С-Битрикс: Управление сайтом» позволяет создавать:
- Интернет-магазины;
- Корпоративные сайты;
- Информационные порталы;
- Страницы сообществ, форумы;
- Рекламные лендинги.
«1С-Битрикс: Управление сайтом» также включает набор инструментов для продвижения веб-проектов:
- E-mail маркетинг;
- Инструменты коммуникации с клиентами;
- Веб-формы;
- Опросы;
- Веб-аналитика;
- 1С-Битрикс BigData;
- A/B тестирование;
- SEO модуль;
- Подписки, рассылки;
- Социальные сервисы.
Безопасность
[править | править код]В апреле 2006 года журнал «Хакер» опубликовал статью, где рассказал о взломе CAPTCHA в «1С-Битрикс: Управление сайтом»[2].
В декабре 2013 года опубликована информация об уязвимости в модуле e-Store, позволяющая злоумышленникам узнать cookie пользователя и управлять его корзиной, удалять и добавлять товары. Уязвимости дан номер CVE-2013-6788. Начиная с версии 14.0.1 уязвимость была исправлена.
В ноябре 2015 года опубликована информация об уязвимости CVE-2015-8357 в модуле xscan. Уязвимость позволяет пользователям переименовывать произвольные файлы, получать доступ к конфиденциальным данным и вызывать отказ в обслуживании. С версии xscan 1.0.4 уязвимость была исправлена.
В 2015 году была найдена критическая уязвимость CVE-2015-8358 в модуле mpbuilder. Уязвимость позволяет удалённо производить выход за пределы домашнего каталога, включать и исполнять удалённо код. Подвержены версии модуля mpbuilder версии ниже 1.0.12.[3]
В феврале 2018 года «1С-Битрикс» обновила сертификаты от ФСТЭК России. Зафиксировано отсутствие недекларированных возможностей по четвёртому уровню (НДВ-4). Обновлённые сертификаты будут действовать до 2020 года[4].
В марте 2022 года была опубликована информация о критической уязвимости CVE-2022-27228 в модуле vote, обнаруженной Positive Technologies. Данная уязвимость позволяла исполнить произвольный код на сервере без какой-либо аутентификации[5].
В День Конституции Украины, 28 июня 2022 года, множество сайтов, управляемых системой «1С-Битрикс», подверглись взлому. В том числе, пострадали ресурсы Росреестра, нескольких ВУЗов и региональных СМИ[6].
В мае 2023 года произошла массовая атака на веб-сайты, использующие CMS «1С-Битрикс», в национальном сегменте Рунета. По данным отчёта CyberOK, атака была подготовлена заранее с использованием известных уязвимостей, включая CVE-2022-27228. Злоумышленники установили бэкдоры, позволявшие выполнять произвольные команды на сервере, и 26 мая провели массовую подмену главных страниц сайтов (дефейс)[7].
В 2025 году зафиксирована новая волна вирусных заражений сайтов на базе «1С-Битрикс», направленная на скрытую установку вредоносного JavaScript-кода и переадресацию пользователей. Согласно сообщению Rush Studio, атаки происходили через скомпрометированные FTP-доступы и устаревшие плагины. Особенно пострадали сайты на shared-хостингах[8].
Отдельное внимание привлекли уязвимости в модулях сторонних разработчиков, в частности от компаний eSolutions (esol) и Маяк. По сообщениям специалистов, критические уязвимости были обнаружены в следующих устаревших модулях:
От компании eSolutions
esol.importexcelesol.exportexcelesol.importxmlcurrency_export_excel
От компании «Маяк»
Экспорт в Excel. Выгрузка каталога товаровИмпорт из Excel. Загрузка каталога товаров
Уязвимости позволяли загрузку и выполнение произвольных PHP-скриптов, создание скрытых пользователей и внедрение вредоносного кода[9][10].
В марте 2025 года Центр мониторинга инцидентов «1С-Битрикс» зафиксировал единичные случаи взломов сайтов, использующих устаревшие версии модулей сторонних разработчиков — компаний eSolutions и «Маяк». Подвержены риску оказались решения, не обновлявшиеся с 2023 года, несмотря на выпущенные обновления и патчеры. В список затронутых попали модули для импорта и экспорта данных в форматах Excel и XML/YML. Пользователям настоятельно рекомендуется обновить соответствующие компоненты или удалить неиспользуемые модули[11].
Награды и рейтинги
[править | править код]По версии исследовательского агентства Data Insight в 2017 году «1С-Битрикс» признана самой популярной CMS среди российских интернет-магазинов с долей в 28,7 % всего рынка CMS[12][13][14][15][16].
В октябре 2018 года «1С-Битрикс» вошёл в рейтинг самых популярных CMS в мире по версии W3Techs с долей в 1 % рынка[17].
По версии исследовательского агентства Data Insight «1С-Битрикс: Управление сайтом» — самая популярная CMS среди интернет-аптек России по итогам 2018 года[18].
В 2019 году компания «1С-Битрикс» заняла пятнадцатую позицию в рейтинге «20 самых дорогих компаний Рунета — 2019», опубликованном журналом Forbes. По оценкам экспертов стоимость компании в 2019 году составила 106 миллионов долларов[19].
«1С-Битрикс» — лидирующая коммерческая CMS в доменах .RU и .РФ по данным StatOnline.ru от 28 января 2022 года.[20]
Примечания
[править | править код]- ↑ произносится: «Один Эс Битрикс»
- ↑ Взлом CAPTCHA: надежный Битрикс - «Хакер». «Хакер». 25 апреля 2006. Архивировано 10 октября 2018. Дата обращения: 10 октября 2018.
- ↑ Vulnerability Details : CVE-2015-8358 (англ.). Архивировано 22 сентября 2019. Дата обращения: 16 декабря 2015.
- ↑ «1С-Битрикс» обновила сертификаты от ФСТЭК России. CNews.ru. Архивировано 1 октября 2018. Дата обращения: 10 октября 2018.
- ↑ Bitrix24Care (англ.). helpdesk.bitrix24.com. Дата обращения: 4 июля 2022. Архивировано 23 марта 2022 года.
- ↑ Украинские хакеры угрожают десяткам тысяч российских сайтов. ForPost (2 июля 2022). Дата обращения: 4 июля 2022. Архивировано 3 июля 2022 года.
- ↑ Информационный бюллетень CyberOK по атаке на сайты на Bitrix (26 мая 2023). Дата обращения: 15 мая 2025.
- ↑ Новая волна вирусов на Битрикс в 2025 году. Rush Studio. Дата обращения: 15 мая 2025.
- ↑ В уязвимых версиях модулей от eSolutions и Маяк найдены уязвимости. Admin4Web. Дата обращения: 15 мая 2025.
- ↑ Новая вирусная уязвимость Bitrix-модулей esol. KonyWeb. Дата обращения: 15 мая 2025.
- ↑ Центр мониторинга инцидентов «1С‑Битрикс»: взломы сайтов, использующих устаревшие решения компаний eSolutions и «Маяк». Habr (март 2025). Дата обращения: 15 мая 2025.
- ↑ Data Insight назвала «1С-Битрикс» самой популярной CMS среди российских интернет-магазинов. CNews.ru. Архивировано 10 октября 2018. Дата обращения: 10 октября 2018.
- ↑ Khabibrakhimov, Albert (14 августа 2017). Исследование Data Insight: более половины российских интернет-магазинов используют собственные CMS — Оффтоп на vc.ru. vc.ru. Дата обращения: 10 октября 2018.
- ↑ «1С-Битрикс» официально признана самой популярной CMS среди российских интернет-магазинов ― Спутник / Новости. news.sputnik.ru. Дата обращения: 10 октября 2018. Архивировано 10 октября 2018 года.
- ↑ Крупнейшие онлайн-магазины предпочитают самописные CMS или «1С-Битрикс» → Roem.ru. 14 августа 2017. Архивировано 10 октября 2018. Дата обращения: 10 октября 2018.
- ↑ 53% интернет-магазинов используют собственные CMS | Oborot.ru. Архивировано 10 октября 2018. Дата обращения: 10 октября 2018.
- ↑ Usage Statistics and Market Share of Content Management Systems for Websites, November 2018 (англ.). w3techs.com. Дата обращения: 14 ноября 2018.
- ↑ Онлайн-продажа лекарств растет. www.comnews.ru. Дата обращения: 16 сентября 2019. Архивировано 18 сентября 2019 года.
- ↑ 20 самых дорогих компаний Рунета — 2019. Рейтинг Forbes. 6. HeadHunter | Технологии (англ.). Forbes.ru (21 февраля 2019). Дата обращения: 25 февраля 2019. Архивировано 1 ноября 2020 года.
- ↑ WordPress, Яндекс.Метрика и JivoSite: какие инструменты используют владельцы сайтов в .RU и .РФ. REG.RU. 26.01.22. Архивировано 2022-02-03. Дата обращения: 2022-02-03.
{{cite news}}: Проверьте значение даты:|date=(справка)