В версии, 3.11.7, плагина Elementor Pro выпущенной 22 марта 2023 года, устранена серьезная уязвимость, которая при использовании плагина WooCommerce на сайте, дает возможность авторизованному пользователю (например, подписчику или клиенту) изменять любые параметры WordPress через AJAX-действие плагина Elementor Pro. Уязвимость в Elementor Pro находилась в версиях 3.11.6 и ниже, где отсутствовал необходимый контроль привилегий. Это дает […]
В Битрикс Веб-окружении по умолчанию в настройках Nginx прописан заголовок X-Frame-Options, который защищает сайт от показа в iframe. Соответственно, из-за этого, не будет корректно работать Вебвизор Яндекс Метрики, так как при просмотре посещений, сайт должен открываться в iframe. Статистика будет собираться, но посмотреть её будет невозможно. Решение проблемы описано в Яндекс Справке. Нам остаётся только […]
В последнее время ко мне массово обращаются клиенты с жалобой на взлом сайтов на Битрикс. Действительно, в старых версиях CMS Битрикс присутствует критическая уязвимость, позволяющая из-за недостаточной фильтрации данных, удалённо залить вредоносный код на сервер. Об уязвимости стало известно ещё в середине 2022 года, тогда была первая волна массовых взломов. Сейчас же наблюдается вторая волна […]
1С-Битрикс: Веб-окружение умеет создавать резервные копии только на тот же сервер, на котором непосредственно расположен сам сайт. Пользы от таких бэкапов мало, так как при серьёзных проблемах с самим сервером, вы их запросто лишитесь. Вообще любые бэкапы нужно всегда делать не просто на другой сервер, а на другой сервер, расположенный в другом дата-центре, и желательно […]
Довольно часто возникают ситуации, когда обычных логов, которые пишет вебсервер, бывает недостаточно. Например ваш сайт взломали, и вы изучаете логи вебсервера с целью нахождения уязвимости вашего сайта. Если точное время взлома известно, то скорее всего в логах вы найдёте скрипт или файл, к которому обращались с POST запросом. Но проблема в том, что вы увидите […]
В Битрикс по умолчанию агенты выполняются на хитах. То есть триггером для запуска агента является посещение сайта пользователем. Из-за этого сайт может работать медленнее, чем хотелось бы. К тому же при проверке системы в админке, мы постоянно будем видеть «Замечание. Агенты выполняются на хитах, рекомендуется перевести выполнение агентов на cron».