Количество кибератак на российский бизнес и пользователей растет. Под угрозой оказались и сайты на решениях Аспро. Осенью 2024 года произошел всплеск публикаций об уязвимостях в наших продуктах. Также по обращениям в техническую поддержку мы наблюдали череду взломов.
На сегодняшний день ситуация повторяется. Тогда и сейчас мы информируем наших пользователей о кибератаках и необходимости защиты сайта. Рассказываем, почему это происходит и как обезопаситься.
Почему взламывают сайты и как от этого защититься
Уязвимости мы обнаружили и устранили в обновлениях летом 2023 года. Мы намеренно не афишировали детали: что и когда было исправлено. Это было сделано для того, чтобы злоумышленники не узнали их. В актуальных версиях никаких уязвимостей нет. Страдают проекты на старых версиях или перенесенные, но с ошибками, на новые решения. Поэтому в первую очередь мы рекомендуем продлевать лицензию вовремя, чтобы сразу получать обновления и не беспокоиться об угрозах.
Хотим быть полностью открытыми и поделиться принятыми мерами по защите сайтов. Мы сделали следующее:
- Выслали инструкции по исправлению уязвимости владельцам решений, снятых с поддержки.
- Призвали владельцев актуальных решений обновить проект в целях устранения уязвимости.
- Добавили информацию в Центр управления в административной панели сайта.
К сожалению, почти невозможно донести информацию до каждого пользователя. А у многих просто нет финансовой или технической возможностей обновиться. Мы это понимаем и намерены защитить ваш сайт, даже если сейчас не можете обновиться. Поэтому публикуем инструкцию, как обезопаситься от взломов.
Устранить уязвимость требуется сайтам, которые:
- сняты с поддержки;
- не обновлялись с лета 2023 года;
- мигрировали со старых решений.
Патчер для устранения уязвимости
Мы сделали для вас патчер, который автоматически просканирует сайт, покажет и устранит уязвимости. Потребуется его скачать, установить на сайт и запустить. Это поможет просто обезопаситься без копания в коде, обновления и потери кастомизации. Как воспользоваться патчером, подробно описали в инструкции по кнопке ниже.
Инструкции по самостоятельному устранению уязвимости
Если не хотите использовать патчер, вы можете устранить уязвимость самостоятельно или обратиться в техподдержку на почту support@aspro.ru. Владельцам активной лицензии будет удобно связаться со специалистом на нашем сайте. Поможем абсолютно бесплатно. Выбирайте ваше решение и следуйте инструкции.
Интернет-магазины
Корпоративные сайты
- Аспро: Приорити 2.0
- Аспро: Корпоративный сайт 3.0
- Аспро: Корпоративный сайт 2.0
- Аспро: Корпоративный сайт современной компании
- Аспро: Корпоративный сайт
Отраслевые сайты
- Аспро: Автосервис
- Аспро: Ландшафт 2.0
- Аспро: Курорт 2.0
- Аспро: Детский сад и образовательный центр
- Аспро: Инжиниринг
- Аспро: Стройка 2.0
- Аспро: Медицинский центр 3.0
- Аспро: Digital 2.0
- Аспро: Металл
- Аспро: Шины и диски 2.0
Решения, снятые с поддержки
Для устранения уязвимости в старых решениях используйте следующую инструкцию, она общая и универсальная, подходит для всех решений. Это поможет защитить сайты:
- Аспро: Digital
- Аспро: Интернет-магазин
- Аспро: Крутой шоп
- Аспро: Ландшафт
- Аспро: Медицинский центр 2.0
- Аспро: Курорт
- Аспро: Стройка
- Аспро: Шины и диски
- Аспро: Приорити
Пожалуйста, не пренебрегайте безопасностью вашего проекта. Устранение уязвимости защитит сайт и все его данные.
Часто задаваемые вопросы
1. Если я использую патчер, то могу не продлевать решение?
Нет. Патчер и инструкции — это не замена обновлений, а «латание дыр».
Чтобы минимизировать риск дальнейших вторжений, необходимо всегда поддерживать самую актуальную версию сайта. Для получения обновлений лицензия Аспро должна быть активной. Поэтому мы рекомендуем приобретать продление.
2. У меня все обновлено, но все равно есть уязвимость. В чем дело?
Это может произойти, если вы выполнили некорректную миграцию со старого решения и оставили с него старые файлы. В этом случае сайт лучше просканировать патчером.
Например, пользователь Аспро: Лайтшоп установил последнюю версию решения, но на сайте сохранились уязвимые файлы, которые во время переноса остались со старого Аспро: Маркет.
3. Есть ли уязвимость в новых решениях Аспро: Премьер и Аспро: Приорити 2.0?
В Аспро: Премьер и Аспро: Приорити 2.0 изначально не было уязвимости unserialize, но если проводилась миграция со старого решения Аспро, то проблема может быть актуальной (см вопрос №2).
4. Что делает патчер?
Патчер используется для нахождения и обработки уязвимостей unserialize. Он модифицирует подозрительные файлы, а те, которых быть не должно — удаляет.
В списке отсканированных патчером файлов вы можете выбирать, над какими файлами производить манипуляции.
5. Будут ли проблемы, если у меня 2 сайта в режиме многосайтовости?
Нет, при использовании патчера/инструкции с многосайтовостью проблем быть не должно.
