Сотни бизнес-процессов и критические уязвимости: аудит Битрикс24 после нескольких лет доработок

24 июня 2026
Компания:
Дистрибьютор строительных товаров
Сфера деятельности:
Розничные и оптовые поставки стройматериалов
Битрикс24
Битрикс24
Аудит Битрикс24

За несколько лет активной работы корпоративный портал «Битрикс24» неизбежно обрастает новыми процессами, кастомными модулями и сторонними интеграциями. Меняются серверы, дописывается функционал под текущие задачи, сменяют друг друга разработчики. В результате сложность портала стремительно растет, а вот прозрачность его архитектуры и понимание того, как всё устроено, — наоборот, снижаются.

Именно в такой точке неопределенности оказался наш заказчик.

За годы эксплуатации портал прошел через десятки доработок от разных подрядчиков. Одни изменения фиксировались в документации, другие — внедрялись «на лету» и оставались без описания. Постепенно этот «слоеный пирог» из технологий и решений начал вызывать у руководства логичные вопросы: насколько стабильна система, защищены ли конфиденциальные данные и справляется ли сервер с текущей нагрузкой?

Чтобы вернуть контроль над платформой и получить ее объективную, независимую оценку, компания приняла решение провести комплексный аудит Битрикс24.

Исходные данные

  • Платформа: 1С-Битрикс: Корпоративный портал
  • Масштаб: более 200 активных пользователей
  • История обслуживания: несколько смен подрядчиков за последние 5 лет
  • Изменения: многочисленные доработки функционала и миграции между серверами.

На портале активно используются:

  • CRM: лиды, сделки, компании, клиенты, контрагенты
  • Бизнес-процессы: автоматизация рутинных операций (создание, обновление, уведомления)
  • Смарт-процессы: цифровые рабочие места, проекты, задачи, оценки
  • Интеграции: 1С, AD, телефония, облачное хранилище, мессенджеры
  • Большое количество дополнительных приложений и доработок.

Задача: определить текущее состояние портала Битрикс24 и выявить потенциальные риски

Для полноценного исследования мы разделили аудит на три направления:

  1. Аудит Битрикс24 и пользовательских доработок (поверхностный анализ кода, диагностика базы данных и безопасности системы, изучение глубины использования штатного функционала, смарт и бизнес-процессов).
  2. Аудит серверной инфраструктуры (оценка окружения, на котором развернут портал).
  3. Аудит информационной безопасностипортала (поиск уязвимостей и слабых мест в защите).

Мы подготовили для заказчика подробную смету. Клиент исключил несколько пунктов из аудита, которые решил выполнить своими силами, после чего сгласовал остальной объем работ, и мы приступили к проекту.

Примечание: около пяти лет назад мы уже проводили аудит Битрикс24 для этого заказчика. На тот момент все критические узкие места были устранены. Однако за прошедшие годы портал активно дорабатывался разными подрядчиками без единого архитектурного контроля. В результате этой динамичной жизни старые ошибки в некоторых местах повторились, а также накопился внушительный объем новых проблем.

Что обнаружил аудит: ключевые проблемы

Практически во всех проверяемых областях были обнаружены проблемы различной степени критичности.

Аудит Битрикс24 и пользовательских доработок

Отсутствие прозрачности изменений

Одной из проблем было отсутствие актуальной документации. Было сложно определить:

  • Какие доработки критичны для бизнеса, а какие уже не актуальны
  • Какие процессы реально используются сотрудниками в ежедневной работе
  • Какие зависимости существуют между отдельными компонентами системы.

Это существенно усложняло техническую поддержку и повышало риски сбоев при обновлениях.

Неконтролируемый рост количества автоматизаций

Аудит Битрикс24

В ходе аудита мы обнаружили сотни бизнес-процессов и десятки кастомных модулей. Единый контроль над ними отсутствовал. Часть автоматизаций устарела, часть — дублировала штатный функционал Битрикс24, а некоторые неиспользуемые процессы продолжали работать в фоновом режиме, нагружая систему.

Такой хаос в автоматизациях напрямую угрожает стабильности портала: он перегружает базу данных Битрикс24, вызывая зависание карточек CRM и задержки в отправке писем или генерации документов. Кроме того, несогласованные процессы начинают конфликтовать между собой, искажая данные в сделках, а устаревший кастомный код усложняет установку обновлений платформы. В результате стоимость поддержки растет, а поиск системных ошибок занимает значительное время.

Проблемы производительности

Проверка показала, что портал работает под избыточной нагрузкой.

Причинами стали:

  • Накопление большого объема исторических данных
  • Неэффективно реализованные бизнес-процессы
  • Отсутствие механизмов кэширования
  • Ошибки в кастомных доработках.

Аудит Битрикса

Особое внимание привлекла база данных объемом более 430 ГБ. Значительную часть пространства занимали журналы событий CRM, почтовые данные и архивная информация, которая продолжала храниться без политики очистки и архивирования.

Дополнительно было установлено, что отдельные фоновые задачи выполнялись по 15–25 секунд, создавая регулярные пиковые нагрузки на сервер.

Ошибки в интеграциях

Были обнаружены некорректно реализованные запросы при интеграции телефонии с Битрикс24, что приводило к потере производительности при входящих и исходящих звонках.

Результаты аудита информационной безопасности

Проверка безопасности выявила серьезные риски для корпоративной инфраструктуры. Наиболее критичные замечания были связаны с доступностью служебных интерфейсов из внешней сети и потенциальными уязвимостями в коде:

  • Доступность извне: административные интерфейсы и конфигурационные файлы с чувствительной информацией были открыты для всего интернета.
  • Инфраструктурные риски: небезопасные настройки SSH и использование устаревших версий программных пакетов.
  • Уязвимости в кастомном коде: в самописных модулях были обнаружены ошибки, теоретически позволяющие злоумышленникам проводить XSS-атаки или выполнять произвольные команды на сервере.
  • Отключенные базовые механизмы защиты: на портале отсутствовала защита от подбора паролей (brute-force), не использовалась CAPTCHA, не был настроен протокол HSTS и для файлов cookie не был установлен атрибут Secure.

Что показала проверка серверной инфраструктуры

Аудит сервера подтвердил наличие ряда организационных и технических проблем, накопившихся после нескольких миграций и смен подрядчиков.

Наши инженеры обнаружили:

  • Устаревшие пакеты и зависимости
  • Избыточные права доступа
  • Подозрительные автоматизированные задачи
  • Необходимость проверки ряда сервисов и SSH-ключей на легитимность использования.

Отдельного внимания потребовал процесс, который запускал полное копирование одной из крупных таблиц (объемом около 1,1 Гб) каждые десять минут и создавал дополнительную нагрузку на систему.

Результаты проекта

По итогам комплексного аудита заказчик получил:

  1. Детальный технический отчет по трем ключевым направлениям.
  2. Полный реестр обнаруженных проблем с классификацией по уровню критичности.
  3. Оценку бизнес-рисков, связанных с выявленными уязвимостями.
  4. Пошаговые рекомендации по оптимизации производительности и устранению уязвимостей.
  5. Предложения по стандартизации дальнейшего сопровождения портала.
  6. Оценку трудозатрат (в часах) на исправление каждого замечания.

Заказчик оперативно отреагировал на результаты: устранение наиболее критических проблем безопасности началось еще в процессе проведения аудита, до официального завершения проекта.


Вывод по итогу проекта

Результаты аудита

Корпоративный портал на основе ПО «Битрикс24» — это не статичный ИТ-продукт, однажды настроенный и работающий сам по себе, а развивающаяся экосистема, которая меняется вместе с бизнесом. Данный проект наглядно подтверждает: любой крупный и критически важный сервис требует непрерывного контроля, строгого соблюдения регламентов обслуживания и регулярного аудита.

Без этого система неизбежно сталкивается со следующими проблемами:

  • Рост технической энтропии. Когда над проектом в течение нескольких лет работают разные специалисты и подрядчики, каждый из них привносит свои подходы к разработке. В отсутствие единых стандартов и архитектурного контроля портал постепенно превращается в «лоскутное одеяло», где изменения в одной части системы могут непредсказуемо нарушить работу другой.
  • Накопление скрытого технического долга. Неиспользуемые бизнес-процессы, устаревшие лог-файлы, отсутствие очистки архивных данных и неоптимизированные запросы накапливаются незаметно. Со временем эта критическая масса начинает напрямую влиять на производительность, замедляя работу сотрудников и увеличивая расходы на инфраструктуру.
  • Динамика угроз безопасности. Уязвимости в программных пакетах и кастомном коде появляются регулярно. Конфигурация сервера, которая считалась безопасной несколько лет назад, сегодня может содержать критические бреши. Без периодического контроля обновлений и аудита безопасности риски компрометации данных возрастают с каждым месяцем.

Регулярный аудит и следование регламентам обслуживания — это не просто техническая формальность, а необходимый инструмент управления рисками. Они позволяют вовремя обнаруживать «узкие места», поддерживать прозрачность системы и гарантировать, что ИТ-инфраструктура останется надежной опорой для бизнес-процессов компании, а не источником непредвиденных сбоев.

У Вас похожая задача?Мы всегда готовы подсказать решение!
Задайте вопросы напрямую руководителю данного проекта (9.00–23.00):
+7 965 088 14 30

Мы используем cookie. Продолжая просмотр, вы соглашаетесь на их обработку.

Соглашаюсь