6 Conseils pour protéger votre site contre les robots de sauvegardes

6 conseils pour proteger votre site contre les robots de sauvegardes

Si vous gérez un site depuis quelques années, vous aurez sans doute remarqué ces derniers temps un fléau en nette progression. Votre site subit de plus en plus de balayages (scans) de robots qui cherchent des failles sur votre site pour essayer de les exploiter.

Ces robots sont pointus et disposent parfois d'une longue liste préétablie de failles, mais depuis peu il y a un nouveau genre de robots, qui s'attaquent eux à une mauvaise pratique faite par les équipes de développement ou de maintenance: ils cherchent les fichiers de sauvegardes du site !

La mauvaise pratique:

Durant les interventions de mise en production ou de maintenance, il n'est pas rare de rencontrer des développeurs qui font des sauvegardes du site à la racine ou qu'ils renomment des fichiers comme le "configuration.php" en "configuration.php.old", jusqu'à là rien de dramatique, mais si à la fin de l'intervention de fichier n'est pas retirée, des robots pourraient très bien appeler le fichier "configuration.php.old" et avoir accès au code qu'il contient. Si ce fichier contient les codes d'accès à votre base de données ou à d'autres informations sensibles, votre site sera compromis et vos donnés piratés.

Comment se protéger ?

Il y a quelques règles élémentaires à adopter par les intervenants:

  • Ne pas utiliser des noms de fichiers communs pour créer des sauvegardes, comme: sauvegarde, sauvegarde, upload, www, site, public_html, home, etc...
  • Ne pas mettre les sauvegardes à la racine du site ou dans un dossier accessible au public: mettre les sauvegardes dans un dossier privé ou dans un dossier protégé par une authentification.
  • Ne pas renommer un fichier php sous une autre extension autre que "php" (exemple: .old, .bak, etc...) car une fois que le fichier n'est plus un fichier php il peut être téléchargé par n'importe qui et avoir accès au code source.
  • Une fois que l'intervention est terminée, supprimer tous les fichiers de sauvegarde.
  • Préférer de ne pas intervenir directement en production utiliser des solutions de versionning comme GIT afin d'éviter justement de devoir manipuler des sauvegardes ou de renommer des fichiers.
  • Configurer votre serveur pour que certains types de fichiers ne soient pas accessibles (exemple: .zip, .sql, .bak, .gz, etc...) ou utiliser un logiciel de protection de site comme WRA Protect ou équivalent.

Exemples de requêtes faites par un robot:

Vous trouverez ci-dessous une liste de requêtes faites par un robot sur un des sites de notre client.

Ces requêtes ont été bloquées par notre système de protection de sites WRA Protect spécialement développé pour bloquer ce genre d'attaques:

(Nous avons volontairement remplacé l'adresse du site par nom-du-site.com)

  • nom-du-site.com/nom-du-site.com.7z
  • nom-du-site.com/nom-du-site.com.zip
  • nom-du-site.com/nom-du-site.com.tgz
  • nom-du-site.com/nom-du-site.com.tar.gz
  • nom-du-site.com/nom-du-site.com.tar
  • nom-du-site.com/nom-du-site.com.sql.gz
  • nom-du-site.com/nom-du-site.com.sql
  • nom-du-site.com/nom-du-site.com.rar
  • nom-du-site.com/nom-du-site.com.gz
  • nom-du-site.com/www.nom-du-site.7z
  • nom-du-site.com/www.nom-du-site.zip
  • nom-du-site.com/www.nom-du-site.tgz
  • nom-du-site.com/www.nom-du-site.tar.gz
  • nom-du-site.com/www.nom-du-site.tar
  • nom-du-site.com/www.nom-du-site.sql.gz
  • nom-du-site.com/www.nom-du-site.sql
  • nom-du-site.com/www.nom-du-site.rar
  • nom-du-site.com/www.nom-du-site.gz
  • nom-du-site.com/www.nom-du-site.com.7z
  • nom-du-site.com/www.nom-du-site.com.zip
  • nom-du-site.com/www.nom-du-site.com.tgz
  • nom-du-site.com/www.nom-du-site.com.tar.gz
  • nom-du-site.com/www.nom-du-site.com.tar
  • nom-du-site.com/www.nom-du-site.com.sql.gz
  • nom-du-site.com/www.nom-du-site.com.sql
  • nom-du-site.com/www.nom-du-site.com.rar
  • nom-du-site.com/www.nom-du-site.com.gz
  • nom-du-site.com/www.zip
  • nom-du-site.com/www.tgz
  • nom-du-site.com/www.tar.gz
  • nom-du-site.com/www.tar.bz2
  • nom-du-site.com/www.tar
  • nom-du-site.com/www.rar
  • nom-du-site.com/www.gz
  • nom-du-site.com/web.zip
  • nom-du-site.com/web.tar.gz
  • nom-du-site.com/web.tar
  • nom-du-site.com/web.rar
  • nom-du-site.com/upload.zip
  • nom-du-site.com/upload.rar
  • nom-du-site.com/site.zip
  • nom-du-site.com/site.tgz
  • nom-du-site.com/site.tar.gz
  • nom-du-site.com/site.tar
  • nom-du-site.com/site.rar
  • nom-du-site.com/public_html.zip
  • nom-du-site.com/public_html.tgz
  • nom-du-site.com/public_html.tar.gz
  • nom-du-site.com/public_html.tar
  • nom-du-site.com/public_html.rar
  • nom-du-site.com/htodcs.rar
  • nom-du-site.com/htdocs.zip
  • nom-du-site.com/htdocs.tar.gz
  • nom-du-site.com/htdocs.tar
  • nom-du-site.com/home.zip
  • nom-du-site.com/home.tgz
  • nom-du-site.com/home.tar.gz
  • nom-du-site.com/home.tar
  • nom-du-site.com/home.rar
  • nom-du-site.com/dump.zip
  • nom-du-site.com/dump.tgz
  • nom-du-site.com/dump.tar.gz
  • nom-du-site.com/dump.tar
  • nom-du-site.com/dump.sql.tgz
  • nom-du-site.com/dump.sql.gz
  • nom-du-site.com/dump.sql
  • nom-du-site.com/dump.rar
  • nom-du-site.com/backup/backup.zip
  • nom-du-site.com/backup/backup.tgz
  • nom-du-site.com/backup/backup.tar.gz
  • nom-du-site.com/backup/backup.tar
  • nom-du-site.com/backup/backup.rar
  • nom-du-site.com/backup/backup.gz
  • nom-du-site.com/backup/backup.bz2
  • nom-du-site.com/backup.zip
  • nom-du-site.com/backup.tgz
  • nom-du-site.com/backup.tar.gz
  • nom-du-site.com/backup.tar
  • nom-du-site.com/backup.rar
  • nom-du-site.com/backup.gz
  • nom-du-site.com/backup.bz2
  • nom-du-site.com/1.zip
  • nom-du-site.com/1.tgz
  • nom-du-site.com/1.tar.gz
  • nom-du-site.com/1.tar
  • nom-du-site.com/1.rar
  • nom-du-site.com/1.sql
  • nom-du-site.com/data.sql
  • nom-du-site.com/nom-du-site.bak.sql
  • nom-du-site.com/nom-du-site.com.bak.sql
  • nom-du-site.com/bak.sql
  • nom-du-site.com/sql.sql
  • nom-du-site.com/localhost.sql
  • nom-du-site.com/database.sql
  • nom-du-site.com/sql.txt
  • nom-du-site.com/_DB_.tar.gz
  • nom-du-site.com/_DB_.sql.zip
  • nom-du-site.com/_DB_.sql
  • nom-du-site.com/_db_.sql
  • nom-du-site.com/wp-config.php.old
  • nom-du-site.com/configuration.php.old
  • nom-du-site.com/configuration.php.bak
  • nom-du-site.com/wp-config.bak.php
  • nom-du-site.com/wp-config.php.bak
  • nom-du-site.com/configuration.php~
  • nom-du-site.com/wp-config.php~
  • nom-du-site.com/backup.sql.zip
  • nom-du-site.com/backup.sql
  • nom-du-site.com/nom-du-site.bak
  • nom-du-site.com/nom-du-site.com.bak
  • nom-du-site.com/nom-du-site.sql
  • nom-du-site.com/nom-du-site.com.sql
  • nom-du-site.com/Dump.sql
  • nom-du-site.com/dump.sql
  • nom-du-site.com/db_backup.nom-du-site.sql
  • nom-du-site.com/db_backup.nom-du-site.com.sql
  • nom-du-site.com/db_backup.sql.gz
  • nom-du-site.com/db_backup.nom-du-site.sql.gz
  • nom-du-site.com/db_backup.nom-du-site.com.sql.gz
  • nom-du-site.com/nom-du-site.com.7z
  • nom-du-site.com/nom-du-site.com.zip
  • nom-du-site.com/nom-du-site.com.tgz
  • nom-du-site.com/nom-du-site.com.tar.gz
  • nom-du-site.com/nom-du-site.com.tar
  • nom-du-site.com/nom-du-site.com.sql.gz
  • nom-du-site.com/nom-du-site.com.sql
  • nom-du-site.com/nom-du-site.com.rar
  • nom-du-site.com/nom-du-site.com.gz
  • nom-du-site.com/www.nom-du-site.7z
  • nom-du-site.com/www.nom-du-site.zip
  • nom-du-site.com/www.nom-du-site.tgz
  • nom-du-site.com/www.nom-du-site.tar.gz
  • nom-du-site.com/www.nom-du-site.tar
  • nom-du-site.com/www.nom-du-site.sql.gz
  • nom-du-site.com/www.nom-du-site.sql
  • nom-du-site.com/www.nom-du-site.rar
  • nom-du-site.com/www.nom-du-site.gz
  • nom-du-site.com/www.nom-du-site.com.7z
  • nom-du-site.com/www.nom-du-site.com.zip
  • nom-du-site.com/www.nom-du-site.com.tgz
  • nom-du-site.com/www.nom-du-site.com.tar.gz
  • nom-du-site.com/www.nom-du-site.com.tar
  • nom-du-site.com/www.nom-du-site.com.sql.gz
  • nom-du-site.com/www.nom-du-site.com.sql
  • nom-du-site.com/www.nom-du-site.com.rar
  • nom-du-site.com/www.nom-du-site.com.gz
  • nom-du-site.com/www.zip
  • nom-du-site.com/www.tgz
  • nom-du-site.com/www.tar.gz
  • nom-du-site.com/www.tar.bz2
  • nom-du-site.com/www.tar
  • nom-du-site.com/www.rar
  • nom-du-site.com/www.gz
  • nom-du-site.com/web.zip
  • nom-du-site.com/web.tar.gz
  • nom-du-site.com/web.tar
  • nom-du-site.com/web.rar
  • nom-du-site.com/upload.zip
  • nom-du-site.com/upload.rar
  • nom-du-site.com/site.zip
  • nom-du-site.com/site.tgz
  • nom-du-site.com/site.tar.gz
  • nom-du-site.com/site.tar
  • nom-du-site.com/site.rar
  • nom-du-site.com/public_html.zip
  • nom-du-site.com/public_html.tgz
  • nom-du-site.com/public_html.tar.gz
  • nom-du-site.com/public_html.tar
  • nom-du-site.com/public_html.rar
  • nom-du-site.com/htodcs.rar
  • nom-du-site.com/htdocs.zip
  • nom-du-site.com/htdocs.tar.gz
  • nom-du-site.com/htdocs.tar
  • nom-du-site.com/home.zip
  • nom-du-site.com/home.tgz
  • nom-du-site.com/home.tar.gz
  • nom-du-site.com/home.tar
  • nom-du-site.com/home.rar
  • nom-du-site.com/dump.zip
  • nom-du-site.com/dump.tgz
  • nom-du-site.com/dump.tar.gz
  • nom-du-site.com/dump.tar
  • nom-du-site.com/dump.sql.tgz
  • nom-du-site.com/dump.sql.gz
  • nom-du-site.com/dump.sql
  • nom-du-site.com/dump.rar
  • nom-du-site.com/backup/backup.zip
  • nom-du-site.com/backup/backup.tgz
  • nom-du-site.com/backup/backup.tar.gz
  • nom-du-site.com/backup/backup.tar
  • nom-du-site.com/backup/backup.rar
  • nom-du-site.com/backup/backup.gz
  • nom-du-site.com/backup/backup.bz2
  • nom-du-site.com/backup.zip
  • nom-du-site.com/backup.tgz
  • nom-du-site.com/backup.tar.gz
  • nom-du-site.com/backup.tar
  • nom-du-site.com/backup.rar
  • nom-du-site.com/backup.gz
  • nom-du-site.com/backup.bz2
  • nom-du-site.com/1.zip
  • nom-du-site.com/1.tgz
  • nom-du-site.com/1.tar.gz
  • nom-du-site.com/1.tar
  • nom-du-site.com/1.rar
  • nom-du-site.com/1.sql
  • nom-du-site.com/data.sql
  • nom-du-site.com/nom-du-site.bak.sql
  • nom-du-site.com/nom-du-site.com.bak.sql
  • nom-du-site.com/bak.sql
  • nom-du-site.com/sql.sql
  • nom-du-site.com/localhost.sql
  • nom-du-site.com/database.sql
  • nom-du-site.com/sql.txt
  • nom-du-site.com/_DB_.tar.gz
  • nom-du-site.com/_DB_.sql.zip
  • nom-du-site.com/_DB_.sql
  • nom-du-site.com/_db_.sql
  • nom-du-site.com/wp-config.php.old
  • nom-du-site.com/configuration.php.old
  • nom-du-site.com/configuration.php.bak
  • nom-du-site.com/wp-config.bak.php
  • nom-du-site.com/wp-config.php.bak
  • nom-du-site.com/configuration.php~
  • nom-du-site.com/wp-config.php~
  • nom-du-site.com/backup.sql.zip
  • nom-du-site.com/backup.sql
  • nom-du-site.com/nom-du-site.bak
  • nom-du-site.com/nom-du-site.com.bak
  • nom-du-site.com/nom-du-site.sql
  • nom-du-site.com/nom-du-site.com.sql
  • nom-du-site.com/Dump.sql
  • nom-du-site.com/dump.sql
  • nom-du-site.com/db_backup.nom-du-site.sql
  • nom-du-site.com/db_backup.nom-du-site.com.sql
  • nom-du-site.com/db_backup.sql.gz
  • nom-du-site.com/db_backup.nom-du-site.sql.gz
  • nom-du-site.com/db_backup.nom-du-site.com.sql.gz

Configurer votre serveur pour que certains types de fichiers ne soient pas accessibles (exemple: .zip, .sql, .bak, .gz, etc...) ou utiliser un logiciel de protection de site comme WRA Protect ou équivalent.

BLOG COMMENTS POWERED BY DISQUS