Block title
Block content

6 Conseils pour protéger votre site contre les robots de backups

Si vous gérez un site depuis quelques années, vous aurez sans doute remarqué ces derniers temps un fléau en nette progression. Votre site subit de plus en plus de scans de robots qui cherchent des failles sur votre site pour essayer de les exploiter.

Ces robots sont pointus et disposent parfois d'une longue liste pré-établie de failles, mais depuis peu il y a un nouveau genre de robots, qui s'attaquent eux à une mauvaise pratique faite par les équipes de développement ou de maintenance: Ils cherchent les fichiers de backups du site !

La mauvaise partique:

Durant les interventions de mise en production ou de maintenance, il n'est pas rare de rencontrer des développeurs qui font des backups du site à la racine ou qu'ils renomment des fichiers comme le "configuration.php" en "configuration.php.old", jusqu'à là rien de dramatique, mais si à la fin de l'intervention de fichier n'est pas retiré, des robots pourraient très bien appeler le fichier "configuration.php.old" et avoir accès au code qu'il contient. Si ce fichier contient les codes d'accès à votre base de données ou à d'autres informations sensibles, votre site sera compromis et vos données piratées.

Comment se protéger ?

Il y a quelques règles élémentaires à adopter par les intervenants:

  • Ne pas utiliser des noms de fichiers communs pour créer des sauvegardes, comme: backup, sauvegarde, upload, www, site, public_html, home, etc...
  • Ne pas mettre les sauvegardes à la racine du site ou dans un dossier accessible au public: Mettre les sauvegardes dans un dossier privé ou dans un dossier protégé par une authentification.
  • Ne pas renommer un fichier php sous une autre extension autre que "php" (exemple: .old, .bak, etc...) car une fois que le fichier n'est plus un fichier php il peut être téléchargé par n'importe qui et avoir accès au code source.
  • Une fois que l'intervention est terminée, supprimer tous les fichiers de sauvegarde.
  • Préférer de ne pas intervenir directement en production utiliser des solutions de versionning comme GIT afin d'éviter justement de devoir manipuler des backups ou de renommer des fichiers.
  • Configurer votre serveur pour que certains types de fichiers ne soient pas accéssibles (exemple: .zip, .sql, .bak, .gz, etc...) ou utiliser un logiciel de protection de site comme WRA Protect ou équivalent.

Exemples de requetes faites par un robot:

Vous trouverez ci-dessous une liste de requêtes faites par un robot sur un des sites de notre client.

Ces requêtes ont été bloquées par notre système de protection de sites WRA Protect spécialement développé pour bloquer ce genre d'attaques:

(Nous avons volontairement remplacé l'adresse du site par nom-du-site.com)

nom-du-site.com/nom-du-site.com.7z
nom-du-site.com/nom-du-site.com.zip
nom-du-site.com/nom-du-site.com.tgz
nom-du-site.com/nom-du-site.com.tar.gz
nom-du-site.com/nom-du-site.com.tar
nom-du-site.com/nom-du-site.com.sql.gz
nom-du-site.com/nom-du-site.com.sql
nom-du-site.com/nom-du-site.com.rar
nom-du-site.com/nom-du-site.com.gz
nom-du-site.com/www.nom-du-site.7z
nom-du-site.com/www.nom-du-site.zip
nom-du-site.com/www.nom-du-site.tgz
nom-du-site.com/www.nom-du-site.tar.gz
nom-du-site.com/www.nom-du-site.tar
nom-du-site.com/www.nom-du-site.sql.gz
nom-du-site.com/www.nom-du-site.sql
nom-du-site.com/www.nom-du-site.rar
nom-du-site.com/www.nom-du-site.gz
nom-du-site.com/www.nom-du-site.com.7z
nom-du-site.com/www.nom-du-site.com.zip
nom-du-site.com/www.nom-du-site.com.tgz
nom-du-site.com/www.nom-du-site.com.tar.gz
nom-du-site.com/www.nom-du-site.com.tar
nom-du-site.com/www.nom-du-site.com.sql.gz
nom-du-site.com/www.nom-du-site.com.sql
nom-du-site.com/www.nom-du-site.com.rar
nom-du-site.com/www.nom-du-site.com.gz
nom-du-site.com/www.zip
nom-du-site.com/www.tgz
nom-du-site.com/www.tar.gz
nom-du-site.com/www.tar.bz2
nom-du-site.com/www.tar
nom-du-site.com/www.rar
nom-du-site.com/www.gz
nom-du-site.com/web.zip
nom-du-site.com/web.tar.gz
nom-du-site.com/web.tar
nom-du-site.com/web.rar
nom-du-site.com/upload.zip
nom-du-site.com/upload.rar
nom-du-site.com/site.zip
nom-du-site.com/site.tgz
nom-du-site.com/site.tar.gz
nom-du-site.com/site.tar
nom-du-site.com/site.rar
nom-du-site.com/public_html.zip
nom-du-site.com/public_html.tgz
nom-du-site.com/public_html.tar.gz
nom-du-site.com/public_html.tar
nom-du-site.com/public_html.rar
nom-du-site.com/htodcs.rar
nom-du-site.com/htdocs.zip
nom-du-site.com/htdocs.tar.gz
nom-du-site.com/htdocs.tar
nom-du-site.com/home.zip
nom-du-site.com/home.tgz
nom-du-site.com/home.tar.gz
nom-du-site.com/home.tar
nom-du-site.com/home.rar
nom-du-site.com/dump.zip
nom-du-site.com/dump.tgz
nom-du-site.com/dump.tar.gz
nom-du-site.com/dump.tar
nom-du-site.com/dump.sql.tgz
nom-du-site.com/dump.sql.gz
nom-du-site.com/dump.sql
nom-du-site.com/dump.rar
nom-du-site.com/backup/backup.zip
nom-du-site.com/backup/backup.tgz
nom-du-site.com/backup/backup.tar.gz
nom-du-site.com/backup/backup.tar
nom-du-site.com/backup/backup.rar
nom-du-site.com/backup/backup.gz
nom-du-site.com/backup/backup.bz2
nom-du-site.com/backup.zip
nom-du-site.com/backup.tgz
nom-du-site.com/backup.tar.gz
nom-du-site.com/backup.tar
nom-du-site.com/backup.rar
nom-du-site.com/backup.gz
nom-du-site.com/backup.bz2
nom-du-site.com/1.zip
nom-du-site.com/1.tgz
nom-du-site.com/1.tar.gz
nom-du-site.com/1.tar
nom-du-site.com/1.rar
nom-du-site.com/1.sql
nom-du-site.com/data.sql
nom-du-site.com/nom-du-site.bak.sql
nom-du-site.com/nom-du-site.com.bak.sql
nom-du-site.com/bak.sql
nom-du-site.com/sql.sql
nom-du-site.com/localhost.sql
nom-du-site.com/database.sql
nom-du-site.com/sql.txt
nom-du-site.com/_DB_.tar.gz
nom-du-site.com/_DB_.sql.zip
nom-du-site.com/_DB_.sql
nom-du-site.com/_db_.sql
nom-du-site.com/wp-config.php.old
nom-du-site.com/configuration.php.old
nom-du-site.com/configuration.php.bak
nom-du-site.com/wp-config.bak.php
nom-du-site.com/wp-config.php.bak
nom-du-site.com/configuration.php~
nom-du-site.com/wp-config.php~
nom-du-site.com/backup.sql.zip
nom-du-site.com/backup.sql
nom-du-site.com/nom-du-site.bak
nom-du-site.com/nom-du-site.com.bak
nom-du-site.com/nom-du-site.sql
nom-du-site.com/nom-du-site.com.sql
nom-du-site.com/Dump.sql
nom-du-site.com/dump.sql
nom-du-site.com/db_backup.nom-du-site.sql
nom-du-site.com/db_backup.nom-du-site.com.sql
nom-du-site.com/db_backup.sql.gz
nom-du-site.com/db_backup.nom-du-site.sql.gz
nom-du-site.com/db_backup.nom-du-site.com.sql.gz
nom-du-site.com/nom-du-site.com.7z
nom-du-site.com/nom-du-site.com.zip
nom-du-site.com/nom-du-site.com.tgz
nom-du-site.com/nom-du-site.com.tar.gz
nom-du-site.com/nom-du-site.com.tar
nom-du-site.com/nom-du-site.com.sql.gz
nom-du-site.com/nom-du-site.com.sql
nom-du-site.com/nom-du-site.com.rar
nom-du-site.com/nom-du-site.com.gz
nom-du-site.com/www.nom-du-site.7z
nom-du-site.com/www.nom-du-site.zip
nom-du-site.com/www.nom-du-site.tgz
nom-du-site.com/www.nom-du-site.tar.gz
nom-du-site.com/www.nom-du-site.tar
nom-du-site.com/www.nom-du-site.sql.gz
nom-du-site.com/www.nom-du-site.sql
nom-du-site.com/www.nom-du-site.rar
nom-du-site.com/www.nom-du-site.gz
nom-du-site.com/www.nom-du-site.com.7z
nom-du-site.com/www.nom-du-site.com.zip
nom-du-site.com/www.nom-du-site.com.tgz
nom-du-site.com/www.nom-du-site.com.tar.gz
nom-du-site.com/www.nom-du-site.com.tar
nom-du-site.com/www.nom-du-site.com.sql.gz
nom-du-site.com/www.nom-du-site.com.sql
nom-du-site.com/www.nom-du-site.com.rar
nom-du-site.com/www.nom-du-site.com.gz
nom-du-site.com/www.zip
nom-du-site.com/www.tgz
nom-du-site.com/www.tar.gz
nom-du-site.com/www.tar.bz2
nom-du-site.com/www.tar
nom-du-site.com/www.rar
nom-du-site.com/www.gz
nom-du-site.com/web.zip
nom-du-site.com/web.tar.gz
nom-du-site.com/web.tar
nom-du-site.com/web.rar
nom-du-site.com/upload.zip
nom-du-site.com/upload.rar
nom-du-site.com/site.zip
nom-du-site.com/site.tgz
nom-du-site.com/site.tar.gz
nom-du-site.com/site.tar
nom-du-site.com/site.rar
nom-du-site.com/public_html.zip
nom-du-site.com/public_html.tgz
nom-du-site.com/public_html.tar.gz
nom-du-site.com/public_html.tar
nom-du-site.com/public_html.rar
nom-du-site.com/htodcs.rar
nom-du-site.com/htdocs.zip
nom-du-site.com/htdocs.tar.gz
nom-du-site.com/htdocs.tar
nom-du-site.com/home.zip
nom-du-site.com/home.tgz
nom-du-site.com/home.tar.gz
nom-du-site.com/home.tar
nom-du-site.com/home.rar
nom-du-site.com/dump.zip
nom-du-site.com/dump.tgz
nom-du-site.com/dump.tar.gz
nom-du-site.com/dump.tar
nom-du-site.com/dump.sql.tgz
nom-du-site.com/dump.sql.gz
nom-du-site.com/dump.sql
nom-du-site.com/dump.rar
nom-du-site.com/backup/backup.zip
nom-du-site.com/backup/backup.tgz
nom-du-site.com/backup/backup.tar.gz
nom-du-site.com/backup/backup.tar
nom-du-site.com/backup/backup.rar
nom-du-site.com/backup/backup.gz
nom-du-site.com/backup/backup.bz2
nom-du-site.com/backup.zip
nom-du-site.com/backup.tgz
nom-du-site.com/backup.tar.gz
nom-du-site.com/backup.tar
nom-du-site.com/backup.rar
nom-du-site.com/backup.gz
nom-du-site.com/backup.bz2
nom-du-site.com/1.zip
nom-du-site.com/1.tgz
nom-du-site.com/1.tar.gz
nom-du-site.com/1.tar
nom-du-site.com/1.rar
nom-du-site.com/1.sql
nom-du-site.com/data.sql
nom-du-site.com/nom-du-site.bak.sql
nom-du-site.com/nom-du-site.com.bak.sql
nom-du-site.com/bak.sql
nom-du-site.com/sql.sql
nom-du-site.com/localhost.sql
nom-du-site.com/database.sql
nom-du-site.com/sql.txt
nom-du-site.com/_DB_.tar.gz
nom-du-site.com/_DB_.sql.zip
nom-du-site.com/_DB_.sql
nom-du-site.com/_db_.sql
nom-du-site.com/wp-config.php.old
nom-du-site.com/configuration.php.old
nom-du-site.com/configuration.php.bak
nom-du-site.com/wp-config.bak.php
nom-du-site.com/wp-config.php.bak
nom-du-site.com/configuration.php~
nom-du-site.com/wp-config.php~
nom-du-site.com/backup.sql.zip
nom-du-site.com/backup.sql
nom-du-site.com/nom-du-site.bak
nom-du-site.com/nom-du-site.com.bak
nom-du-site.com/nom-du-site.sql
nom-du-site.com/nom-du-site.com.sql
nom-du-site.com/Dump.sql
nom-du-site.com/dump.sql
nom-du-site.com/db_backup.nom-du-site.sql
nom-du-site.com/db_backup.nom-du-site.com.sql
nom-du-site.com/db_backup.sql.gz
nom-du-site.com/db_backup.nom-du-site.sql.gz
nom-du-site.com/db_backup.nom-du-site.com.sql.gz