Attention! La technique présentée dans cette brève ne vous dispense en aucun cas d’assurer une sécurisation correcte de votre site et/ou de vos applications web.

Un jour, je me suis rendu compte que des gars pas très malins s’amusaient à scanner des listes de versions vulnérables d’outils. J’ai également remarqué que ces scans étaient réalisés à l’aide d’outils tout fait qui n’ont pas honte de s’annoncer avec un beau User-Agent. N’étant pas spécialement amateur de ce genre de méthodes, j’ai décidé de blacklister ces outils avec un  joli fichier htaccess dont voici un extrait:

SetEnvIfNoCase User-Agent ZmEu getout
SetEnvIfNoCase User-Agent Xenu getout
SetEnvIfNoCase User-Agent dragostea getout
SetEnvIfNoCase User-Agent Morfeus getout
order allow,deny
allow from all
deny from env=getout
deny from 58.218.0.0/16
# et ainsi de suite...

Ce fichier .htaccess est situé à la racine de mon site. La variable getout correspond à un groupe de visiteur qui ont un User-Agent douteux et qui ont l’honneur de se faire expulser de manière systématique.

Nota: Ce blog est hébergé par WordPress, l’astuce décrite ci-dessus n’est donc pas appliquée. Allez plutôt casser vos propres jouets ;-þ

Publicité