Protéger son site web via crawlprotect
L'application web crawlprotect permet de protéger son site web contre les attaques.
Via un fichier .htaccess qui va être installé à la racine du site, ou qui va mettre à jour l'actuel, crawlprotect intervient sur différents types d'attaques.
Sécurisation des variables GET.
C'est le cas classique où l'intervenant essaye d'afficher une page extérieure au site en ajoutant dans les paramètres de l'url une variable qui commence par http. Toute la panoplie des variable est testé (ftp, https ...), en clair comme en crypté.
Les règles étant fortes, il y a des chances que les url même du site soient bloquées, notamment dans le cas d'utilisation d'Ajax, puisque certaines vérification se font via des variables GET.
Empêcher l'exécution de SQL.
Se sont les instructions SQL qui sont testées, toujours via l'utilisation de variable GET passées dans l'url.
Sécurisation des variables GET.
Ici l'intervenant est bloqué lorsqu'il passe dans l'url des valeurs de variables qui sont en fait des commandes de script javascript, en exécution, en redirection.
Empêcher un crawl abusif.
Certains robots sont excessif dans leur vitesse de crawl, ou bien ne sont pas désirés car connu pour aspirer le contenu des sites. Ici c'est le HTTP_USER_AGENT qui est testé.
Coté installation sur le site, le script crawlprotect s'installe sans base de donnée et ne nécessite qu'un login et password.
L'application propose de mettre à jour (ou de créer) le fichier .htaccess afin que les règles soient prises en compte. Avant de valider cette mise à jour, il est proposé une validation permettant de voir les nouvelles règles proposées. Cette étape permet éventuellement de supprimer les règles en doublons avec celles déjà en place.
Une fois validé, le fichier .htaccess est opérationnel, mais peut être modifié en jouant sur les paramètres proposés.
L'application propose également un audit des répertoires et des fichiers sur les aspects droits.
Voyez ici pour accéder au site et télécharger la dernière version de CrawlProtect