2 façons d'écraser les grattoirs et les pirates avec Wordfence

Wordfence est un plugin de sécurité WordPress populaire. Parmi les fonctionnalités figurent un scanner qui surveille les fichiers piratés et un pare-feu avec des règles régulièrement mises à jour qui bloquent de manière proactive les robots malveillants. Il y a aussi une fonctionnalité utile cachée dans l’outil qui met à disposition des règles de pare-feu configurables par l’utilisateur qui peuvent booster votre capacité à bloquer les pirates, les scrapers et les spammeurs. Pour une raison quelconque, cet outil n’est pas immédiatement visible et vous devez cliquer sur plusieurs menus pour le trouver. Mais une fois que vous l’aurez trouvé, vous découvrirez un moyen simple et efficace d’empêcher les scrapers, les pirates et les spammeurs d’attaquer votre site. Les grattoirs sont particulièrement gênants car ils plagient votre contenu et le publient ailleurs. Maintenant, avec l’outil fourni par Wordfence, vous pouvez faire quelque chose à propos de ces grattoirs. L’utilisation d’un outil comme Wordfence peut aider à réduire la quantité de contenu que les scrapers peuvent plagier. Il existe de nombreux plugins de sécurité WordPress et solutions SaaS parmi lesquels choisir qui sont fortement recommandés, notamment Sucuri Security et Cloudflare. Wordfence est l’une des nombreuses solutions de sécurité disponibles et c’est à vous de déterminer laquelle vous convient le mieux dans votre flux de travail. Wordfence et d’autres solutions fonctionnent bien comme une solution « set it and forget it ». Cependant, d’après mon expérience, j’ai constaté que le pare-feu configurable par l’utilisateur dans Wordfence donne la possibilité d’augmenter la puissance de martèlement du bot et de vraiment le coller aux pirates et aux grattoirs. Mais avant de composer le pare-feu, il est important de savoir jusqu’où ces règles de pare-feu peuvent être prises et nous y jetterons également un coup d’œil.

Sécurité WordPress

Wordfence est approuvé par plus de 4 millions d’utilisateurs pour la protection de leurs sites WordPress. Le comportement par défaut du pare-feu consiste à bloquer les bots qui saisissent trop de pages trop rapidement ou les bots et les humains qui affichent des activités qui signalent une intention de pirater le site. Le pare-feu bloquera l’adresse IP du robot malveillant pendant une période de temps définie, après quoi Wordfence supprimera le blocage. Les paramètres par défaut du pare-feu fonctionnent très bien. Mais parfois, les bots parviennent toujours à passer et sont capables de gratter un site ou de le sonder à la recherche de vulnérabilités en grattant lentement le site. Une approche courante des pirates consiste à configurer un bot pour qu’il accède rapidement au site et lorsqu’il est bloqué, il se tourne vers d’autres adresses IP et agents utilisateurs, ce qui oblige un pare-feu à recommencer le processus de détection. Mais ces bots ne sont pas toujours très bien programmés, ce qui permet de les bloquer plus facilement qu’avec les paramètres par défaut de Wordfence.

Informations générales sur les règles de pare-feu Wordfence

Il est possible d’effectuer un blocage efficace des bots avec des outils au niveau du serveur, plusieurs plugins et même en utilisant un fichier.htaccess. Mais éditer un fichier.htaccess peut être délicat car il y a des règles strictes à suivre et une erreur dans le fichier.htaccess peut entraîner l’échec de tout le site. L’utilisation de règles de pare-feu est simplement un moyen plus simple de bloquer les bots. Que pouvez-vous bloquer avec Wordfence ? Wordfence vous permet de créer des règles à bloquer selon chacune des raisons suivantes :

  • Plage d’adresses IP
  • Nom d’hôte
  • Agent utilisateur du navigateur
  • Référent

Plage d’adresses IP

L’adresse IP désigne l’adresse IP du serveur ou du FAI d’où provient le bot ou l’humain.

Nom d’hôte

Le nom d’hôte signifie le nom de l’hôte. L’hôte n’est pas toujours déclaré, parfois le bot/visiteur humain affiche juste une adresse IP.

Agent utilisateur du navigateur

Chaque visiteur du site indique généralement au serveur quel navigateur il utilise. L’agent utilisateur du navigateur désigne le navigateur que le visiteur dit utiliser. Un bot peut dire qu’il s’agit de pratiquement n’importe quel navigateur, ce qu’il fait parfois pour échapper à la détection.

Référent

Il s’agit d’une page à partir de laquelle un bot ou un humain aurait cliqué sur un lien.

Blocage de motifs personnalisés Wordfence

La façon de bloquer les mauvais robots à l’aide de l’une des quatre variables ci-dessus consiste à ajouter une règle personnalisée dans l’outil de blocage de modèle personnalisé. Voici comment y accéder.

Étape 1

Étape 2

Choisissez l’onglet intitulé Blocage

Étape 3

Choisissez l’onglet « Modèle personnalisé » et créez une règle de pare-feu dans le champ approprié. L’un des champs est étiqueté « Raison du blocage ». l’agent utilisateur ou autre. Cela vous aidera à revoir toutes les règles que vous créez en étant capable de trier selon le type de bloc dont il s’agit.

Étape 4

Étape 5

Créez votre règle en cliquant sur le bouton « Bloquer les visiteurs correspondant à ce modèle » et vous avez terminé.

Les règles Wordfence peuvent utiliser l’astérisque

comme joker.

Devriez-vous bloquer les adresses IP avec Wordfence ?

Wordfence permet à un éditeur de configurer facilement des règles de pare-feu qui bloquent efficacement les bots. C’est une bénédiction, mais cela peut aussi être une malédiction. Par exemple, le blocage permanent de milliers d’adresses IP à l’aide du pare-feu Wordfence n’est pas efficace et n’est probablement pas une bonne utilisation de Wordfence. Bloquer temporairement les adresses IP, c’est bien. Le blocage permanent des adresses IP n’est probablement pas très bien car, si je comprends bien, de mémoire, cela peut gonfler ou ralentir votre installation WordPress. En général, le blocage permanent de milliers, voire de millions d’adresses IP est mieux réalisé avec un fichier.htaccess.

Blocage du nom d’hôte avec Wordfence

Bloquer un nom d’hôte avec Wordfence peut être un moyen de bloquer les pirates, les spammeurs et les scrapers. En cliquant sur Wordfence > Outils, vous pouvez afficher le journal de trafic Wordfence Live. Cela vous montre les robots et les visiteurs humains, y compris les robots qui ont été bloqués automatiquement par Wordfence. Tous les visiteurs du site n’affichent pas leur nom d’hôte. Cependant, dans certains cas, ils affichent leur nom d’hôte, ce qui facilite le blocage d’un hôte Web entier. Par exemple, un site, pour une raison quelconque, attire des niveaux DDOS de trafic de robots à partir d’un seul hôte. Aucun de mes autres sites n’attire autant l’attention de cet hôte, juste celui-ci. Entre mars 2020 et décembre 2021, ce site a reçu plus de 250 000 attaques et chacune d’entre elles a été bloquée par Wordfence. De toute évidence, le blocage des bots par nom d’hôte peut être utile si vous souhaitez bloquer un hôte cloud qui n’envoie que des pirates et des scrapers. Cependant, certains hébergeurs, comme Amazon Web Services (AWS), envoient à la fois de mauvais bots et de bons bots. Le blocage des serveurs AWS peut également bloquer par inadvertance les bons bots. Il est donc important de surveiller votre trafic et d’être absolument certain que le blocage d’un nom d’hôte ne se retournera pas contre vous. D’autre part, si vous n’avez aucune utilité pour le trafic en provenance de Russie ou de Chine, il est facile de bloquer les pirates, les scrapers et les spammeurs de ces deux pays en créant une règle de pare-feu à l’aide du champ du nom d’hôte. Tout ce que vous avez à faire est de créer une règle qui bloque tous les noms d’hôte se terminant par.ru et.cn. Cela bloquera tous les noms d’hôtes russes et chinois qui se terminent par.ru et.cn.

Voici ce que vous saisissez dans le champ Nom d’hôte  :

*.ru

*.cn Ceci ne vise pas à encourager quiconque à utiliser Wordfence pour bloquer les robots russes et chinois via le nom d’hôte. C’est juste un exemple pour montrer comment c’est fait.

Bloquer les pirates et les grattoirs par agent utilisateur

De nombreux robots malveillants utilisent des agents utilisateurs de navigateur anciens et obsolètes. Après l’invasion de l’Ukraine par la Russie, j’ai remarqué une augmentation du piratage de bots utilisant l’agent utilisateur (UA) Chrome 90 du même groupe d’hébergeurs. Normalement, le trafic des bots est différent sur les différents sites Web. Cela s’est donc démarqué lorsqu’ils se ressemblaient tous sur tous mes sites. Chaque fois que Wordfence bloquait automatiquement ces bots pour avoir accédé trop rapidement à mon site, les bots changeaient d’adresse IP et recommençaient à visiter les sites encore et encore. J’ai donc décidé de bloquer ces robots par leur agent utilisateur de navigateur (souvent appelé simplement UA). J’ai d’abord consulté le site Web de StatCounter pour déterminer combien d’utilisateurs dans le monde utilisent Chrome 90. Selon les statistiques de StatCounter, la part de navigateur Chrome 90 en janvier 2022 était de 0,09 % de part de marché aux États-Unis. Au moment d’écrire ces lignes, le navigateur Chrome est à la version 100. Étant donné que Chrome met automatiquement à jour les versions du navigateur pour la grande majorité des utilisateurs, il n’est pas surprenant que l’utilisation de Chrome 90 soit pratiquement nulle, il est donc très peu probable que le blocage de tous les visiteurs utilisant un L’agent utilisateur du navigateur Chrome 90 ne bloquera pas une personne réelle et légitime visitant votre site. J’ai donc déterminé qu’il était sûr de bloquer tout ce qui s’affiche sur mon site avec l’agent utilisateur Chrome 90. Cependant, il existe des outils en ligne, comme GTMetrix et un vérificateur d’en-tête de serveur de sécurité, qui utilisent l’agent utilisateur Chrome 90. Donc, si je bloquais toutes les versions de Chrome 90 (en utilisant cette règle : *Chrome/90.*), je bloquerais également ces deux outils en ligne. Une autre façon de faire est de regarder les variantes spécifiques de Chrome 90 utilisées par les pirates et les outils en ligne.

GTMetrix et l’autre outil utilisent cet UA Chrome  :

Chrome/90.0.4430.212

Les pirates et les grattoirs utilisent ces UA Chrome  :

Chromé/90.0.4400.8 Chromé/90.0.4427.0 Chromé/90.0.4430.72 Chromé/90.0.4430.85 Chromé/90.0.4430.86 Chromé/90.0.4430.93

Ainsi, si vous souhaitez autoriser les outils en ligne à analyser votre site mais également à bloquer les robots malveillants, voici un exemple de la marche à suivre  :

*Chrome/90.0.4400.8* *Chrome/90.0.4427.0* *Chrome/90.0.4430.72* *Chrome/90.0.4430.85* *Chrome/90.0.4430.86* *Chrome/90.0.4430.93*

Voici comment bloquer Chrome/90.0.4430.93  :

Avertissement concernant le blocage des agents utilisateurs

Avant de bloquer Chrome 90, j’ai continué à vérifier le journal de trafic de Wordfence (accessible sur Wordfence> Outils) afin de m’assurer qu’aucun robot légitime, comme GTMetrix, n’utilise Chrome 90 n’utilisait cet agent utilisateur. Par exemple, vous ne voudrez peut-être pas bloquer Chrome 96 car certains outils de Google utilisent Chrome 96 comme agent utilisateur. Recherchez toujours si des bots légitimes utilisent un agent utilisateur ou un nom d’hôte particulier. Et un moyen facile de rechercher cela en utilisant le journal de trafic Wordfence.

Journal de trafic Wordfence

Le journal de trafic Wordfence vous montre en un coup d’œil tous les agents utilisateurs accédant à votre site en temps quasi réel. Le journal de trafic affiche des informations telles que l’agent utilisateur, indique si le visiteur est un bot ou un humain, fournit l’adresse IP, le nom d’hôte, la page consultée et d’autres informations permettant de déterminer si un visiteur est légitime ou non. Pour accéder au journal de trafic. Le blocage des anciennes versions de navigateur est un moyen simple de bloquer de nombreux robots malveillants. Les versions Chrome des séries 80, 70, 60, 50, 30 et 40 sont particulièrement nombreuses sur certains sites.

Voici un exemple de la façon de bloquer les anciens UA Chrome qui sont utilisés par les mauvais bots  :

*Chrome/8*.* *Chrome/7*.* *Chrome/6*.* *Chrome/5.0* *Chrome/95.* *Chrome/5*.* *Chrome/3*.* *Chrome/4 *.*

Encore une fois, ce qui précède n’est pas un encouragement à bloquer les robots ci-dessus. La raison pour laquelle j’utiliserais *Chrome/6*.* est qu’avec une seule règle, je peux bloquer toute la série d’agents utilisateurs Chrome 60, Chrome 60, 61, 63, etc. sans avoir à écrire les dix agents utilisateurs. Je peux bloquer toute la série 60 avec une seule règle. Ne bloquez pas les séries dix et plus comme celle-ci * Chrome / 1 *. * car cela bloquera également la version la plus récente de Chrome, Chrome 100. Ce qui précède est un Exemple

de la façon de bloquer les mauvais bots à l’aide des agents utilisateurs Chrome décrits. Les mauvais bots utilisent également les anciens agents utilisateurs du navigateur Firefox et certains affichent même python-requests/ en tant qu’agent utilisateur.

Soyez prudent lors de la création de règles de pare-feu Faites toujours vos recherches en premier pour déterminer ce que les mauvais bots utilisent sur vos propres sites et assurez-vous qu’aucun bot ou visiteur du site légitime n’utilise ces agents utilisateurs de navigateur anciens et retraités. La façon de faire votre recherche consiste à inspecter vos fichiers journaux de trafic ou les journaux de trafic Wordfence pour déterminer quels agents utilisateurs (ou noms d’hôte) proviennent du trafic malveillant que vous ne voulez pas.

Tags: , ,