Ce matin j'ai découvert une longue liste d'erreurs 404 dans les logs suggérant qu'on recherche activement une faille : Requests with error response codes 404 Not Found //PMA/config/config.inc.php?p=phpinfo();: 1 Time(s) //phpMyAdmin/config/config.inc.php?p=phpinfo();: 1 Time(s) //phpmyadmin/config/config.inc.php?p=phpinfo();: 1 Time(s) //pma/config/config.inc.php?p=phpinfo();: 1 Time(s) /PMA2005/scripts/setup.php: 1 Time(s) /admin/phpmyadmin/scripts/setup.php: 1 Time(s) /admin/pma/scripts/setup.php: 1 Time(s) /admin/scripts/setup.php: 1 Time(s) /db/scripts/setup.php: 1 Time(s) /dbadmin/scripts/setup.php: 1 Time(s) /myadmin/scripts/setup.php: 1 Time(s) /mysql-admin/scripts/setup.php: 1 Time(s) /mysql/scripts/setup.php: 1 Time(s) /mysqladmin/scripts/setup.php: 2 Time(s) /mysqlmanager/scripts/setup.php: 1 Time(s) /p/m/a/scripts/setup.php: 1 Time(s) /php-my-admin/scripts/setup.php: 2 Time(s) /php-myadmin/scripts/setup.php: 1 Time(s) /phpMyAdmin-2.2.3/scripts/setup.php: 1 Time(s) /phpMyAdmin-2.2.6/scripts/setup.php: 1 Time(s) /phpMyAdmin-2.5.1/scripts/setup.php: 1 Time(s) /phpMyAdmin-2.5.4/scripts/setup.php: 1 Time(s) /phpMyAdmin-2.5.5-pl1/scripts/setup.php: 1 Time(s) ... /pma/scripts/setup.php: 1 Time(s) /pma2005/scripts/setup.php: 1 Time(s) /robots.txt: 1 Time(s) /scripts/setup.php: 1 Time(s) /sqlmanager/scripts/setup.php: 1 Time(s) /sqlweb/scripts/setup.php: 1 Time(s) /typo3/phpmyadmin/scripts/setup.php: 1 Time(s) /w00tw00t.at.blackhats.romanian.anti-sec:): 1 Time(s) /web/phpMyAdmin/scripts/setup.php: 1 Time(s) /web/scripts/setup.php: 1 Time(s) /webadmin/scripts/setup.php: 1 Time(s) /webdb/scripts/setup.php: 1 Time(s) /websql/scripts/setup.php: 2 Time(s) /xampp/phpmyadmin/scripts/setup.php: 1 Time(s) Non je n'épluche pas les logs du serveur en guise de petit-déjeuner, [logwatch](http://www.logwatch.org/) m'envoie un compte-rendu des entrées pertinentes :-) A priori je ne crains pas grand chose sauf s'ils trouvent une faille dans WordPress et me vident ce blog mais j'ai un système de sauvegarde en place basé sur [Rsync](http://fr.wikipedia.org/wiki/Rsync). J'ai néanmoins rajouté un peu de sécurité Apache : - autoriser à redéfinir la sécurité globale à chaque niveau en passant le paramètre AllowOverride à All dans /etc/apache2/sites-available/<ma definition de site> - ajout d'un fichier.htaccess à la racine html pour refuser tout le monde ( deny from all ) - ajout d'un fichier.htaccess au niveau de Piwik pour refuser tout accès depuis l'Internet ( allow from 192.168.0.0/255.255.0.0, deny from all ) Comment tester que ces règles sont appliquées ? on peut  utiliser un proxy Web ou bien tester depuis son téléphone avec le réseau 3G de son opérateur  : -)