<!-- title: Un peu de sécurité Apache -->
<!-- category: Hébergement -->

Ce matin j'ai découvert une longue liste d'erreurs 404 dans les logs suggérant
qu'on recherche activement une faille<!-- more --> :

    Requests with error response codes
        404 Not Found
           //PMA/config/config.inc.php?p=phpinfo();: 1 Time(s)
           //phpMyAdmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
           //phpmyadmin/config/config.inc.php?p=phpinfo();: 1 Time(s)
           //pma/config/config.inc.php?p=phpinfo();: 1 Time(s)
           /PMA2005/scripts/setup.php: 1 Time(s)
           /admin/phpmyadmin/scripts/setup.php: 1 Time(s)
           /admin/pma/scripts/setup.php: 1 Time(s)
           /admin/scripts/setup.php: 1 Time(s)
           /db/scripts/setup.php: 1 Time(s)
           /dbadmin/scripts/setup.php: 1 Time(s)
           /myadmin/scripts/setup.php: 1 Time(s)
           /mysql-admin/scripts/setup.php: 1 Time(s)
           /mysql/scripts/setup.php: 1 Time(s)
           /mysqladmin/scripts/setup.php: 2 Time(s)
           /mysqlmanager/scripts/setup.php: 1 Time(s)
           /p/m/a/scripts/setup.php: 1 Time(s)
           /php-my-admin/scripts/setup.php: 2 Time(s)
           /php-myadmin/scripts/setup.php: 1 Time(s)
           /phpMyAdmin-2.2.3/scripts/setup.php: 1 Time(s)
           /phpMyAdmin-2.2.6/scripts/setup.php: 1 Time(s)
           /phpMyAdmin-2.5.1/scripts/setup.php: 1 Time(s)
           /phpMyAdmin-2.5.4/scripts/setup.php: 1 Time(s)
           /phpMyAdmin-2.5.5-pl1/scripts/setup.php: 1 Time(s)
           ...
           /pma/scripts/setup.php: 1 Time(s)
           /pma2005/scripts/setup.php: 1 Time(s)
           /robots.txt: 1 Time(s)
           /scripts/setup.php: 1 Time(s)
           /sqlmanager/scripts/setup.php: 1 Time(s)
           /sqlweb/scripts/setup.php: 1 Time(s)
           /typo3/phpmyadmin/scripts/setup.php: 1 Time(s)
           /w00tw00t.at.blackhats.romanian.anti-sec:): 1 Time(s)
           /web/phpMyAdmin/scripts/setup.php: 1 Time(s)
           /web/scripts/setup.php: 1 Time(s)
           /webadmin/scripts/setup.php: 1 Time(s)
           /webdb/scripts/setup.php: 1 Time(s)
           /websql/scripts/setup.php: 2 Time(s)
           /xampp/phpmyadmin/scripts/setup.php: 1 Time(s)

Non je n'épluche pas les logs du serveur en guise de petit-déjeuner,
[logwatch](http://www.logwatch.org/) m'envoie un compte-rendu des entrées
pertinentes :-) A priori je ne crains pas grand chose sauf s'ils trouvent une
faille dans WordPress et me vident ce blog mais j'ai un système de sauvegarde
en place basé sur [Rsync](http://fr.wikipedia.org/wiki/Rsync). J'ai néanmoins
rajouté un peu de sécurité Apache :

-    autoriser à redéfinir la sécurité globale à chaque niveau en passant le
paramètre AllowOverride à All dans /etc/apache2/sites-available/&lt;ma
definition de site&gt;
-    ajout d'un fichier.htaccess à la racine html pour refuser tout le monde ( deny
from all )
-    ajout d'un fichier.htaccess au niveau de Piwik pour refuser tout accès depuis
l'Internet ( allow from 192.168.0.0/255.255.0.0, deny from all )

Comment tester que ces règles sont appliquées ? on peut  utiliser un proxy
Web ou bien tester depuis son téléphone avec le réseau 3G de son opérateur  :
-)