De nombreux bots automatisés et crawlers malveillants parcourent le web à la recherche de fichiers exposés : comme les dumps de bases de données (.sql), les dépôts Git (.git/), les logs de serveur et d'autres fichiers liés au développement. Si de tels fichiers sont accidentellement présents sur votre serveur, ils peuvent devenir des vecteurs d'attaque majeurs, en divulguant des données sensibles ou des informations sur le code, la structure de votre application, ou des accès à des données confidentielles.
De plus, même si votre infrastructure est bien conçue et n'expose pas ce type de fichiers, l'ensemble des requêtes effectuées par ces bots a tendance à polluer vos logs, ralentir vos outils de reporting et générer une charge inutile sur vos serveurs.
Avec redirection.io, vous pouvez rapidement créer des règles pour bloquer instantanément l'accès à ces types d'URL sensibles, en renvoyant simplement un code de statut 404 Not Found, pour indiquer simplement que la ressource n'existe pas.
Que fait cette recette redirection.io ?
Cette recette crée une sorte de "barrière de protection" autour de votre site web en identifiant les requêtes suspectes et en les bloquant avant même qu'elles n'atteignent votre infrastructure backend. Sans que vous le sachiez, votre site reçoit très certainement des milliers de requêtes vers des fichiers du type :
/db.sql/.git//backup.tar.gz/phpinfo.phpindex.php.old- et bien d'autres encore !
Lorsqu’une requête correspond à un des patterns que nous avons identifiés, redirection.io renvoie une réponse de type "Erreur 404", ce qui permet de signifier au bot attaquant que la ressource demandée n'existe pas. La requête n’est pas enregistrée dans les logs, ce qui permet de réduire le bruit dans vos outils d’analyse et de monitoring, et rien ne permet au robot de détecter qu'une protection est en place.
Pourquoi utiliser cette recette ?
Il ne s'agit pas seulement de performance — il s'agit aussi d'une forme hygiène de sécurité pour votre plateforme Web !
Pour les sites web hébergés sur des serveurs traditionnels, des architectures headless, des plateformes CMS ou des générateurs de sites statiques, bloquer les tentatives d'exploit connues est une décision de bon sens. Cette recette est particulièrement utile pour :
- les agences qui gèrent plusieurs environnements client et souhaitent ajouter une couche de sécurité par défaut ;
- les responsables marketing ou SEO fatigués de voir des requêtes indésirables dans leurs outils d'analyse ;
- les équipes IT, afin d'écarter le trafic illégitime avant qu'il n'atteigne les serveurs applicatifs backend.
Cela ne nécessite aucune modification sur votre serveur, aucune configuration de WAFs ou de pare-feu. Cela fonctionne, tout simplement.
Si votre site n'est pas conçu avec WordPress, vous pourriez également vouloir installer cette recette complémentaire : blocage des URLs WordPress.
Comment installer cette recette sur mon site ?
Pour installer cette recette sur votre site web, suivez les étapes suivantes :
Comment installer cette recette ?
- Cliquez sur "Installer sur mon site web" : Cela créera des règles redirection.io en mode "brouillon" qui bloquent les chemins dangereux connus (comme
.sql,/.git/,.env, etc.) en renvoyant un code d'état403 Forbidden. - Vérifiez et publiez les règles : Une fois satisfait, publiez les règles pour activer immédiatement la protection sur l'ensemble de votre site web.
Vous n'avez rien à configurer manuellement — les règles sont prédéfinies pour couvrir les tentatives de vol de données les plus courantes.
Important : Veuillez examiner la liste complète des règles créées par cette recette avant de publier. Bien que les patterns soient choisis pour être sûrs, chaque site web est différent — assurez-vous qu'aucun d'entre eux n'interfère avec des fichiers ou des routes légitimes sur votre infrastructure.
