Il y a quelques mois, nous vous expliquions la mise en place d’une protection anti-bots renforcée sur le site de notre association. L’objectif était simple : freiner les robots malveillants qui tentent de scraper le site, créer des comptes en masse ou exploiter des failles.

En effet, à cette période, le site avait connu des pics de fréquentation importants, avec plus de 5000 visiteurs connectés simultanément. Dans le même temps, les tentatives automatisées s’étaient multipliées, il restait des pics à 500 visiteurs connectés simultanément

Depuis, le script de protection a fortement évolué.

Et comme souvent en sécurité informatique… renforcer la protection, c’est bien. La rendre intelligente et vivable, c’est mieux.

🛡️ Étape 1 : passer à la vitesse supérieure

La première version du script faisait déjà beaucoup de choses :

• Blocage d’IP malveillantes (firewall)
• Filtrage des robots via Apache
• Gestion de listes blanches (administration, forum…)
• Sauvegardes automatiques

Mais certains bots modernes passaient entre les mailles du filet. Ils imitaient des navigateurs récents, simulaient des comportements humains et contournaient les simples filtres techniques.

La solution : ajouter une couche supplémentaire de protection avec ModSecurity, un pare-feu applicatif (WAF).

Concrètement, nous avons ajouté des règles capables de détecter :

• Des “bot farms” se faisant passer pour Chrome
• Des robots hébergés sur certaines plateformes cloud
• Des navigateurs trop anciens pour être crédibles
• Des outils de scraping comme curl ou wget

Résultat : une nette diminution des tentatives automatisées.

⚠️ Étape 2 : quand la protection devient trop zélée

C’est là que les choses deviennent intéressantes.

ModSecurity est extrêmement puissant. Mais par défaut… il est aussi extrêmement strict.

Ces dernières semaines, plusieurs ajustements ont été nécessaires, car certaines règles pouvaient bloquer des actions parfaitement légitimes.

Plutôt que d’assouplir l’ensemble du système, le choix a été de travailler au cas par cas, pour conserver une protection élevée tout en rétablissant le confort d’utilisation.

🎯 La philosophie adoptée

Le principe reste simple :

• ✅ Désactiver uniquement les règles problématiques
• ✅ Cibler uniquement les zones concernées
• ✅ Conserver partout les protections critiques (injections, accès non autorisés, etc.)

Le script est désormais structuré en plusieurs couches :

• Firewall (blocage IP)
• Filtrage Apache
• ModSecurity (règles anti-bots)
• Exceptions très ciblées
• Diagnostics et sauvegardes automatiques

Aujourd’hui, la fréquentation est plus stable — avec des pointes autour de 50 visiteurs simultanés — ce qui permet d’avoir un système robuste sans être dans une logique de tension permanente comme en octobre.

📩 Vous voyez une erreur 503 ?

Malgré tous les ajustements, il est possible que certaines actions légitimes soient encore bloquées.

Si vous rencontrez une erreur 503 ou 403 en naviguant sur le site ou le forum :

• 👉 Sur notre serveur Discord
• 👉 Via nos réseaux sociaux
• 👉 Par l'intermédiaire d'un membre de l'association
• 👉 ou signalez-le sur le forum si vous y avez accès

Idéalement, précisez :

• La page concernée
• L’action effectuée
• L’heure approximative

Cela nous permettra d’analyser les logs et d’ajuster finement les règles si nécessaire.

🎯 Conclusion

La sécurité d’un site n’est jamais figée. C’est un équilibre permanent entre protection et confort d’utilisation.

Ces dernières semaines ont été consacrées à affiner cet équilibre.

Merci pour votre compréhension… et merci aux membres qui nous ont signalé les petits blocages rencontrés 👍