Bloquer des robots

[ANNIES]

Bonjour

A priori comme beaucoup en ce moment notre forum est submergé par des robots (1000 et plus après chaque purge de session en quelques minutes)

Et que des robots Alibaba GPT Amazon

Question basique et primaire
Comment leur interdire l accès ?

Dans le PCA Il y a « Gestion des robots »
Ok Je rajoute un Robot

Nom du robotAmazonbot/
Dernière visite 25 oct. 2025, 06:37
Options Désactiver
Options Modifier
Options Supprimer
Cocher

Intuitivement, je comprends que je peux cocher « activer « ou « désactiver » ce robots
Et si « supprimer « = alors il est supprimer de la liste ?
Et si
« Activer » = bon robot je l autorise à parcourir le forum. C est ça ?
« Désactiver » = robot malfaisant je veux le bloquer. C est ça ?

C est bien ça ? Ou j ai tout faux

Car si je coche le robot que je viens de rajouter
Et en bas de la liste des robots dans la fonction , que je choisisse « activer » ou « désactiver «  rien ne se passe !!!
Le robot garde son status « désactiver » et il est toujours en train de patrouiller sur le forum


Comment ça marche ?

À moins que cette liste ne bloque rien ?

[Skouat]

Hello,

La liste permet d'identifier les "user-agent" comme étant un robot.
Le problème c'est que bon nombre de connexions ne sont pas identifiables comme étant des robots.
D'où l'inefficacité de la liste.

De plus, que le robot soit identifié ou pas, cela va tout de même impacter ton forum, car cela va établir une connexion au serveur et donc consommer de la ressource.

Pour retrouver de la tranquillité, il faut appliquer un blocage à un niveau plus en amont. A savoir au niveau du service web, voire du serveur (pare-feu).

Cela va dépendre de ce que te permet ton hébergeur.
Sur phpbb-fr.com nous avons récemment bloqué un certain nombre de plage d'adresse IP, notamment celles provenant de Chine, en utilisant la liste fournie sur ce site : https://www.ipdeny.com/ipblocks/
Nous sommes passer de ~250/~600 invités à ~14/~40 invités.

En conclusion, ce n'est pas au niveau du forum qu'il faut agir, mais plus en amont.

[Sylvain Halgand]

BOnjour et merci Skouat

Mon niveau de compréhension est ... bas. Quand tu dis "en amont" s'agit'il par exemple du htaccess du site ?

Si oui, pour chacune des adresses IP données par ipdeny, faut il ajouter une ligne " Require not ip 2.56.20.0/22" par exemple ?
ce qui fera un fichier htaccess très long.

J'ai remarqué qu'au moment des attaques DDos, j'avais de l'activité depuis un point précis de Chine et d'un point précis en Allemagne. Je suppose qu'il y a un vpn "allemand". Dans ce cas, faut-il ajouter la liste des adresses ip allemandes à celles chinoises ?

[Skouat]

Hello,

Quand tu dis "en amont" s'agit'il par exemple du htaccess du site ?

Voici les niveau en partant du plus bas vers le plus haut:
Attention certains éléments son cumulables/complémentaires, donc l'ordre indiqué n'est pas une vérité à prendre au sens premier, c'est juste du bon sens.

-> Permissions du forum
-> Robots.txt
-> .htaccess (uniquement valide pour un serveur Apache)
-> Service Web (Apache, NGnix, etc.) - Fichiers de configuration
-> Service de sécurité du serveur (Fail2ban, iptables, ipset, etc.)
-> Interface d'administration de l'hébergeur (qui peut permettre d'agir sur les 3 points précédents)
-> Service de sécurité externe au serveur (Cloudflare ou équivalent)
-> etc.

Donc, là on peut voir que le .htaccess est bien bas dans la liste... donc c'est souvent insuffisant pour lutter contre les robots.
Mais cela va dépendre de l'hébergeur et de l'offres souscrites...
- Hébergement mutualisé ou dédié ?
- Serveur virtuel privé ou mutualisé ?
- Serveur dédié ?
etc.

ce qui fera un fichier htaccess très long.

Raison pour laquelle, il est préférable d'agir en amont avec des solutions appropriées.
Malheureusement, il n'y en a pas d'universelle. A chacun, de faire au mieux en fonction des contraintes liées à l'hébergement.

[Sylvain Halgand]

BOnjour et merci Skouat

je suis sur un mutualisé chez OVH. Je vais voir ce qui est faisable.

[Troumad]

Bonjour

Tu pourras partager dire ce que tu as fait sur OVH pour assurer la meilleure protection ?

[314r]

Salut tous et toutes

J’étais tanné de taponner.
J’ai cherché en dehors du mode de solution habituel et ce que j’ai fait est imparable et sans aucune doute la manière de faire la plus efficace et professionnelle qu’un webmaster puisses faire en 2026 pour protéger sur le très long terme son site(associé à son domaine- nous c’est notre forum phpBB).

Je n’ai déboursé qu’un prix initial de rien du tout chez Cloudflare. Et j’ai dû piloter Google Gemini en mode gratuit (DeepSeek, gratuit lui aussi, doit pouvoir gérer le truc) avec autorité pour savoir précisément quoi coder chez mon hébergeur et quoi coder chez Cloudflare (ils se marchent sur les pieds si on ne code pas proprement ces gamins).

Pour que l’information vous arrive direct et sans bruit verbeux voici la réponse de Gemini suite à mon prompt que j’ai créé juste pour vous.


autre sujet: expliques moi ce qu’est Cloudflare, son rôle est il essentiel pour un webmaster de forum phpBB. Son niveau d’efficacité dans la lutte anti bots qui inonde en connexions simultanées nos forum est de combien de %. Est il facile à paramétrer. L’utilisation de Gemini est il recommandé pour bien coder Cloudflare en adéquation avec les services redondants de tel ou tel hébergeur. Je veux tout tout savoir. Comment transférer notre nom de domaine chez untel pour qu’il soit dorénavant géré par Cloudflare. Combien ça coûte financièrement en monnaie européenne. Tout connaître.

[2026-01-25_13h06m42s]

### Nature et Rôle

Cloudflare est un **Proxy Inverse (Reverse Proxy)** mondial servant de bouclier entre vos visiteurs et votre serveur phpBB. Il combine un **CDN** (accélération), un **WAF** (pare-feu applicatif) et une protection **DDoS**.

Pour un webmaster phpBB, il est **essentiel** pour :

* **Masquer l'IP réelle** du serveur (évite les attaques directes).
* **Filtrer le spam au niveau réseau** avant qu'il n'atteigne votre base de données.
* **Réduire la charge CPU/RAM** en mettant en cache les fichiers statiques et les requêtes répétitives.

### Efficacité Anti-Bots

L'efficacité varie selon la configuration :

* **Attaques volumétriques (L3/L4) :** **100% d'atténuation** automatique (réseau de 248 Tbps).
* **Inondations HTTP (L7/Connexions simultanées) :** * **Mode "Under Attack" :** Bloque **~99%** des bots basiques en imposant un défi JavaScript transparent.
* **Bot Fight Mode (Gratuit) :** Bloque les bots connus via IA comportementale.
* **Super Bot Fight Mode (Pro) :** Efficacité supérieure (**>95%**) contre les bots sophistiqués (headless browsers).



### Complexité de Paramétrage

Le paramétrage initial est **Simple (5-10 min)** :

1. Ajout du domaine sur Cloudflare.
2. Import automatique des entrées DNS.
3. Modification des serveurs de noms (NS) chez votre registraire actuel.

> **Point critique phpBB :** Vous devez configurer le forum pour restaurer l'IP réelle des visiteurs (via `mod_remoteip` sur Apache ou le header `CF-Connecting-IP` en PHP), sinon tous les utilisateurs apparaîtront avec l'IP de Cloudflare, rendant les bannissements impossibles.

### Rôle de Gemini pour le Code

Gemini est recommandé pour :

* **Génération de Cloudflare Workers :** Coder des scripts Edge pour bloquer des payloads spécifiques à phpBB.
* **Configuration WAF :** Écrire des expressions régulières pour filtrer les attaques par injection SQL courantes sur les vieux forums.
* **Scripts d'API :** Automatiser le "purge cache" lors de la publication de nouveaux messages via les API Cloudflare.
* **Adaptation hébergeur :** Identifier les conflits (ex: double compression Gzip, conflits Varnish chez l'hébergeur) et générer les règles d'exclusion.

### Transfert du Nom de Domaine

Pour que Cloudflare devienne votre **Registraire** (gestionnaire unique) :

1. **Déverrouillage :** Chez votre registraire actuel, déverrouillez le domaine et récupérez le **Code d'autorisation (Auth-Code)**.
2. **Délai :** Le domaine doit avoir été créé ou transféré il y a plus de 60 jours.
3. **Initiation :** Dans le tableau de bord Cloudflare > "Domain Registration" > "Transfer Domains".
4. **Saisie :** Entrez l'Auth-Code.
5. **Validation :** Validez l'e-mail de confirmation envoyé par l'ancien registraire. Le transfert prend 1 à 5 jours.

### Coûts Financiers (Estimations 2026 en Euros)

Cloudflare facture en USD, conversion approximative :

* **Service (Abonnement) :**
* **Free :** 0 € (Suffisant pour débuter).
* **Pro :** ~23 € / mois (WAF avancé, optimisation d'images).
* **Business :** ~185 € / mois (SLA 100%, support prioritaire).


* **Nom de Domaine (Registrar) :** Cloudflare facture "au prix coûtant" (sans marge).
* **.com :** ~9 € à 11 € / an.
* **.fr / .net :** ~8 € à 12 € / an.



À toi...

Discutons-en si vous voulez.

[Sylvain Halgand]

BOnjour, je vous fais un retour d'expérience ( mais pas pour les robots)

D'abord le contexte. Mon site www.collection-appareils.fr est hébergé chez OVH. J'utilise deux database. Une dédiée au forum et l'autre pour tout le reste du site. Depuis plusieurs mois, le forum était la cible d'attaques répétées. J'avais des centaines, voire milliers d'invités sur le forum et d'affichages de pages du site.

Google analytics

Le forum finissait par planter. Dans le reste du site, j'utilise quelques éléments du forum pour l'authentification des utilisateurs, quelques autres données extraits des messages, tant et si bien que les performances du site hors forum étaient aussi impactées. Je recevais de temps en temps des messages de la part d'OVH pour une saturation de CPU de la database du forum (je suis en mutualisé). Coté utilisateurs, c'était pas sympa.

J'ai essayé de filtrer les requêtes d'abord au niveau du forum en bannissant des IP. Insuffisant. J'ai essayé avec le htaccess, insuffisant.
N'étant pas trop technique, j'ai essayé d'installer Cloudflare. Ne comprenant pas trop comment ça fonctionne, j'étais un peu stressé. Comme expliqué dans la procédure Cloudflare, j'ai changé chez OVH le nom des serveurs DNS par ceux de Cloudflare. Cela a déclenché une instabilité du site, qui suivant le navigateur, l'ordinateur, le moment, fonctionnait .. ou pas. J'ai pris peur et j'ai fait machine arrière très rapidement.
Les attaques ont continué de plus en plus sévères.

Je me suis lancé de nouveau dans l'installation de Cloudflare, et j'ai attendu au moins 24 heures. Après un moment bordélique, tout s'est stabilisé, le site et le forum fonctionnant parfaitement bien.

Restait à paramétrer Cloudlfare (version gratuite) :
Cloudflare propose son propre analytics, qui permet de suivre précisément et facilement le trafic et de trouver les IP agressives. IL permet aussi une fois, les régles établies de suivre leur efficacité.
Rapidement, j'ai détecté plusieurs pays (forcément la Chine) d'où partaient les attaques et quelques IP précises.
La version gratuite de Cloudlfare ne permet d'établir que 5 règles personnalisées.
Chaque règle dit "Si condition alors on fait une action".
Les conditions sont du style "IP égale à xxx" ou "Pays égal à yy" etc
Les actions peuvent être un blocage simple, l'apparition d'une sorte de Capcha (On vérifie que vous êtes un humain) etc.
J'ai commencé par bannir certains pays. J'ai demandé à chatgpt de m'aider pour savoir comme exclure des séries complètes d'IP. Je suis vite arrivé aux 5 conditions maxi. Heureusement, les conditions peuvent être renseignées sous la forme si Ip est dans une série ou si ip est dans une autre série etc.. Cela permet d'avoir une seule règle au sens Cloudflare contenant plein de conditions.
Pour l'instant, je tourne avec 4 règles personnalisées :

Voici celle pour les pays :

(ip.src.country eq "CN") or (ip.src.country eq "SG") or (ip.src.country eq "PK") or (ip.src.country eq "VN") or (ip.src.country eq "HK") or (ip.src.country eq "BR") or (ip.src.country eq "KH") or (ip.src.country eq "BD") or (ip.src.country eq "MY") or (ip.src.country eq "IQ")

Voici celle qui oblige l'apparition du Captcha pour l'accès au forum

(http.request.uri.path eq "/phpBB3/ucp.php") or (http.request.uri.path eq "/phpBB3/memberlist.php") or (http.request.uri.path eq "/phpBB3/viewforum.php")

Voici celle pour le filtrage sur des séries d'IP

(ip.src in {43.0.0.0/8}) or (ip.src in {170.106.0.0/16}) or (ip.src in {17.0.0.0/8} or ip.src in {128.241.232.0/24})or ip.src in { 240d:c010::/32 } or (ip.src in {107.172.0.0/14}) or (ip.src in {164.52.0.0/17})

C'est la dernière qui s'enrichira le plus souvent je pense.

Depuis que j'ai mis cela en place, je suis revenu à environ 5000 nouveaux utilisateurs quotidiens comme avant la crise. Sur les dernières 24 heures, Cloudflare a atténué 255 000 requêtes sur le site. Pour l'instant, je n'ai reçu aucune remarque de la part des utilisateurs, d'avoir à cocher de temps en temps la vérification d'être humain. Et moi, je dors mieux.

Cloudflare me semblait une montagne à franchir, je ne trouvais pas vraiment de doc facile à comprendre (les forums techniques qui en parlent sont souvent pleins de termes abscons), mais finalement, ce n'est pas si difficile.

J'espère que mes mots approximatifs auront été utiles.

[Troumad]

Merci pour le partage.

Comment as-tu trouvé et choisi le filtrage d'ip ?
Il est intéressant parce qu'on peut l'utiliser pour tout serveur linux avec le fichier /etc/hosts.deny

[Sylvain Halgand]

Grâce à l'analytics intégré dans Cloudflare. Il te donne un classement des Ip par nombre de requêtes. Quand tu vois le nombre de requêtes pour une IP tu commences à avoir des doutes. Avec l'IP tu peux consulter des sites signalant des IP douteuses.

Lorsque les règles personnalisées sont établies il est possible de savoir combien de fois elles ont été appliquées dans les dernières 24 heures. IL y aussi pour chacune le taux de réussite aux tests de Captcha. Celui doit rester très pas, mais montre lorsqu'il n'est pas égal à 0% que des utilisateurs humains ont réussi à passer le contrôle, et que donc la règle n'est pas bloquante pour le trafic.

Il y a aussi possibilité d'établir en plus des 5 une règle basée sur le volume. Exemple si une IP lance n requêtes par minutes, alors on déclenche une action. Je n'ai pas encore activé une telle règle.