醜いボットがサーバーの脆弱性をスキャンするのに適切なサーバーステータスコード
ログに/wp-login、/adminなどのURLの404がたくさんあります。これらは、脆弱性についてサイトをスキャンするボットの試みです。
注:私のサイトはWPではなく、/adminでの管理もありません。
私はそれらが満たすニースreqexを作成しました、ボットはfail2banで投獄されます。問題は、どのステータスコードが彼を示しているかです。 404 - page not found-基本的に聞こえます。 4xx, f* you!のような、もっと良いものはありませんか?
404はある意味で理にかなっていると思います。望ましくないものが家に近づいた場合は、必ず彼らに向かって叫んで離れることができますが、ドアに答えないだけの方が理にかなっている可能性があります。これには、あなたが実際に家にいないのか、単に応答しないのかわからないというボーナスが追加されています。 404は、ドアに応答しないことに相当します。
さらに、これらのパスは実際にはサーバーに実際には存在しないという意味で、意味的に正しいです。
関連する考えとして、これらのパスをrobots.txtに追加することを検討します。これにより、悪意のあるURLに悪意のあるボットのみを禁止していることを確認できます。たとえば、bingbotがそれらへのリンクを見つけたためではありませんインターネットの暗いコーナー。
403は、リソースは存在するがリクエストは実行されないことを意味し、410は、リソースが存在していたが存在しなくなったことを意味します。どちらも本当ではないので、とにかく404が最も正しいと思います。