Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Sytuacja taka: po zainstalowaniu crs4 kokpit woocommerce praktycznie nie działa (modsec wszystko uważa za próbę ataku). Wywaliłem wykrywanie sql injection dla mssql (bo nazwę wędki Select Master uznał za pewną próbę włamu), jeszcze kilkanaście reguł, tyle że obawiam się, że po ich wywaleniu modsecurity można sobie równie dobrze wyłączyć.
Stąd pytanie: ktoś z Was dostosowywał crs4 do wordpressa/woocommerce? Jeśli tak - jakieś wskazówki?
Ew. Co można użyć zamiast crs4?
Offline
Może chodzi o to?
https://docs.nginx.com/nginx-waf/admin-guide/nginx- … af-owasp-crs/
Czyli po prawdopodobnie darmowy Nginx nie gada prawidłowo z regułami CRS4?
W rezerwie masz jeszcze to:
https://webdock.io/en/docs/how-guides/security-guid … untu-1804-vps
A przede wszystkim wystaw kokpit woocommerce i np phpmyadmina na osobnym vhoscie z autoryzacją certyfikatem PKSCS#12.
To załatwi raz na zawsze wszystkie problemy z ewentualnymi włamaniami przez te interfejsy.
Czyli w wielkim skrócie, w konfiguracji Vhosta:
ssl_verify_client optional; ssl_verify_depth 5; if ( $ssl_client_verify != SUCCESS ) {return 301 https://goodbye.com;}
Oczywiście certyfikat CA do weryfikacji musi być globalnie w kontekście http.
Pozdro
Ostatnio edytowany przez Jacekalex (Dzisiaj 12:25:52)
Offline