Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 Wczoraj 14:19:00
ethanak - 
Użytkownik
Modsecurity crs4, nginx i woocommerce
Sytuacja taka: po zainstalowaniu crs4 kokpit woocommerce praktycznie nie działa (modsec wszystko uważa za próbę ataku). Wywaliłem wykrywanie sql injection dla mssql (bo nazwę wędki Select Master uznał za pewną próbę włamu), jeszcze kilkanaście reguł, tyle że obawiam się, że po ich wywaleniu modsecurity można sobie równie dobrze wyłączyć.
Stąd pytanie: ktoś z Was dostosowywał crs4 do wordpressa/woocommerce? Jeśli tak - jakieś wskazówki?
Ew. Co można użyć zamiast crs4?
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#2 Dzisiaj 12:14:06
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Modsecurity crs4, nginx i woocommerce
Może chodzi o to?
https://docs.nginx.com/nginx-waf/admin-guide/nginx- … af-owasp-crs/
Czyli po prawdopodobnie darmowy Nginx nie gada prawidłowo z regułami CRS4?
W rezerwie masz jeszcze to:
https://webdock.io/en/docs/how-guides/security-guid … untu-1804-vps
A przede wszystkim wystaw kokpit woocommerce i np phpmyadmina na osobnym vhoscie z autoryzacją certyfikatem PKSCS#12.
To załatwi raz na zawsze wszystkie problemy z ewentualnymi włamaniami przez te interfejsy.
Czyli w wielkim skrócie, w konfiguracji Vhosta:
Kod:
ssl_verify_client optional;
ssl_verify_depth 5;
if ( $ssl_client_verify != SUCCESS )
{return 301 https://goodbye.com;}Oczywiście certyfikat CA do weryfikacji musi być globalnie w kontekście http.
Pozdro
Ostatnio edytowany przez Jacekalex (Dzisiaj 12:25:52)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 Dzisiaj 15:27:21
ethanak - Użytkownik
Re: Modsecurity crs4, nginx i woocommerce
To nie tak. Nginx bardzo ładnie gada z regułami csr4, tyle że są zbyt restrykcyjne. Chodzi mi raczej o złagodzenie tych restrykcji bez utraty funkcjonalności.
Propozycje jakichkolwiek certyfikatów na hostingowym serwerze z 200 wordpressami obsługiwanymi w 90% przez jełopów co wiedzą gdzie komputer ma przód bo się świeci pominę znaczącym milczeniem :)
Na serwerze są tylko wordpressy.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline