Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2024-11-22 14:19:00
ethanak - 
Użytkownik
Modsecurity crs4, nginx i woocommerce
Sytuacja taka: po zainstalowaniu crs4 kokpit woocommerce praktycznie nie działa (modsec wszystko uważa za próbę ataku). Wywaliłem wykrywanie sql injection dla mssql (bo nazwę wędki Select Master uznał za pewną próbę włamu), jeszcze kilkanaście reguł, tyle że obawiam się, że po ich wywaleniu modsecurity można sobie równie dobrze wyłączyć.
Stąd pytanie: ktoś z Was dostosowywał crs4 do wordpressa/woocommerce? Jeśli tak - jakieś wskazówki?
Ew. Co można użyć zamiast crs4?
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#2 Wczoraj 12:14:06
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Modsecurity crs4, nginx i woocommerce
Może chodzi o to?
https://docs.nginx.com/nginx-waf/admin-guide/nginx- … af-owasp-crs/
Czyli prawdopodobnie darmowy Nginx nie gada prawidłowo z regułami CRS4?
W rezerwie masz jeszcze to:
https://webdock.io/en/docs/how-guides/security-guid … untu-1804-vps
A przede wszystkim wystaw kokpit woocommerce i np phpmyadmina na osobnym vhoscie z autoryzacją certyfikatem PKSCS#12.
To załatwi raz na zawsze wszystkie problemy z ewentualnymi włamaniami przez te interfejsy.
Czyli w wielkim skrócie, w konfiguracji Vhosta:
Kod:
ssl_verify_client optional;
ssl_verify_depth 5;
if ( $ssl_client_verify != SUCCESS )
{return 301 https://goodbye.com;}Oczywiście certyfikat CA do weryfikacji musi być globalnie w kontekście http.
Pozdro
Ostatnio edytowany przez Jacekalex (Wczoraj 22:23:09)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#3 Wczoraj 15:27:21
ethanak - Użytkownik
Re: Modsecurity crs4, nginx i woocommerce
To nie tak. Nginx bardzo ładnie gada z regułami csr4, tyle że są zbyt restrykcyjne. Chodzi mi raczej o złagodzenie tych restrykcji bez utraty funkcjonalności.
Propozycje jakichkolwiek certyfikatów na hostingowym serwerze z 200 wordpressami obsługiwanymi w 90% przez jełopów co wiedzą gdzie komputer ma przód bo się świeci pominę znaczącym milczeniem :)
Na serwerze są tylko wordpressy.
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#4 Wczoraj 22:21:56
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Modsecurity crs4, nginx i woocommerce
200WP na jednym serwerze? i każdy ma tylko jednego Vhosta?
Woocommerge bym tam nie trzymał (RODO) i oczywiście wzorem sklepu brzoskwinie w bazie zostają klienci z ostatnich 5 lat?
Woocommerge, kiedy go ostatnio widziałem, wszystkie zamówienia pakował do wp_posts, co przy ilości podatności znajdywanych we wtyczkach do WP, pachnie rodo-samobójstwem.
Lepiej zamówienia czyścić z bazy zaraz po zaimportowaniu do programu księgowego.
Co do błędów WP z crs4 to logi error.log i php.log nic nie wyjaśniają?
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline