Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2024-11-22 14:19:00

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Modsecurity crs4, nginx i woocommerce

Sytuacja taka: po zainstalowaniu crs4 kokpit woocommerce praktycznie nie działa (modsec wszystko uważa za próbę ataku). Wywaliłem wykrywanie sql injection dla mssql (bo nazwę wędki Select Master uznał za pewną próbę włamu), jeszcze kilkanaście reguł, tyle że obawiam się, że po ich wywaleniu modsecurity można sobie równie dobrze wyłączyć.
Stąd pytanie: ktoś z Was dostosowywał crs4 do wordpressa/woocommerce? Jeśli tak - jakieś wskazówki?
Ew. Co można użyć zamiast crs4?


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#2  2024-11-23 12:14:06

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Modsecurity crs4, nginx i woocommerce

Może chodzi o to?
https://docs.nginx.com/nginx-waf/admin-guide/nginx- … af-owasp-crs/

Czyli  prawdopodobnie darmowy Nginx nie gada prawidłowo z regułami CRS4?

W rezerwie masz jeszcze to:
https://webdock.io/en/docs/how-guides/security-guid … untu-1804-vps

A przede wszystkim wystaw kokpit woocommerce i np phpmyadmina na osobnym vhoscie z autoryzacją certyfikatem PKSCS#12.
To załatwi raz na zawsze wszystkie problemy z ewentualnymi włamaniami przez te interfejsy.


Czyli w wielkim skrócie, w konfiguracji Vhosta:
       

Kod:

ssl_verify_client optional; 
        ssl_verify_depth 5;
           if ( $ssl_client_verify != SUCCESS )
           {return 301 https://goodbye.com;}

Oczywiście certyfikat CA do weryfikacji musi być globalnie w kontekście http.

Pozdro

Ostatnio edytowany przez Jacekalex (2024-11-23 22:23:09)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2024-11-23 15:27:21

  ethanak - Użytkownik

ethanak
Użytkownik
Skąd: Ungwenor
Zarejestrowany: 2010-07-19
Serwis

Re: Modsecurity crs4, nginx i woocommerce

To nie tak. Nginx bardzo ładnie gada z regułami csr4, tyle że są zbyt restrykcyjne. Chodzi mi raczej o złagodzenie tych restrykcji bez utraty funkcjonalności.
Propozycje jakichkolwiek certyfikatów na hostingowym serwerze z 200 wordpressami obsługiwanymi w 90% przez jełopów co wiedzą gdzie komputer ma przód bo się świeci pominę znaczącym milczeniem :)
Na serwerze są tylko wordpressy.


Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja

Offline

 

#4  2024-11-23 22:21:56

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Modsecurity crs4, nginx i woocommerce

200WP na jednym serwerze? i każdy ma tylko jednego Vhosta?
Woocommerge bym tam nie trzymał (RODO) i oczywiście wzorem sklepu brzoskwinie w bazie zostają klienci z ostatnich 5 lat?
Woocommerge, kiedy go ostatnio widziałem, wszystkie zamówienia pakował do wp_posts, co przy ilości podatności znajdywanych we wtyczkach do WP, pachnie rodo-samobójstwem.
Lepiej zamówienia czyścić z bazy zaraz po zaimportowaniu do programu księgowego.

Co do błędów WP z crs4 to logi error.log i php.log nic nie wyjaśniają?


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)