Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Sytuacja taka: po zainstalowaniu crs4 kokpit woocommerce praktycznie nie działa (modsec wszystko uważa za próbę ataku). Wywaliłem wykrywanie sql injection dla mssql (bo nazwę wędki Select Master uznał za pewną próbę włamu), jeszcze kilkanaście reguł, tyle że obawiam się, że po ich wywaleniu modsecurity można sobie równie dobrze wyłączyć.
Stąd pytanie: ktoś z Was dostosowywał crs4 do wordpressa/woocommerce? Jeśli tak - jakieś wskazówki?
Ew. Co można użyć zamiast crs4?
Offline
Może chodzi o to?
https://docs.nginx.com/nginx-waf/admin-guide/nginx- … af-owasp-crs/
Czyli prawdopodobnie darmowy Nginx nie gada prawidłowo z regułami CRS4?
W rezerwie masz jeszcze to:
https://webdock.io/en/docs/how-guides/security-guid … untu-1804-vps
A przede wszystkim wystaw kokpit woocommerce i np phpmyadmina na osobnym vhoscie z autoryzacją certyfikatem PKSCS#12.
To załatwi raz na zawsze wszystkie problemy z ewentualnymi włamaniami przez te interfejsy.
Czyli w wielkim skrócie, w konfiguracji Vhosta:
ssl_verify_client optional; ssl_verify_depth 5; if ( $ssl_client_verify != SUCCESS ) {return 301 https://goodbye.com;}
Oczywiście certyfikat CA do weryfikacji musi być globalnie w kontekście http.
Pozdro
Ostatnio edytowany przez Jacekalex (2024-11-23 22:23:09)
Offline
To nie tak. Nginx bardzo ładnie gada z regułami csr4, tyle że są zbyt restrykcyjne. Chodzi mi raczej o złagodzenie tych restrykcji bez utraty funkcjonalności.
Propozycje jakichkolwiek certyfikatów na hostingowym serwerze z 200 wordpressami obsługiwanymi w 90% przez jełopów co wiedzą gdzie komputer ma przód bo się świeci pominę znaczącym milczeniem :)
Na serwerze są tylko wordpressy.
Offline
200WP na jednym serwerze? i każdy ma tylko jednego Vhosta?
Woocommerge bym tam nie trzymał (RODO) i oczywiście wzorem sklepu brzoskwinie w bazie zostają klienci z ostatnich 5 lat?
Woocommerge, kiedy go ostatnio widziałem, wszystkie zamówienia pakował do wp_posts, co przy ilości podatności znajdywanych we wtyczkach do WP, pachnie rodo-samobójstwem.
Lepiej zamówienia czyścić z bazy zaraz po zaimportowaniu do programu księgowego.
Co do błędów WP z crs4 to logi error.log i php.log nic nie wyjaśniają?
Offline