问正确语法对Wordpress / Elementor误报的modsecurity规则

EN

核心规则设定任务发展在这里。由于你给出的排除列表来自于别人的博客文章，所以最好忽略它们。它们禁用了核心规则集的一些关键功能(您正在使用的9 9xxxxx规则是OWASP核心规则集)，所以最好不要应用这些规则排除，除非您确定您知道要做什么以及为什么需要这些排除。

您引用的"HitList“中的三个条目:您确定这些条目是已知良好流量的结果吗？这些绝对是你试图更新页面时得到的403个错误吗？如果您确信这些是真正的假阳性(而不是攻击)，那么让我们继续…

假阳性#1

导致假阳性的

• The规则:引起假阳性的 921110
• The位置:导致假阳性的 /wp-admin/post.php
• The变量： ARGS:content

应用规则排除意味着在WAF的安全性上戳一个洞。我们想要尽可能的具体，这样我们就只需要做最小的洞。我们只想让被错误阻塞的事务通过，仅此而已。我们不想打开一个大洞，为攻击者提供一个通过的机会。

考虑到这一点，让我们尝试采取以下方法:只排除所讨论的变量(ARGS:content)，并仅将其从导致问题的规则(921110)中排除，并且只排除问题发生在(/wp/post.php)的位置。

把所有这些放在一起看上去是这样的：

SecRule REQUEST_URI "@beginsWith /wp-admin/post.php" \
    "id:1000,\
    phase:1,\
    pass,\
    nolog,\
    ctl:ruleRemoveTargetById=921110;ARGS:content"

假阳性#2

导致假阳性的

• The规则:引起假阳性的 941100
• The位置:导致假阳性的 /wp-admin/post.php
• The变量：未知

我们不知道是什么变量导致了这个问题。

对于location /wp/post.php，您可以完全禁用规则941100，但这可能会导致过度(还记得我们试图制造的最小漏洞吗？)

您可能希望再次检查您的日志，以找出哪个变量导致了规则941100的问题。

假阳性#3

导致假阳性的

• The规则:引起假阳性的 941160
• The位置:导致假阳性的 /wp-admin/admin-ajax.php
• The变量： ARGS:actions

按照和以前一样的食谱：

SecRule REQUEST_URI "@beginsWith /wp-admin/admin-ajax.php" \
    "id:1010,\
    phase:1,\
    pass,\
    nolog,\
    ctl:ruleRemoveTargetById=941160;ARGS:actions"

更多信息

有关规则排除和大量示例的更多信息，您可以自己使用和调整，请查看我们在这里的优秀文档：https://coreruleset.org/docs/configuring/false_positives_tuning/。