regex - wordpress 网站上 ModSecurity 的 Apache LocationMatch 通配符

Question

我在运行 WordPress 站点的 Ubuntu 14.04 Apache 2.4.7 上安装了 mod_security。我有一些需要忽略的规则，但是我在实现一些通配符规则时遇到了麻烦，因此我不必指定每个页面..

我拥有的(在我的 site.conf 文件中)是...

  <LocationMatch "/wp-admin/post.php">
     SecRuleRemoveById 300016
  </LocationMatch>

  <LocationMatch "/wp-admin/nav-menus.php">
     SecRuleRemoveById 300016
  </LocationMatch>

  <LocationMatch "(/wp-admin/|/wp-login.php)">
     SecRuleRemoveById 950117
     SecRuleRemoveById 950005
     SecRuleRemovebyID 981173
     SecRuleRemovebyId 960024
  </LocationMatch>

    <LocationMatch "/wp-admin/load-scripts.php">
     SecRuleRemoveById 981173
    </LocationMatch>


    <LocationMatch "/wp-admin/plugins.php">
     SecRuleRemoveById 981173
    </LocationMatch>

    <LocationMatch "/wp-admin/customize.php">
     SecRuleRemoveById 981173
    </LocationMatch>

我想要的是将所有内容整合到一个规则中，该规则在 wp-admin 上使用通配符和 wp-login .

我尝试了以下方法，但它似乎被忽略了，因为 mod_security 正在抛出拒绝..

<LocationMatch "(/wp-admin/*|/wp-login/*)">
....

还有

<LocationMatch "(/wp-admin/*)">
....

还有

<Location "/wp-admin/*">
....

我已经对 LocationMatch 和正则表达式进行了一些研究，但我没有在这里得到任何东西。我想做的事可能吗？

编辑:modsec_audit.log 中的引用 URL 是 http://www.<site>.com/wp-admin/customize.php?theme=modality

Answer 1

虽然 Carsten 的回答是正确的，但应注意 Location 和 Location 指令在第 1 阶段 ModSecurity 规则之后运行。但是，无论如何，您的规则似乎都是第 2 阶段，因此在这种情况下这并不特别重要 - 尽管我无法访问规则 300016，因此无法 100% 确定这一点。

无论如何，出于这个原因，我不喜欢使用 Location 和 LocationMatch 并且个人更喜欢在 ModSecurity 中使用新规则进行位置过滤，例如:

SecRule REQUEST_URI "@beginsWith /wp-(admin|login)/" \
   "phase:2,id:1000,nolog,pass,ctl:ruleRemoveById=300016,\
   ctl:ruleRemoveById=950117,\
   ctl:ruleRemoveById=950005
   ...etc.

这样我可以在规则过滤中保持一致(而不是使用上述规则过滤阶段 1 规则，以及通过位置匹配过滤其他规则)。但是，每个阶段都需要一个规则。无论如何，正如我所说，如果目前所有这些都是第 2 阶段或以上的规则，这并不重要。

另一个值得记住的有趣之处是，如果您使用 SecRuleRemoveById，则需要在要删除的规则之后指定 after，而如果使用 ctl:ruleRemoveById，则需要在 before< 之前指定/strong> 您要删除的规则。

然而，大多数 Wordpress 攻击将针对这些 URL。所以你要非常确定你不需要这些规则。通过转向像这样更通用的异常(exception)，您将每条规则与超出其需要的内容进行匹配。例如，如果看起来像您原来的设置，/wp-login.php 只需要其中的 4 个异常(exception)，但您将把它们全部移走。

我建议不要放松规则来匹配更多，你应该努力保持它们严格并且不要做出这种改变。

实际上，您可以进一步收紧它们以仅匹配导致需要异常的某些参数。例如，如果只有用户名字段会导致您出现问题，那么您可以将规则收紧:

<LocationMatch "(/wp-admin/|/wp-login.php)">
     SecRuleUpdateTargetById 950117 !ARGS:'username'
     SecRuleUpdateTargetById 950005 !ARGS:'username'
     SecRuleUpdateTargetById 981173 !ARGS:'username'
     SecRuleUpdateTargetById 960024 !ARGS:'username'
</LocationMatch>

或其他格式:

SecRule REQUEST_URI "@beginsWith /wp-(admin|login)/" \
  "phase:2,id:1000,nolog,pass,\
  ctl:ruleRemoveTargetById=950117;ARGS:username,\
  ctl:ruleRemoveTargetById=950005;ARGS:username,\
  ctl:ruleRemoveTargetById=981173;ARGS:username,\
  ctl:ruleRemoveTargetById=960024;ARGS:username

是的，这可能意味着额外的工作，我知道您来这里是为了整合您的规则以使这更容易，但是如果您最终禁用了很多您所使用的规则，那么运行像 ModSecurity 这样的 WAF 就没有什么意义了旨在防止，不幸的是，Wordpress 成为许多坏人的积极目标，部分原因在于它的受欢迎程度。

所以，虽然我没有直接回答你的问题，但我希望这对你有用，并让你深思。