[WordPress] ワードプレスのサイトに ModSecurity の Apache LocationMatch ワイルドカード

スポンサーリンク

質問

私 mod_security Ubuntu 14.04 Apache 2.4.7 実行ワードプレスのサイトにインストールされているを持っています。 私は、無視する必要があるルールのほんの一握りが各ページを指定する必要はありませんので、いくつかのワイルドカードの規則を実装して問題を抱えている.

(Site.conf ファイル) に何がある・・・

  <LocationMatch "/wp-admin/post.php">
     SecRuleRemoveById 300016
  </LocationMatch>

  <LocationMatch "/wp-admin/nav-menus.php">
     SecRuleRemoveById 300016
  </LocationMatch>

  <LocationMatch "(/wp-admin/|/wp-login.php)">
     SecRuleRemoveById 950117
     SecRuleRemoveById 950005
     SecRuleRemovebyID 981173
     SecRuleRemovebyId 960024
  </LocationMatch>

    <LocationMatch "/wp-admin/load-scripts.php">
     SecRuleRemoveById 981173
    </LocationMatch>


    <LocationMatch "/wp-admin/plugins.php">
     SecRuleRemoveById 981173
    </LocationMatch>

    <LocationMatch "/wp-admin/customize.php">
     SecRuleRemoveById 981173
    </LocationMatch>

wp-login

および

wp-admin

のワイルドカードを使用して 1 つの規則にすべてを統合して欲しいです。

次を試してみたが、mod_security を投げ拒否. として無視されるらしい

<LocationMatch "(/wp-admin/*|/wp-login/*)">
....

とも

<LocationMatch "(/wp-admin/*)">
....

とも

<Location "/wp-admin/*">
....

LocationMatch と正規表現に関するいくつかの研究を行ってきたが、私はここで何かを得ていないよ。 私が行う可能な衰退?

編集: modsec_audit.log のリファラーの URL は

http://www.<site>.com/wp-admin/customize.php?theme=modality

答え

この動作するはず:

<LocationMatch "/wp-(admin|login)/">

だけパスの開始を検出する第 2 のスラッシュの後に来るもの、必要があるので、ここでは、ワイルドカードを必要はありません

Location

、あなたが必要があります正規表現の解釈をトリガーする

~

:

<Location ~ "/wp-(admin|login)/">

詳細:

http://stackoverflow.com/questions/32041482/apache-locationmatch-wildcard-for-modsecurity-on-wordpress-site

スポンサーリンク

Leave a Reply