特定のディレクトリで特定のmod_securityルールを無効にするにはどうすればよいですか？

Question

私は、このルールを無効にしたい：例外は行くべき

[file "/usr/share/modsecurity-crs/activated_rules/modsecurity_crs_41_sql_injection_attacks.conf"] [line "159"] [id "981173"] [rev "2"] [msg "Restricted SQL Character Anomaly Detection Alert - Total # of special characters exceeded"] [data "Matched Data: - found within ARGS:customize_changeset_uuid: a507417f-75f3-434e-ac8c-90b21b3b164d"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "8"] [tag "OWASP_CRS/WEB_ATTACK/SQL_INJECTION"] 

ディレクトリについては

/var/www/romanpastu/wp-admin 

を？私の.htaccessでは？またはvhostファイルですか？

何も問題ありません。 apache2のに

を使用して

イムは、アイブ氏は、私のバーチャルホストファイルに次のように追加してみました。しかし、そのはまだ

<LocationMatch "/wp-admin/update.php"> 
    <IfModule security2_module> 
     SecRuleRemoveById 981173 
    </IfModule> </LocationMatch> <LocationMatch "/wp-admin/customize.php"> 
    <IfModule security2_module> 
     SecRuleRemoveById 981173 
    </IfModule> </LocationMatch> 

Answer 1

を働いていないことは、ルールがあなたの設定で定義されている後に追加する必要があります。したがって、あなたの仮想ホストを定義している場合（上記のルールを削除することを含む）、後であなたの設定でModSecurityルールを読み込んでもうまくいかない場合、それは別の方法で行う必要があります。

また、ModSecurityが--enable-htaccess-config設定（デフォルトではありません）でコンパイルされていない限り、htaccessファイルのModSecurityルールを変更することはできません。

さらに、LocationMatchにルールを設定すると問題が発生する可能性があります。また、wp-adminはまさにModSecuritgを使用して、本当にこれらのルールを無効にするかどうかを慎重に検討しないようにするためのページのようなものです。詳細については、この質問への私の答えもご覧ください：Apache LocationMatch wildcard for ModSecurity on wordpress site。

は、だから私はあなたの問題を引き起こしているこの引数にこのルールをのみオフに代わり、以下のものを使用してお勧めします：

SecRuleUpdateTargetById 981173 !ARGS:'customize_changeset_uuid' 

は、あなたが他の引数は、問題が発生した場合と同様の例外を追加する必要があります。