Особенно, это касается отправки форм, работы визуальных редакторов тем, вроде Avada, Elementor и др.
При ложном срабатывании, вместо сайта можно увидеть ошибку 403, а в логах будут записи вида:
[Fri Sep 19 10:58:49.000264 2020] [security2:error] [pid 121742] [client 127.0.0.1:52474] [client 127.0.0.1] ModSecurity: Warning. Matched phrase "Stack trace:" at RESPONSE_BODY. [file "/usr/share/modsecurity-crs/rules/RESPONSE-953-DATA-LEAKAGES-PHP.conf"] [line "46"] [id "953100"] [msg "PHP Information Leakage"] [data "Matched Data: Stack trace: found within RESPONSE_BODY:
\\x0aFatal error: Uncaught Exception: URL rejected: Malformed input to a URL function in /var/www/html/test.php:30\\x0aStack trace:\\x0a#0 {main}\\x0a thrown in /var/www/html/test.php on line 30
\\x0a"] [severity "ERROR"] [ver "OWASP_CRS/3.3.5"] [tag "application-multi"] [tag "language-php"] [tag "platform-multi"] [tag "attack-disclosure"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/118/116"] [tag "PCI/6.5.6"] [hostname "example.ru"] [uri "/test.php"] [unique_id "aM0NOFD7q-0qSwJbWW7NhgAAAAc"]
[Fri Sep 15 10:58:49.000371 2020] [security2:error] [pid 121742] [client 127.0.0.1:52474] [client 127.0.0.1] ModSecurity: Access denied with code 403 (phase 4). Operator GE matched 4 at TX:outbound_anomaly_score. [file "/usr/share/modsecurity-crs/rules/RESPONSE-959-BLOCKING-EVALUATION.conf"] [line "77"] [id "959100"] [msg "Outbound Anomaly Score Exceeded (Total Score: 4)"] [ver "OWASP_CRS/3.3.5"] [tag "anomaly-evaluation"] [hostname "example.ru"] [uri "/test.php"] [unique_id "aM0NOFD7q-0qSwJbWW7NhgAAAAc"]
[Fri Sep 15 10:58:49.000603 2020] [security2:error] [pid 121742] [client 127.0.0.1:52474] [client 127.0.0.1] ModSecurity: Warning. Operator GE matched 4 at TX:outbound_anomaly_score. [file "/usr/share/modsecurity-crs/rules/RESPONSE-980-CORRELATION.conf"] [line "103"] [id "980140"] [msg "Outbound Anomaly Score Exceeded (score 4): individual paranoia level scores: 4, 0, 0, 0"] [ver "OWASP_CRS/3.3.5"] [tag "event-correlation"] [hostname "example.ru"] [uri "/test.php"] [unique_id "aM0NOFD7q-0qSwJbWW7NhgAAAAc"]
Здесь мы можем видеть номер правила, которое сработало - 953100
И URL, на котором произошло срабатывание - /test.php
Если есть уверенность, что это ложное срабатывание и оно мешает нормальной работе сайта, его можно добавить в исключения.
Для конкретного URL
Открываем или создаём новый файл /etc/apache2/conf-enabled/whitelist.conf и добавляем:
< LocationMatch "/test.php">
SecRuleRemoveById 953100
< /LocationMatch>
Для всего сайта целиком
Открываем файл нашего виртуального хоста /etc/apache2/sites-enabled/000-default.conf
После строчки SecRuleEngine On добавляем:
SecRuleRemoveById 953100Рекомендуемые настройки для нормальной работы Wordpress
Добавляем в /etc/apache2/conf-enabled/whitelist.conf
SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006 980130 941310 951240
SecRuleRemoveById 300015 300016 300017 950907 950005 950006 960008 960011 960904 959006 981173 980130 941310 951240
SecRuleRemoveById 951240
И глобально отключаем правила в 000-default.conf:
SecRuleRemoveById 933120 941310А так же, открываем файл настроек CRC /etc/modsecurity/crs/crs-setup.conf, поиском находим блок с фразой "crs_exclusions_wordpress=1" и приводим к следующему виду:
SecAction \
"id:900130,\
phase:1,\
nolog,\
pass,\
t:none,\
setvar:tx.crs_exclusions_wordpress=1"
Изначально данный блок закомментирован. Снимаем комментирование и не забываем в конце оставить двойные кавычки, как показано на примере выше.
Все остальные строки для drupal, cpanel и так далее, оставляем закомментированными (если они у вас не установлены).