ModSecurity & really-static

Post a reply

Smilies
:D :) ;) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :!: :?: :idea: :arrow: :| :mrgreen: :geek: :ugeek:
BBCode is ON
[img] is ON
[flash] is OFF
[url] is ON
Smilies are ON
Topic review
   

Expand view Topic review: ModSecurity & really-static

Re: ModSecurity & really-static

Post by RSUser » Wed 12. Jun 2013, 23:10

Wenn man lesen kann ist es definitiv von Vorteil:

Different prefix for every saving routine : x

Dann geht alles wie ich will ;) mit

Url to the templatefolder /template/

Danke!

ModSecurity & really-static

Post by RSUser » Wed 12. Jun 2013, 22:57

Hallo Erik,

1. Danke für den Plugin! really-static ist der Grund wieso ich Word-Press benutze, ich habe einige CMS getestet und eingesetzt, dank really-static habe mich für WP entschieden (und ich bin sehr glücklich mit dieser Entscheidung!)

2. Wie setze ich really-static ein und wieso:

* eine Seite erstellen unter "irgendwas.domain.de"
* really-static (RS) kopiert die Seiten in ein Ordner (außerhalb der WP-Installation)
* die "Static-Domain" lautet: http://www.domain.de
* ich kopiere das Template in den Ordner http://www.domain.de/template/
* die Domain "irgdendwas.domain.de" wird mit .htaccess "verschlossen"

und

* die Kunden müssen Ihre wp-installation nie wieder updaten ;)
* alle Scans und Angriffe auf "www.domain.de" gehen ins leere
* die Seite ist sehr flott
* Backup wird mit Cron erledigt und ist sehr einfach ....
* ich könnte den Kunden einen Webspace ohne SQL Bestellen ;)

Ich habe solche Lösung Jahrelang gesucht ;) DANKE!

Jetzt zum Problem:

ModSecurity blockiert mir die "Url to the templatefolder" Einstellung (nicht immer).

Was mache ich: 123-quicksetup funktioniert
Dann gehe ich auf "Destination"
* ändere den "internal filepath from to cachedfiles" auf paar Ebenen höher und Ordner /wp-static/ z.B. /var/www/web00/html/domain.de/wp-static/
* ändere die Domain von irgdendwas.domain.de auf domain.de
* will "Url to the templatefolder" auf http://domain.de/template ändern und dann bekomme ich die Fehlermeldung 403:

Forbidden

You don't have permission to access /wp-admin/options-general.php on this server.


im errorlog steht folgendes:

Code: Select all
[Wed Jun 12 23:14:21 2013] [error] [client xx.xx.xx.xx] ModSecurity: Access denied with code 403 (phase 2). Match of "beginsWith http://%{SERVER_NAME}/" against "MATCHED_VAR" required. [file "/etc/apache2/modsec2/10_asl_rules.conf"] [line "1995"] [id "340594"] [rev "17"] [msg "Atomicorp.com WAF Rules: Remote File Injection attempt in ARGS"] [severity "CRITICAL"] [hostname "irgendwas.domain.de"] [uri "/wp-admin/options-general.php"] [unique_id "UbjkrU6KWXwAAE7@fzsAAABK"]


mit der älteren Version von WP funktioniert die Einstellung.
Mir kommt es vor mit der aktuellen WP-Version und älteren really-static Version habe ich durch ein Pfad statt URL umgehen können:
"Url to the templatefolder": /template/

Hast Du eine Idee wie ich das lösen/umgehen könnte ohne jedes Mal den Hoster um ModSecurity ausnahmen zu bitten?

Es eilt nicht, da Produktiv-System gut läuft ;) auch ohne Update - aber ich wollte mich bedanken, fragen (falls es leicht geht) und informieren (bevor die anderen "Schimpfen") ;)

Danke & Liebe Grüße

Andreas

PS: Fall ich was testen soll / kann / darf ;) oder Du was ausprobieren möchtest - kein Problem.

Top


cron