it-swarm-es.com

ModSecurity devuelve 403 prohibido en administrador de artículo administrador

Recibo mensajes 403 Prohibido en el panel de administración de Joomla 3.6.5 cuando yo (como Súper Usuario) intento:

  1. Seleccione cualquier página del 2 al final
  2. Cambiar los artículos por página de los 20 predeterminados
  3. Busque un artículo usando el cuadro de búsqueda de palabras clave
  4. Filtrar artículos por categoría de artículo

Si deshabilito ModSecurity en cPanel no tengo este problema, pero mis proveedores de alojamiento no recomiendan deshabilitar ModSecurity. La regla que se desencadena es:

Mensaje: Acceso denegado con código 403 (fase 2). La prueba 'ARGS: view | ARGS: tmpl | ARGS: layout' against '! (^ [0-9a-z -:] + $ | ^ $)' es verdadera. [*** [id "390606"] [msg "Reglas WAF de Atomicorp.com - Parche virtual Just In Time: inyección de Joomla ARG"] [gravedad "CRÍTICA"] [MatchedString "filtro [búsqueda] ="]

No tengo acceso a ModSecurity que no sea para habilitarlo o deshabilitarlo en cPanel.

Lo extraño es que esto sucede en dos sitios web, usando la misma plantilla, en mi cuenta de revendedor, pero no tengo estos problemas en el sitio web de la cuenta de revendedor ni en ninguno de sus subdominios. Pero mi proveedor de alojamiento me dice que todas las reglas de ModSecurity son las mismas.

También dicen "El problema es que las instalaciones de Joomla están tropezando con las reglas de Mod_security con respecto a las inyecciones de argumentos, etc. Esto se debe a la forma en que Joomla está programado y las reglas de Mod_Security dicen que esta no es una forma segura de hacerlo"

Hemos estado dando vueltas y vueltas en círculos, así que estoy publicando aquí con la esperanza de que alguien más haya tenido este problema y haya encontrado una solución.

3
Gillian Steedman

No creo que este problema ocurra para todos. Creo que las palabras clave de búsqueda específicas que está utilizando son el problema, o tal vez algo más específico de su sitio web (¿quizás un complemento común?). Probé el patrón anterior en 3 sitios diferentes en 3 servidores diferentes que ejecutan ModSecurity, pero la regla (regla # 390606) no se activó.

Dicho esto, la única forma de deshacerse del problema es incluir en la lista blanca la regla en el whitelist.conf file (ver aquí ), pero dudo que la empresa de hosting se encargará de esa solicitud, porque pensarán (y con razón) que esta lista blanca afectará negativamente la seguridad en sus servidores. Sin embargo, siempre puede intentarlo, pero para ser sincero, no me quedaría con un Anfitrión que se adapte a tal solicitud.

ModSecurity se está volviendo cada vez más agresivo, y probablemente la mejor manera de lidiar con sus falsas alarmas es tener su propio VPS, y luego puede incluir en la lista blanca esas reglas.

1
itoctopus