ModSec - ModSecurity - erreur 403

#1
Bonjour,
ce matin un grand nombre de sites avec le même applicatif ont merdé un peu n'importe où dans le code, encore une fois à cause de ModSecurity que nous avons dû désactivé. J'ai consulté le forum et au vue du nombre de problèmes identiques sur différentes technos, on pourrait dire que si on était prévenu à l'avance, suite à un upgrade de vos serveurs, çà pourrait permettre de ne pas avoir le téléphone qui sonne sans arrêt. Je n'ai pas l'impression que vous avez conscience qu'upgrader sans arrêts vos serveurs emmènent des problèmatiques qu'on pourrait éviter si vous faisiez des tests de compatibilité avec différents CMS. J'ai l'impression en ce moment que c'est une marche forcée. Au final je suppose qu'un grand nombre de vos clients doivent faire comme nous, désactiver ModSec, donc pas top au final en terme de sécurité, non ?
 
#2
Réponse du support:

Désolé que cela ai planté vos sites.

Nos administrateurs travaillent fort pour rendre l'infrastructure mutualisé le plus stable possible. Les attaques contre les xmlrpc, wp-login sont en forte augmentation en 2021. Cela fait très surcharger nos infrastructures. Ils sont entrain d'implanter de nouvelles règles mod security pour bloquer les attaques plus efficacement. Mais effectivement l'activation de mod security peut mal fonctionner avec certains thèmes et plugins.

PlanetHoster a mis en place plusieurs règles customs. Je ne peux vous donner plus de détails par soucis de sécurité. Si mod security gène, désactivez-le. Si le site est sensible à mod security, vous pourriez aussi le déménager sur le hybridcloud.
 
#4
merci Laurent, alors pour info j'ai relancé le support avec la question peut être un peu trop simplicime:

"et alors comment fait-on pour adapter notre code si on ne connait pas les pré-requis ? ;-)"

mais la réponse fut encore plus complexissisme ;-)

"Sur un hybridcloud vous aurez les mêmes règles maisons que sur les mutu, vous pouvez commencer la.
Mais sur les mutu nos administrateurs implementes de nouvelles règles pour cibler les xmlrpc et wp-login."

si quelqu'un peut traduire...
En tout cas un simple post via ajax avec quelques paramètres et hop on te la renvoie en Peugeot 403 ;-) non mais faut pas déconner, demander une page HTML ? hop hop hop c'est interdit çà, trop dangereux !!!! La meilleure sécurité c'est de couper tout dialogue entre navigateurs et serveurs, et là vrai de vrai, on assure la sécurité, on sera tranquille !
 
#5
Bonjour,

J'ai rencontré ce problème sur deux sites que j'administre en 3 jours, l'un sous Wordpress, l'autre sous un CMS perso.

Une journée de perdue en échanges de mail suite au dépôt d'un ticket que j'ai faite sur mon hébergement pour trouver la raison du problème.

Selon les explications qui m'ont été fournies, il s'agit d'une modification récente sur le module ModSecurity (WAF).

Je trouve regrettable que les clients ne soient pas avertis par mail des risques potentiels, sachant que ce problème est connu, si j'en crois ce que m'a répondu l'un des conseiller technique :
"Ceci dit il est trop fréquent que ce dernier occasionne des blocages dans vos tableau de bord pour différentes applications CMS tel que Wordpress, drupal joomla ou autre."

Les gens qui travaillent à l'évolution de Wordpress (qui représente quand même environ 34% des sites web dans le monde) vont-ils devoir s'adapter aux contraintes d'un Firewall ?
 
#6
Bonjour Françis, me concernant avec plusieurs dizaines de sites chez PH sur la base d un progiciel web, je crois avoir fait comprendre à l'équipe support qui testait de nouvelles règles ModSec, que le monde web ce n'est pas que des CMS standards avec des pages de connexion back office, et tester au niveau de ces règles juste de la terminologie dite "suspicieuse" en tant qu'injection de code, comme des noms d'instructions sql par exemple, c'est un peu simpliste. Il est évident, en tout cas pour mon progiciel qui poste des gros tableaux arborescents de données sous Ajax, qu'on a de forte chance de revenir en 403. Pour le moment je suis resté en ModSec désactivé et j'ai fait la demande d'être averti quand il le réactive, car j'avais remarqué qu'il se réactive tout seul de manière aléatoire sur certains instances (a priori lorsqu'un serveur mutualisé se fait attaquer, l'équipe réactive le ModSec).
 
Haut