Forum

You are not logged in.

#1 30-12-2018 10:57:16

lian
Membre
Registered: 05-03-2013
Posts: 80

WAF et WordPress Classic Editor

Bonjour, le Waf, ça me rappelle un peu le temps de Free à ses débuts: plein de promesses mais l’utilisateur est un peu beta testeur :-)

Problème rencontré et observé sur un WordPress minimal: si on active Classic Editor (ou toute extension permettant de se passer de Gutenberg), les images de la bibliothèque refusent d’être insérées dans le contenu d’un article que ce soit en mode visuel ou HTML.

Offline

#2 03-01-2019 11:34:18

@Héloïse
Staff
Registered: 03-03-2016
Posts: 335

Re: WAF et WordPress Classic Editor

Bonjour,

Il y a eu en effet une période de Beta mais qui est maintenant finie. La plupart des erreurs que vous nous avez remontées sont des faux positifs ; les règles étant trop restrictives pour votre usage. Les logs sites (admin/logs/sites) vous donnent tous les blocages, l'horaire et la raison. En observant ceux de votre comptes on voit d'ailleurs qu'il stoppe un nombre important de scanbots considérés comme malveillants.

Dans ce cas précis, il détecte du XSS et bloque des injections de code HTML lors de l'upload d'images. Vous pourriez momentanément désactiver le WAF lorsque vous travaillez sur votre WordPress.

Nous sommes sinon en train de travailler sur un ajout de fonctionnalité qui vous permettra d'exclure des règles vous bloquant. Attention, en excluant la règle bloquant le XSS, votre site ne sera plus protégé lorsque un autre utilisateur (malveillant) tentera de faire du XSS.

Offline

#3 03-01-2019 12:07:11

lian
Membre
Registered: 05-03-2013
Posts: 80

Re: WAF et WordPress Classic Editor

OK, je tâcherai de regarder les logs (je n’ai pas le réflexe) mais j’imagine que n’importe quel utilisateur dans mon cas (insertion d’images en mode classique sous l’effet d’attaques) rencontrera le même problème. Ce qui rend le Waf problématique car on se retrouve à désactiver/activer.
C’est quand même bon à savoir lorsque l’on est utilisateur WP :-)

Offline

#4 03-01-2019 12:14:09

@Héloïse
Staff
Registered: 03-03-2016
Posts: 335

Re: WAF et WordPress Classic Editor

C'est malheureusement le problème, il est compliqué de protéger sans effets de bords d'où la possibilité future d'exclure des règles et/ou chemins.

Offline

#5 07-01-2019 11:34:13

@Héloïse
Staff
Registered: 03-03-2016
Posts: 335

Re: WAF et WordPress Classic Editor

La possibilité d'exclure des règles/chemins à été mise en production.

Offline

#6 07-01-2019 11:39:40

lian
Membre
Registered: 05-03-2013
Posts: 80

Re: WAF et WordPress Classic Editor

@Héloïse wrote:

La possibilité d'exclure des règles/chemins à été mise en production.

C’est super. Mais où trouver de la doc là-dessus? Je suis bien incapable de rajouter une règle au regard du problème que je rencontre :-(

Offline

#7 07-01-2019 11:45:28

@Héloïse
Staff
Registered: 03-03-2016
Posts: 335

Re: WAF et WordPress Classic Editor

On est en train de l'écrire. Je reviens vers vous dès que c'est fait.

Offline

#8 07-01-2019 11:46:50

lian
Membre
Registered: 05-03-2013
Posts: 80

Re: WAF et WordPress Classic Editor

@Héloïse wrote:

On est en train de l'écrire. Je reviens vers vous dès que c'est fait.

Super super.

Offline

#9 10-01-2019 10:34:14

@Héloïse
Staff
Registered: 03-03-2016
Posts: 335

Re: WAF et WordPress Classic Editor

Offline

#10 10-01-2019 10:53:42

lian
Membre
Registered: 05-03-2013
Posts: 80

Re: WAF et WordPress Classic Editor

Merci beaucoup, je vais tâcher de voir quelle règle la plus précise possible correspond à mon problème.

Offline

Board footer

Powered by FluxBB