ajout de précisions pour ModSecurity

HowtoApache.md

@@ -1202,11 +1202,11 @@ C'est notamment là qu'on peut autoriser les méthodes HTTP bloquées par défau
 
 #### Affinage des règles pour les applications web type Wordpress
 
-Le ModSecurity Core Rule Set contient des règles spécifiques pour traiter les faux positifs lié à l'utilisation de certaines applications web tel que Wordpress.
+Voir <https://coreruleset.org/docs/concepts/false_positives_tuning/>
 
-Celles-ci sont désactivées par défaut et peuvent être activées en définissant certaines variables de ModSecurity.
+Le ModSecurity Core Rule Set contient des règles spécifiques pour traiter les faux positifs liés à l'utilisation de certaines applications web tel que WordPress.
 
-Un exemple est présent dans le [dépot GitHub Core Rule Set](https://github.com/coreruleset/coreruleset) :
+Il faut alors activer une règle de ce type en sélectionnant la ligne correspondant à son applications, par exemple `tx.crs_exclusions_wordpress=1` :
 
 ~~~
 #SecAction \
@@ -1223,6 +1223,14 @@ Un exemple est présent dans le [dépot GitHub Core Rule Set](https://github.com
 #  setvar:tx.crs_exclusions_phpmyadmin=1,\
 #  setvar:tx.crs_exclusions_wordpress=1,\
 #  setvar:tx.crs_exclusions_xenforo=1"
+
+SecAction \
+ "id:900130,\
+  phase:1,\
+  nolog,\
+  pass,\
+  t:none,\
+  setvar:tx.crs_exclusions_wordpress=1"
 ~~~
 
 
@@ -1253,6 +1261,15 @@ On peut ensuite les désactiver au cas par cas dans un vhost ou dans un `conf.d`
 </IfModule>
 ~~~
 
+#### Ajouter des règles
+
+On peut écrire ses propres règles que l'on mettra par exemple dans un fichier `/etc/modsecurity/*.conf`.
+
+~~~
+$ cat /etc/modsecurity/cve-2018-6389.conf
+
+SecRule REQUEST_URI "@rx (?i:/wp-admin/load-scripts.php?.*?(load%5B%5D|load\[\]|load%5B\]|load\[%5D)=([^&,]*,){13,})" "id:20186389,msg:'Potential use of CVE-2018-6389',deny"
+~~~
 
 #### Désactiver ModSecurity pour un vhost ou un répertoire