Plausible社区版与ModSecurity集成配置指南

背景介绍

Plausible作为一款轻量级的网站分析工具，在使用Apache作为反向代理时可能会与ModSecurity安全模块产生兼容性问题。ModSecurity作为Web应用防火墙(WAF)，其默认规则集可能会误判Plausible的正常请求为恶意流量，导致数据收集功能受阻。

常见问题分析

当Plausible与ModSecurity同时运行时，主要会遇到以下几类拦截问题：

1. 内容类型限制：ModSecurity默认会严格检查请求的内容类型，而Plausible的/api/event端点使用text/plain格式发送数据。

2. URL规则拦截：包含.com等域名的请求可能被误判为恶意URL。

3. 用户代理检测：Plausible特定的User-Agent头部可能触发安全规则。

解决方案

1. 允许text/plain内容类型

针对/api/event路由，需要特别允许text/plain内容类型：

SecRule REQUEST_URI "@streq /api/event" \
    "id:1000005,phase:1,t:none,pass,nolog,ctl:requestBodyAccess=On"

2. 禁用特定规则

为/api/event端点禁用可能导致误判的规则：

SecRule REQUEST_URI "@streq /api/event" \
    "id:1000006,phase:1,t:none,pass,nolog,ctl:ruleRemoveById=920420,ctl:ruleRemoveById=949110"

3. 处理User-Agent头部

针对Plausible特定的User-Agent头部放宽限制：

SecRule REQUEST_HEADERS:User-Agent "@contains Plausible" \
    "id:1000008,phase:1,t:none,pass,nolog,ctl:ruleRemoveById=920440,ctl:ruleRemoveById=949110"

4. 处理域名相关请求

允许包含.com等域名的请求通过：

SecRule REQUEST_URI "@contains .com" \
    "id:1000010,phase:1,t:none,pass,nolog,ctl:ruleRemoveById=920440,ctl:ruleRemoveById=949110"

实施建议

1. 规则优先级：确保这些例外规则的ID号高于基础规则集，通常使用较大的ID值(如1000000以上)。

2. 测试验证：部署后应通过Plausible的实时监控功能验证数据收集是否正常。

3. 安全平衡：虽然需要为Plausible放宽某些限制，但仍应保持对其他流量的安全检查。

4. 日志监控：初期应密切观察ModSecurity日志，确认规则生效且没有引入安全风险。

进阶配置

对于需要更高安全性的环境，可以考虑：

1. 使用更精确的路径匹配而非简单的字符串包含
2. 结合IP白名单机制
3. 为Plausible请求添加特定的标记头
4. 实现基于地理位置的访问控制

通过以上配置，可以在保持ModSecurity防护能力的同时，确保Plausible分析服务正常运行，实现安全防护与业务功能的平衡。