解决WordPress Gutenberg编辑器保存文章时触发ModSecurity误报问题

在WordPress站点中使用Gutenberg编辑器时，管理员可能会遇到保存文章请求被ModSecurity拦截的情况。这种情况通常发生在使用OWASP CRS（Core Rule Set）规则集的场景中，表现为后台保存文章时返回403错误。

问题现象分析

当用户通过Gutenberg编辑器提交文章保存请求时，系统会向/wp-json/wp/v2/端点发送POST请求。ModSecurity的安全规则可能会将此请求识别为潜在威胁，特别是当请求中包含以下特征时：

1. 请求路径包含/wp-json/wp/v2/自定义文章类型/ID格式
2. 请求头中包含X-HTTP-Method-Override字段
3. 请求体可能包含HTML内容或特殊字符

在CRS 4.3.0版本中，这类请求可能会触发"BLOCKING_INBOUND_ANOMALY_SCORE"异常检测机制，导致总分超过阈值（默认5分）而被拦截。

解决方案

针对这类误报问题，可以通过以下两种方式解决：

1. 使用WordPress规则排除插件

OWASP CRS社区提供了专门的WordPress规则排除插件，该插件已经预置了大量针对WordPress常见端点的排除规则。安装此插件可以自动解决大多数与WordPress相关的误报问题。

2. 手动添加规则排除

如果使用插件后问题仍然存在，可以手动添加针对特定端点的排除规则。例如，针对自定义文章类型"oferta"的保存请求，可以添加如下规则：

SecRule REQUEST_FILENAME "@rx /wp-json/wp/v[0-9]/oferta/[0-9]+" \
    "id:1000001,\
    phase:1,\
    pass,\
    t:none,\
    nolog,\
    ctl:ruleRemoveTargetById=949110,\
    ver:'wordpress-rule-exclusions-plugin/1.0.1'"

这条规则会匹配特定格式的REST API请求路径，并针对性地禁用可能导致误报的规则ID（如示例中的949110）。

技术原理

ModSecurity的CRS规则集采用评分机制来评估请求的威胁程度。当请求中包含某些可能被解释为攻击特征的参数时，系统会累积异常分数。WordPress的REST API端点由于其设计特点，可能会无意中触发这些检测机制。

通过添加排除规则，我们实际上是告诉安全系统："对于这类特定的、已知安全的请求路径，不需要执行某些安全检查"。这种方法既保持了系统的整体安全性，又解决了特定场景下的误报问题。

最佳实践建议

1. 始终优先使用官方提供的WordPress规则排除插件
2. 添加自定义排除规则时，尽量缩小规则匹配范围
3. 定期更新CRS规则集以获取最新的误报修复
4. 在生产环境应用前，先在测试环境验证排除规则的效果
5. 记录所有自定义排除规则，便于后续维护和审计

通过以上方法，可以有效解决WordPress Gutenberg编辑器保存文章时的误报问题，同时保持网站的安全防护能力。