Plausible社区版与ModSecurity集成配置指南

背景介绍

Plausible是一款轻量级的网站分析工具，其社区版在Apache环境下运行时可能会与ModSecurity（一款流行的Web应用防火墙模块）产生兼容性问题。本文将为系统管理员提供详细的配置方案，确保Plausible在启用ModSecurity的环境中正常运行。

常见问题分析

ModSecurity的默认规则集可能会错误地将Plausible的合法请求识别为潜在威胁，特别是以下两类请求：

1. /api/event端点的数据上报请求
2. 包含特定域名(.com)的追踪请求

这些问题主要表现为HTTP 403禁止访问错误，影响Plausible的正常数据收集功能。

解决方案

1. 允许text/plain内容类型

Plausible的/api/event端点使用text/plain内容类型发送数据，需要特别配置：

SecRule REQUEST_URI "@streq /api/event" \
    "id:1000005,phase:1,t:none,pass,nolog,ctl:requestBodyAccess=On"

此规则确保ModSecurity不会因内容类型问题拦截该端点的请求。

2. 禁用特定规则

针对/api/event端点，需要禁用以下可能产生误报的规则：

SecRule REQUEST_URI "@streq /api/event" \
    "id:1000006,phase:1,t:none,pass,nolog,ctl:ruleRemoveById=920420,ctl:ruleRemoveById=949110"

其中：

• 规则920420通常与内容类型检查相关
• 规则949110可能涉及HTTP协议异常检测

3. 用户代理例外处理

为Plausible的用户代理添加例外规则：

SecRule REQUEST_HEADERS:User-Agent "@contains Plausible" \
    "id:1000008,phase:1,t:none,pass,nolog,ctl:ruleRemoveById=920440,ctl:ruleRemoveById=949110"

4. 域名相关请求处理

允许包含.com域名的追踪请求：

SecRule REQUEST_URI "@contains .com" \
    "id:1000010,phase:1,t:none,pass,nolog,ctl:ruleRemoveById=920440,ctl:ruleRemoveById=949110"

实施建议

1. 测试环境验证：建议先在测试环境中应用这些规则，确认不影响安全性后再部署到生产环境
2. 规则ID自定义：可根据实际环境调整规则ID，避免与现有规则冲突
3. 日志监控：实施后应密切监控ModSecurity日志，确保没有误报或漏报
4. 定期审查：随着Plausible和ModSecurity版本更新，应定期审查这些例外规则的必要性

安全考量

虽然这些例外规则解决了兼容性问题，但管理员应当：

1. 确保只对必要的Plausible相关路径应用例外
2. 保留其他安全规则的完整性
3. 考虑结合IP白名单等额外安全措施
4. 定期审计这些例外规则的使用情况

通过以上配置，可以在保持ModSecurity安全防护的同时，确保Plausible分析服务的正常运行。