OWASP Policy 屬於通用型的 WAF 規則, 除非你的程式是全部自己刻出來的, 在原始碼階段, 就用白箱掃描工具把程式調整好, 否則, 她很難適應特定現成的 Application 套件去調整, 因為這些套件開發者, 有可能在開發時, 就不理 OWASP 的安全原則, 那一定會衝突.

在開發階段就沒有參考 OWASP 的軟體, 不適合直接套用 OWASP Policy WAF.

建議使用: 專為 WordPress 設計的 WAF 防禦工具, 例如: WordFence, Cloudflare, Bitninja...等, 它們都有針對 WordPress 調整過的 Policy, 可以讓套件順利且安全的執行, 然後外面再套上 Cloud Armor 做網路層和 Web Server/Load Balancer 對 DDoS 的防守, 至於 Application 層 (WordPress) 的誤報, 就讓 Cloud Armor 全部放行不要處理.

我經常同時使用兩三套 WAF 互補長短, 不會從頭到尾只依賴一套而已;
根據不同特性, 有些 WAF 工具放在 Web Server 之外, 有些會建在主機內.
這也更能有效抵抗資安面對的瑞士乳酪理論（Swiss Cheese Model）.

WAF 誤報是很常見的事情, 要不就改原始碼, 要不就自己改寫 WAF Policy, 如果你只會 on/off 別人寫好的 Policy, 自己不會重寫的話, 就要多引進其他工具來補強.

1. 先確認是誤判還是真正的攻擊
   針對被阻擋的請求，先檢查 Cloud Armor Log，看具體的 Request URI、Query Parameters，確認是否是 WordPress 內部的正常行為，還是真的有攻擊跡象。
   若有特定的 WordPress 功能（例如發佈文章、插件 API）頻繁被誤判，這些在另外處理。

2. 調整 WAF 規則，僅針對 WordPress 相關 API
   不一定要直接關掉整個 SQL Injection 規則，可嘗試針對 WordPress 會觸發的 API（如 /wp-admin/、/wp-json/）來放寬規則：

• 建立 WAF exception rule：針對特定路徑 /wp-admin/* 允許某些規則。
• 自訂 rule exclusion：僅對某些 args 或 body 參數放行，避免整體關閉規則。

3. 使用 Google Cloud Armor 的自訂 Rule
   Armor 允許自訂 rule exclusion，可以先讓所有請求進入 preview mode，確認哪些 args（參數）或 header 是被錯誤攔截的，然後針對這些參數加白名單：
   {
   "expression": "request.path.matches('/wp-admin/.*')",
   "action": "ALLOW"
   }
   只對 WordPress 管理介面放行，而不是完全關掉 WAF 規則。

4. 如 WordPress 套件無法改，考慮 Nginx Reverse Proxy，可以在 Cloud Armor 前加一層 Nginx Reverse Proxy，針對 wp-admin 或 wp-json API 做參數 rewrite，避免參數格式剛好符合 SQL Injection 攻擊模式。對特定 User-Agent 或 Referer（例如：Googlebot、內部 IP）設例外規則。

以上參考