Mod_security es un firewall especializado en paquetes de tipo HTTP. Este se encarga de filtrar las peticiones y respuestas hacia y desde el servidor web dejando así la preocupación por la seguridad de las aplicaciones web en manos del firewall y no del desarrollador que en la mayoría de los casos poco o nada conoce sobre los ataques informáticos a páginas web. No obstante lo anterior, en algunos casos será necesario deshabilitarlo para permitir el funcionamiento de algunas aplicaciones que se ven afectadas por las reglas aplicadas por el mod_security.
Si bien no es recomendable deshabilitar esta poderosa herramienta, menos si se trata de ambientes de producción, en algunos casos vamos a necesitar deshabilitar su funcionamiento sin afectar los demas dominios virtuales del servidor web.
Revisemos a continuación la sintaxis para un dominio virtual en apache:
<VirtualHost *:80> ServerAdmin webmaster@dominio.sufijo DocumentRoot /var/www/html/path_to_site ServerName subdominio.dominio.sufijo ErrorLog logs/subdominio.dominio.sufijo-error_log CustomLog logs/subdominio.dominio.sufijo-access_log common </VirtualHost>
Se deben agregar algunas lineas para indicarle al servidor que deshabilite el mod_security, así:
<VirtualHost *:80> ServerAdmin webmaster@dominio.sufijo DocumentRoot /var/www/html/path_to_site <IfModule mod_security2.c> SecRuleEngine Off </IfModule> ServerName subdominio.dominio.sufijo ErrorLog logs/subdominio.dominio.sufijo-error_log CustomLog logs/subdominio.dominio.sufijo-access_log common </VirtualHost>
Luego de editar el archivo se debe reiniciar el servicio.
Siguenos en: