Mod_security es un firewall especializado en paquetes de tipo HTTP. Este se encarga de filtrar las peticiones y respuestas hacia y desde el servidor web dejando así la preocupación por la seguridad de las aplicaciones web en manos del firewall y no del desarrollador que en la mayoría de los casos poco o nada conoce sobre los ataques informáticos a páginas web. No obstante lo anterior, en algunos casos será necesario deshabilitarlo para permitir el funcionamiento de algunas aplicaciones que se ven afectadas por las reglas aplicadas por el mod_security.
Si bien no es recomendable deshabilitar esta poderosa herramienta, menos si se trata de ambientes de producción, en algunos casos vamos a necesitar deshabilitar su funcionamiento sin afectar los demas dominios virtuales del servidor web.
Revisemos a continuación la sintaxis para un dominio virtual en apache:
[sourcecode language=’plain’]
ServerAdmin webmaster@dominio.sufijo
DocumentRoot /var/www/html/path_to_site
ServerName subdominio.dominio.sufijo
ErrorLog logs/subdominio.dominio.sufijo-error_log
CustomLog logs/subdominio.dominio.sufijo-access_log common
[/sourcecode]
Se deben agregar algunas lineas para indicarle al servidor que deshabilite el mod_security, así:
[sourcecode language=’plain’]
ServerAdmin webmaster@dominio.sufijo
DocumentRoot /var/www/html/path_to_site
SecRuleEngine Off
ServerName subdominio.dominio.sufijo
ErrorLog logs/subdominio.dominio.sufijo-error_log
CustomLog logs/subdominio.dominio.sufijo-access_log common
[/sourcecode]
Luego de editar el archivo se debe reiniciar el servicio.
Siguenos en: