Bagaimana kita bisa menonaktifkan mod_security
dengan menggunakan file .htaccess
pada server Apache?
Saya menggunakan WordPress di domain pribadi saya dan memposting posting yang isinya memiliki beberapa blok kode dan sesuai dengan penyedia hosting saya mengatakan mod_security
memberikan kesalahan dan IP saya telah masuk ke firewall karena mod_security
.
Jadi saya ingin menonaktifkan mod_security
dengan menggunakan file .htaccess
.
Hal ini mungkin dilakukan, tetapi kemungkinan besar host Anda menerapkan mod_security
karena suatu alasan. Pastikan mereka menyetujui Anda menonaktifkannya untuk situs Anda sendiri.
Dengan demikian, ini seharusnya bisa dilakukan;
<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
Hanya untuk memperbarui pertanyaan ini untuk mod_security 2.7.0+ - mereka mematikan kemampuan untuk memitigasi modsec melalui htaccess kecuali Anda mengkompilasinya dengan flag --enable-htaccess-config
. Kebanyakan host tidak menggunakan opsi compiler ini karena memungkinkan keamanan yang terlalu longgar. Sebagai gantinya, vhosts di httpd.conf adalah pilihan Anda untuk mengendalikan modsec.
Bahkan jika Anda mengkompilasi modsec dengan mitigasi htaccess, ada lebih sedikit arahan yang tersedia. SecRuleEngine
tidak lagi dapat digunakan di sana misalnya. Berikut ini adalah daftar yang tersedia untuk digunakan secara default di htaccess jika diizinkan (perlu diingat bahwa host dapat membatasi daftar ini lebih lanjut dengan AllowOverride
):
- SecAction
- SecRule
- SecRuleRemoveByMsg
- SecRuleRemoveByTag
- SecRuleRemoveById
- SecRuleUpdateActionById
- SecRuleUpdateTargetById
- SecRuleUpdateTargetByTag
- SecRuleUpdateTargetByMsg
Info lebih lanjut di wiki modsec resmi
Sebagai catatan tambahan untuk pengguna 2.x: IfModule
sekarang harus mencari mod_security2.c
bukan mod_security.c
yang lama
Apabila solusi di atas tidak berhasil, cobalah ini:
<IfModule mod_security.c>
SecRuleEngine Off
SecFilterInheritance Off
SecFilterEngine Off
SecFilterScanPOST Off
SecRuleRemoveById 300015 3000016 3000017
</IfModule>