mod_security ve .htaccess

İnternette -benim de kullandığım gibi- blogların ve içerik yönetim sistemlerinin kullanımı arttı. Ancak bu programların bazı güvenlik problemleri oluşturması özellikle hosting firmalarının sistem yöneticilerinin başını ağrıtan sorunlardan biri. Web sunucu olarak Apache kullanan birçok sistem yöneticisi POST yöntemiyle çalışan bu sistemlerdeki güvenlik açıklarını kapatmak için mod_security eklentisini kullanıyorlar. Bu eklentiyle POST ile çalışan formlardan gelen tehlikeli web istekleri engellenebiliyor.

Ancak bu eklenti bazen blog sayfalarına, içerik yönetim sistemlerine yazan editör ve kullanıcıları canından bezdirebilir. Mod_security sistem yöneticisinin isteğine göre ayarlanabildiğinden dolayı herşeye bağırabilir ancak linux dünyasında çözümler çok.

Çözüm; .htaccess. Sitenizde .htaccess dosyası içerisine yazacağınız aşağıdaki birkaç ayar mod_security sorunlarını azaltacaktır.

Örneğin www.siteniz.com/manager/deneme.php adresindeki form ile POST işleminden dolayı hata alıyorsanız,


SecFilterEngine On
SecFilterSelective “REQUEST_URI” “/manager/deneme.php” “allow,nolog”

ekleyebilirsiniz. Eğer formdan gönderilen hangi değerin ya da kelimenin soruna sebep olduğunu biliyorsanız,

SecFilterEngine On
SecFilterSelective “POST_PAYLOAD” “sorun_cikaran_kelime” “allow,nolog”

ekleyebilirsiniz. Formdan gelen POST bilgilerinin kontrolünü tamamen kapatmanız da mümkün. Bunun için aşağıdaki satırı .htaccess dosyanızda kullanabilirsiniz.

SecFilterScanPOST Off

mod_security kullanımı tamamen iptal etmek için ise,

SecFilterEngine Off

değeri yeterli olacaktır. Bunlar da yeterli olmazsa artık çok uğraşmayın ve sistem yöneticinize danışın.

Leave a Reply


*