مرکز آموزش و اخبار میهن هاستینگ > مدیریت سرور لینوکس > آموزش نصب ModSecurity در دایرکت ادمین — فایروال وب‌اپلیکیشن

آموزش نصب ModSecurity در دایرکت ادمین — فایروال وب‌اپلیکیشن

ModSecurity چیست؟

ModSecurity یک فایروال وب‌اپلیکیشن (WAF) متن‌باز است که از وب‌سایت‌ها در برابر حملات رایج مانند SQL Injection، XSS (Cross-Site Scripting)، RFI/LFI و سایر حملات وب محافظت می‌کند.

نصب در دایرکت ادمین

cd /usr/local/directadmin/custombuild
./build set modsecurity yes
./build modsecurity

پس از نصب، Apache یا LiteSpeed ری‌استارت شود:

systemctl restart httpd
# یا
systemctl restart lsws

نصب OWASP Rule Set

قوانین OWASP CRS (Core Rule Set) مجموعه قوانین رایگان و قدرتمند ModSecurity هستند:

./build set modsecurity_ruleset owasp
./build modsecurity

بررسی فعال بودن

# Apache
httpd -M | grep security

# LiteSpeed
# از WebAdmin Console بررسی کنید

تنظیمات مهم

فایل تنظیمات:

/etc/modsecurity/modsecurity.conf

تنظیمات اصلی:

# فعال‌سازی
SecRuleEngine On

# حالت فقط لاگ (برای تست)
SecRuleEngine DetectionOnly

# حداکثر حجم درخواست
SecRequestBodyLimit 13107200

مشکلات رایج

ModSecurity ممکن است درخواست‌های مجاز را هم مسدود کند (False Positive). مثلاً ویرایشگر وردپرس یا WooCommerce ممکن است مشکل داشته باشند.

غیرفعال کردن برای یک دامنه

# در .htaccess سایت
<IfModule mod_security2.c>
  SecRuleEngine Off
</IfModule>

غیرفعال کردن یک قانون خاص

SecRuleRemoveById 942100

بررسی لاگ

tail -50 /var/log/httpd/modsec_audit.log

ModSecurity در LiteSpeed

LiteSpeed از ModSecurity پشتیبانی داخلی دارد و عملکرد بالاتری نسبت به Apache ارائه می‌دهد.

هاست وردپرس میهن هاستینگ با ModSecurity فعال. کانفیگ سرور شامل نصب و تنظیم ModSecurity + OWASP. سرور مجازی با WAF حرفه‌ای.

🛡️ WAF حرفه‌ای

ModSecurity + OWASP برای محافظت حرفه‌ای.

سفارش کانفیگ سرور ←

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

متن نظر
نام*:
رایانامه*:
وب سایت / وبلاگ: