Que es ModSecurity
ModSecurity es un modulo de firewall de aplicaciones web (WAF) de codigo abierto que funciona como un escudo de seguridad entre internet y el servidor web. Analiza en tiempo real todo el trafico HTTP/HTTPS que llega al servidor y aplica reglas predefinidas para detectar y bloquear solicitudes maliciosas antes de que lleguen a la aplicacion web.
ModSecurity puede detectar y bloquear una amplia variedad de ataques: inyecciones SQL, cross-site scripting (XSS), inclusion de archivos remotos (RFI), travesia de directorios, ataques de fuerza bruta, y muchos otros vectores de ataque definidos en conjuntos de reglas como el OWASP Core Rule Set (CRS).
Como activar ModSecurity en cPanel
- Acceder a cPanel y buscar la seccion Seguridad.
- Hacer clic en ModSecurity.
- Se mostrara el estado actual de ModSecurity para cada dominio de la cuenta.
- Activar el interruptor correspondiente al dominio para habilitar ModSecurity. El cambio es inmediato.
- Se puede activar de forma global para todos los dominios de la cuenta o de forma individual por dominio.
Errores causados por ModSecurity y como gestionarlos
ModSecurity puede generar falsos positivos bloqueando solicitudes legitimas del sitio. Cuando ModSecurity bloquea una solicitud, el servidor devuelve un error HTTP 403 con un mensaje que puede incluir un ID de regla. Estos son los casos mas comunes:
| Situacion | Sintoma | Solucion |
|---|---|---|
| Formulario bloqueado | Error 403 al enviar un formulario | Desactivar regla especifica o ModSecurity para ese dominio |
| Plugin o extension bloqueada | Funcion del sitio no responde | Identificar el ID de regla en el log y crear excepcion |
| Subida de archivos bloqueada | Error al subir archivos al CMS | Revisar el log de ModSecurity para el ID de la regla |
| API bloqueada | Llamadas a la API retornan 403 | Crear regla de excepcion para la URL de la API |
Revisar el log de ModSecurity
Para identificar que regla esta bloqueando una solicitud legitima, revisar el log de errores del servidor. Desde cPanel, acceder a Metricas > Errores o buscar el archivo de log de Apache/LiteSpeed. Un bloqueo de ModSecurity se vera similar a:
[ModSecurity] Access denied with code 403. Pattern match at REQUEST_URI. [id "123456"]
Desactivar ModSecurity para un dominio especifico
Si ModSecurity causa problemas persistentes en un dominio especifico y no es posible resolver el conflicto mediante excepciones de reglas, se puede desactivar solo para ese dominio desde cPanel > ModSecurity, sin afectar los demas dominios de la cuenta. Sin embargo, esto debe ser una solucion temporal mientras se identifica y resuelve el conflicto de reglas.
- Nunca desactivar ModSecurity de forma permanente en un dominio de produccion sin una alternativa de proteccion equivalente.
- El conjunto de reglas OWASP CRS que usa ModSecurity se actualiza regularmente. Mantener las reglas actualizadas es importante para proteger contra nuevas amenazas.
