Mod Security Nedir ve cPanel üzerinden Mod Security Nasıl Kapatılır, sorularına içeriğimizde yanıt bulabilirsiniz. Mod Security, neredeyse her sunucuda kullanılan açık kaynak kodlu bir güvenlik yazılımıdır. Baştan belirtmekte fayda var ki, Mod_Sec’i kapatmak çeşitli güvenlik sorunlarına zafiyet verebilir.
İçerik Tablosu
Mod Security Nedir?
ModSecurity, web uygulamalarının (PHP, ASP gibi) güvenliğini arttırmak amacıyla kullanılan bir Firewall’dır (Güvenlik Duvarı). ModSec genellikle HTTP isteklerini ve bu istekler sonucunda oluşan cevapları taramak, tararken de potansiyel tehditleri belirlemek için kullanılan bir dizi kurallar içeren bir yazılımdır.
ModSecurity genellikle;
- SQL enjeksiyonları
- XSS (Cross-Site Scripting) saldırıları
- session hijacking
- HTTP üstveri saldırılarına karşı web uygulamasını korumak için geliştirilmiştir.
Apache tabanlı sunucularda yaygın olarak kullanılan ModSecurity, diğer sunuculara da uyarlanabilirdir çünkü açık kaynaklıdır. OWASP (Open Web Application Security Project) tarafından desteklenmektedir ve güncel olarak geliştirilmektedir. Bu da ModSecurity’i en çok tercih sebeplerinden birisi yapmaktadır.

Mod Security Avantajları Nelerdir?
- Açık kaynak kodlu: ModSecurity, açık kaynak kodlu bir projedir ve kullanıcıların kendilerine özel ihtiyaçlarına göre yapılandırmasına olanak tanır. Apache dışındaki yazılımlara da uygulanabilir.
- HTTP isteklerini ve cevaplarını tarama: ModSecurity, HTTP isteklerini ve cevaplarını taramak için tasarlanmıştır ve potansiyel tehditleri belirlemek için kullanılan bir dizi kural ve analitik araç içerir.
- Geniş kapsamlı koruma: ModSecurity, SQL enjeksiyonları, XSS (Cross-Site Scripting) saldırıları, session hijacking, HTTP üstveri saldırıları ve daha birçok tehlikeli web uygulama saldırısına karşı koruma sağlar.
Konuyu toparlamak gerekirse; HTTP trafiğini dinleme noktasında ModSecurity gayet başarılı işler çıkartmaktadır. Apache loglarında her log dinlenmediği için bu açığı ModSecurity kapatmaktadır. Birçok farklı log analiz standartlarını da desteklediği için sunucu yöneticileri tarafından sıklıkla tercih edilmektedir.
Mod Security Dezavantajları Nelerdir?
- Yüksek kaynak gereksinimi: ModSecurity, HTTP isteklerini ve cevaplarını taramak için yüksek miktarda kaynak gerektirir ve büyük web uygulamaları için büyük sunuculara ihtiyaç duyabilir. Bu da çeşitli performans sorunlarına sebebiyet verebilir.
- Yapılandırma zorluğu: ModSecurity’nin doğru yapılandırılması, uzman bir güvenlik uzmanı tarafından yapılması gerektiğinden zaman alabilir ve zordur.
- Güncelleme ve bakım gereksinimi: ModSecurity’nin güncel olması ve düzenli olarak bakım gerektirmesi gerekir, aksi takdirde güncel tehditleri tarayamayabilir.

Mod Security Nasıl Kapatılır? – cPanel
Mod Security, cPanel üzerinden kolayca kapanabilen bir güvenlik duvarıdır. cPanel PHP Sürümü Değiştirme içeriğinde de anlattığımız gibi cPanel’e giriş yaptıktan sonra “Search Tools” bölümünde “Mod” şeklinde bir arama yapmanız yeterlidir. Butonu “Kapalı” konumuna getirmeniz yeterlidir.
Bu işlem güvenlikle ilgili olduğu için Web Hosting firmanıza danışmayı kesinlikle unutmayın.
Doğukan KOZBA
Mod Security Nasıl Kapatılır? – Htaccess
İkinci kapatma yöntemi ise .htaccess dosyasına çeşitli kod yazmaktır. Öncelikle eğer WordPress kullanıyorsanız kesinlikle yedek almanız gerekmektedir.
<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>
Bu kodları .htaccess dosyasına eklemeniz yeterlidir. Eğer yukarıda yer alan kodlar Mod Security’i kapatmadıysa aşağıdaki kodları deneyebilirsiniz.
<IfModule mod_rewrite.c>
RewriteEngine On RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
Sadece bazı URL’lerde ModSecurity uygulamasını kapatmak için ise aşağıdaki kodları kullanabilirsiniz.
<IfModule mod_security.c>
<If "%{REQUEST_URI} =~ m#/admin/#">
SecFilterEngine Off SecFilterScanPOST Off
</If>
</IfModule>
WordPress’te Mod Security Sorunları
Özellikle geçtiğimiz yıl 400’ün üzerinde SEO odaklı WordPress Blog ve Kurumsal site kurarken birçok farklı firma ile çalışma fırsatı yakaladım. Bazı firmalar ModSecurity yazılımına koyduğu özel Rule dizelerinden dolayı Rank Math’in “Breadcrumbs” fonksiyonu devre dışı kalmaktaydı.
Yine bu özel kural dizelerinden dolayı Litespeed Cache eklentisinde herhangi bir fonksiyon açılamıyor veya kapanamıyordu. Bu tarz sorunlarla karşılaşmanız durumunda firmanızdan özel olarak bu uygulamayı kapatmalarını rica edebilirsiniz.