Come utilizzare ModSecurity WAF

Cos’è ModSecurity

Il Web Application Firewall (WAF) “ModSecurity” è un modulo aggiuntivo di Apache che accresce la protezione dei siti. È installato e attivo di default su tutti i servizi Web Hosting Linux.

ModSecurity è uno strumento di sicurezza che ti aiuta a proteggere il tuo sito web da traffico potenzialmente dannoso. Per farlo monitora le operazioni che avvengono sul sito quali ad esempio apertura di pagine, caricamento o eliminazione di file, invio di dati tramite form contatti, ecc. ModSecurity blocca l’esecuzione delle operazioni che ritiene rischiose. Tale valutazione avviene in automatico secondo regole standardizzate.

Talvolta questi blocchi potrebbero riguardare attività legittime e necessarie al corretto funzionamento del sito. Ciò avviene anche utilizzando alcuni plugin e temi molto diffusi, che risultano incompatibili con i vincoli più restrittivi imposti da ModSecurity.

ModSecurity può quindi operare in diverse modalità a seconda del livello di controllo che desideri applicare al traffico del tuo sito. Questa guida ti spiega come utilizzare ModSecurity e adattarlo alle tue esigenze.

Modalità di funzionamento di ModSecurity

ModSecurity prevede tre modalità operative:

1. Disabilitato: ModSecurity è attivo ma applica controlli estremamente basilari al traffico, lasciando il sito privo di un’adeguata protezione e quindi esposto al rischio di attacchi o minacce
2. Abilitato – Full Strict: qualsiasi richiesta viene sottoposta alle regole di filtraggio previste dal firewall, senza eccezioni. Questa modalità garantisce il massimo livello di protezione, ma potrebbe bloccare anche traffico legittimo
3. Abilitato – con regole disabilitate: tutte le regole della modalità Full Strict vengono applicate al traffico in entrata, tranne quelle esplicitamente disabilitate. È infatti possibile creare una whitelist di regole disabilitate (che vengono cioè ignorate). Questa opzione è utile per evitare che il firewall blocchi traffico legittimo, mantenendo comunque un livello elevato di protezione del sito.

Come abilitare o disabilitare ModSecurity

1. Dal pannello Manager, accedi alla pagina di gestione del tuo servizio di Hosting

2. Fai click su Web Application Firewall: ModSecurity

3. Il box “Abilitato” o “Disabilitato” indica lo stato attuale di abilitazione del firewall ModSecurity. Qui è possibile:

• Cliccare su Abilita WAF per attivare ModSecurity (quando è disabilitato)
• Clicca su Disabilita WAF per disattivare ModSecurity (quando è già abilitato)

Gestione delle regole disabilitate

Le regole di ModSecurity sono identificate da codici numerici, come ad esempio:

912120

9002800

920120

Quando ModSecurity è attivo, potrebbe bloccare alcune tipologie di traffico sul tuo sito. Quando ciò accade il blocco viene sempre registrato nel file error.log del tuo Hosting, riportando il codice della regola che ha causato il blocco. Se scopri che il traffico bloccato è legittimo (ad esempio, richieste valide di utenti o funzionalità del sito), puoi disabilitare le regole specifiche che causano il blocco. In questo modo ModSecurity smetterà di filtrare quel tipo di traffico e il sito funzionerà correttamente.

Funzione “Scansiona“

Se sospetti che alcune funzionalità del tuo sito vengano bloccate da ModSecurity, puoi cliccare su Scansiona: questa funzione ti mostrerà l’elenco delle regole che hanno causato dei blocchi nella giornata odierna.

Dopo aver identificato le regole che stanno bloccando traffico legittimo, puoi aggiungerle all’elenco delle Regole disabilitate. In questo modo, quelle specifiche tipologie di traffico verranno consentite, mentre ModSecurity continuerà a filtrare il resto del traffico per garantire la sicurezza del sito.

• Seleziona con la spunta le regole che intendi aggiungere all’elenco delle Regole disabilitate
• Fai click sul bottone “+” per aggiungere le regole selezionate all’elenco delle Regole disabilitate

In alternativa puoi aggiungere anche singole regole, facendo click sui singoli bottoni “+” accanto ad ogni regola.

Aggiunta manuale di regole

Oltre alla funzione “Scansiona“, è possibile aggiungere anche manualmente una o più regole all’elenco delle Regole disaibilitate.

L’aggiunta manuale può essere utile se sei a conoscenza di un insieme di regole che è consigliato disabilitare o escludere (talvolta la documentazione dei temi e dei plugin indicano se ci sono regole sono incompatibili con il loro funzionamento). Inoltre puoi aggiungere regole che hai rilevato in autonomia consultando i log meno recenti del tuo Hosting (NB: la funzione “Scansiona” controlla solo i blocchi di “oggi“). Per saperne come leggere i log del tuo Hosting clicca qui.

Per aggiungere una o più regole manualmente fai click su Aggiungi regole:

Puoi inserire una o più regole separate da virgola o spazio, ad esempio:

123456, 987654, 159357

Una volta confermato, le regole inserite verranno aggiunte all’elenco delle Regole disabilitate.

Rimozione

Puoi, in qualsiasi momento, rimuovere una o più regole dall’elenco delle Regole disabilitate:

Se nessuna regola è presente nelle “Regole disabilitate“, ModSecurity è in modalità Full Strict: applicherà quindi tutte le regole di sicurezza, senza eccezioni.

Reset regole

È inoltre possibile eliminare tutte le regole dalle Regole Disabilitate utilizzando la funzione Reset regole. Così facendo ModSecurity verrà abilitato in modalità Full Strict (quindi senza alcuna regola disabilitata).

Storico scansioni

Puoi consultare lo storico delle scansioni eseguite mediante la funzione “Scansiona“.

Qui è possibile conoscere quando sono state eseguite le scansioni e quali regole sono state rilevate, potendo al contempo anche verificare se e quali di queste regole sono attualmente presenti nell’elenco delle Regole Disabilitate.