Mod_Security: seguridad para tu servidor
¿Sabes qué es ModSecurity? Se trata de un módulo específico de seguridad en Apache, que sirve para proteger tu web ante diferentes tipos de ataque. Así, al implementarlo, actúa como un firewall para aplicaciones, y lo que hace es bloquear aquellas solicitudes HTTP dudosas.
Como ya hemos hablado anteriormente, los Web Application Firewall (WAF) son muy útiles para proteger tu sitio de varios tipos de ataque. Existen WAF de ModSecurity y WAF basados en reglas. Los WAF basados en reglas utilizan conjuntos de reglas que son creados manualmente por el equipo de seguridad.
ModSecurity es un WAF basado en un motor que emplea un conjunto de reglas configuradas por los desarrolladores y que el motor de reglas de Sitecore puede usar. ModSecurity es el WAF más popular para servidores web y es utilizado por miles de organizaciones para asegurar sus sitios web. Entre otros ataques, el bloqueo de ModSecurity puede bloquear aquellos basados en fuerza bruta, por inyección SQL, o bien vulnerabilidades del tipo cross scripting.
Lamentablemente, esto significa que también pueden existir falsos positivos. ModSecurity se encuentra activado por defecto en los servidores Linux, y pese a no ser posible deshabilitarlo por completo, sí que se puede configurar y añadir excepciones. De esta manera, podemos aplicar ciertas reglas para situaciones de falsos positivos, sin afectar esto a la navegación.
¿Cómo podemos identificar un bloqueo de ModSecurity?
En este caso, la presencia de un error 403 o 406 puede dar pistas de un posible bloqueo del módulo Mod_Security. En este caso, esta incidencia puede aparecer durante tareas en nuestra página web, tales como añadir entradas en WordPress, actualizar formularios, o realizar pagos con TPV.
Así pues, para tener la certeza de que se trata de un bloqueo ejecutado por el módulo ModSecurity lo más inmediato es comprobar el log de errores. Para ello, cdmon almacena en la raíz de tu Hosting el archivo errors.log, el cual también es visible a través de tu Panel de control {{link}}.
Un ejemplo de línea que nos va a confirmar que se ha producido un bloqueo ModSecurity podría ser algo así:
[Mon Jun 28 18:20:19.591798 2021] [:error] [pid 8xxx:tid 1421138623xxx] [client 143.426.779.015:49500] [client 143.426.779.015] ModSecurity: access denied with code 403 (phase 2). Pattern match “^POST$” at REQUEST_METHOD. [file “modsecurity/custom/21_bruteforce.conf”] [line “68”] [id “310”] [msg “Accept header required”] [hostname “tuweb.com”] [uri “/”] [unique _id “YIaJimwwAAB9Mo7EEAA”]
Donde, en este mensaje, se pueden diferenciar e identificar de manera clara los siguientes datos:
La IP de visitante: [client 143.426.779.015]
El tipo de error, que en este caso es mod_security: ModSecurity: access denied with code 403 (phase 2).
Identificador del error de mod_security: [id “310”]
Nuestra página web: [hostname “tuweb.com”]
De esta manera, estaremos ante un claro bloqueo de ModSecurity y, en consecuencia, tomaremos las medidas necesarias.
¿Qué hacer en caso de un bloqueo de ModSecurity?
Ahora que hemos confirmado que hay un bloqueo de ModSecurity, y que esta petición se ha realizado bien desde la IP de uno de tus dispositivos, es necesario añadir una excepción. Con esto, evitaremos futuros e innecesarios bloqueos, por lo que dichos errores ya no aparecerán y se podrá navegar sin problemas.
Aunque existen servidores administrados que te permiten configurar excepciones de seguridad desde el archivo .htacces de tu Hosting, esta opción no está disponible en cdmon. Eso no significa por eso que no sea posible hacer nada.
Una vez tengas identificada la regla que te está impidiendo visualizar tu página web, puedes contactar con nuestro equipo técnico, los cuales procederán a revisar que se trate realmente de un falso positivo. En caso de que así sea, crearemos una excepción para esta regla en tu Hosting para que no te vuelva afectar. En caso contrario, te ayudarán a verificar si se puede tratar realmente de un ataque, así como de las opciones que tienes a tu disposición para proteger tu sitio web.
Conclusión
Comprender e identificar un bloqueo de ModSecurity es crucial para asegurar el correcto funcionamiento de tu página web. Actuar con rapidez y precisión es esencial, especialmente si el bloqueo afecta a servidores de confianza, donde será necesario implementar las excepciones adecuadas. Además de ModSecurity, es importante considerar la seguridad integral de tu sitio, y aquí es donde los certificados SSL juegan un papel fundamental.
Para una protección completa y profesional, te recomendamos explorar nuestras opciones de SSL profesional. Estos certificados no solo aseguran la transmisión de datos, sino que también aumentan la confianza de tus usuarios.
Si sospechas que puedes estar experimentando un bloqueo de ModSecurity o si deseas reforzar la seguridad de tu sitio con un certificado SSL, nuestro equipo técnico está disponible para asesorarte. Te ofrecemos la orientación y el soporte que necesitas para mantener tu página web segura y confiable en todo momento. No dudes en contactarnos para asegurarte de que tu sitio web esté protegido con las mejores herramientas y servicios disponibles.