Close

Not a member yet? Register now and get started.

lock and key

Sign in to your account.

Account Login

Forgot your password?

Google e Mod Security  //  Mod Security tuning, come configurare Mod Security, modulo di apache, per permettere a google di ottimizzare il tuo sito web

Mod Security e’ un modulo di Apache che permette a questo di inserire un layer di sicurezza tra il backend di un sito ed il suo frontend.

Nello specifico e’ denominato IPS (Intrusion Detection System), vale a dire che prima di eseguire le richieste http , Apache filtra le richieste seguendo un set di regole contenute nella configurazione di mod_securuity2.

 

Di tanto in tanto queste regole (mi riferisco quelle di default) posso risultare un po’ troppo ristrittive e/o troppo blande, dipende dal contesto.. Per cui come, i buoni admin  usano di solito, e’ necesarrio personalizzare queste regole per renderle piu’ dolci o aggressive, dipende dagli intenti….

 

Mod_Security ha dedicato un file di configurazioni da personalizzare per agevolare aggiornamenti… questo file e’: modsecurity_crs_15_customrules.conf

In questo file andremo ad inserire le regole descritte nell’articolo, ogni volta una qualsiasi delle regole/file di configurazione viene modificata, e’ necessario riavviare il servizio Apache.

 

 

1) Di seguito un paio di consigli su come addolcire mod_security2 con Google (ed is suoi bot di crawling, utilizzati per indicizzare le pagine del vostro sito sul noto motore di ricerca)

 

Per permettere a Google WebMaster di funzionare con il vostro sito dovete inserire una regola simile a questa :

Il file “google36udijm70jkjdns99.html” e’ utilizzato da Google per verificare che voi siate i proprietari del sito, cambia per ogni utente e sito web.

 

 

 

2) Come istruire mod_security per non bloccare i bot di Google in mododa  poter leggere tutte le pagine del vostro sito. Mod_security ha una protezione contro il crawling abusivo, questa regole lo annullera’ per google.

Verificate se avete la necessita di usare regole simili per altri crawiling bot ( yahoo, etc…) e per ogni tipo, Immagini, Mobile Content… e cosi via.

Security Note:
Se un attacker personalizzasse “l’User Agent” emulando quello di Google, allora questa regola permetterebbe, potenzialmente, a questo, di bypassare alcune restrizioni di Mod Security.
Commenti Facebook