Disable Mod Security 2 di Mesin cPanel per Account

Mod Security 2 tidak dapat di disable melalui .htaccess, hal ini cukup merepotkan untuk penyedia Layanan Shared Hosting yang harus menyediakan fleksibilitas kepada masing-masing pengguna servernya.

Mod Security 2.5

Pada cPanel / WHM rilis stabil saat ini, apabila diaktifkan Apache 2.2.x akan menggunakan mod security 2.x, dan untuk mendisable per account seperti pada mod security versi sebelumnya, tidak dapat melalui .htaccess seperti berikut;

<IfModule mod_security.c>
SecFilterEngine Off
SecFilterScanPOST Off
</IfModule>

Pengecualian per account tetap dapat dilakukan, namun harus dimasukkan langsung di konfigurasi apache, artinya tidak dapat dilakukan sendiri oleh user.

Terkait dengan cPanel, kita juga harus memastikan bahwa perubahan konfigurasi ini tidak akan hilang secara tiba-tiba karena cPanel memiliki mekanisme tersendiri dalam mempertahankan integritas konfigurasi apache yang dimilikinya.

Untuk itu silahkan lakukan langkah berikut;

Edit file template yang digunakan oleh cPanel untuk mengenerati httpd.conf, dalam hal ini adalah /var/cpanel/templates/apache2/vhost.default , tambahkan entry berikut di bagian akhir file tersebut;

[% IF vhost.servername == 'domain.com' || vhost.servername == 'domain2.com' -%]
## ADDED BY POLURNET TO BYPASS MOD_SECURITY2 FOR SPECIFIC DOMAINS
<IfModule mod_security2.c>
SecRuleEngine Off
</IfModule>
[% END -%]

Gantikan domain1.com dan domain2.com dengan domain yang ingin didisable mod securitynya, dan lakukan hal yang sama untuk seterusnya untuk domain lainnya.

Kemudian generate ulang file konfigurasi httpd cPanel dengan menjalankan command berikut;

/usr/local/cpanel/bin/build_apache_conf

Dan restart httpd;

/scripts/restartsrv_httpd

Referensi

• Situs Mod Security http://www.modsecurity.org/
• http://forums.polurnet.com/index.php?showtopic=660