关于mod_security

前一段发生403在保存前台，DIY时候，都是mod_security

后台保存站点广告，如果含有一定词汇，也会出现。
/ d3 t4 ?1 p4 u
% ?( D: i; t# r3 f" C看到这里有，黏贴学习：

https://www.tipsandtricks-hq.com/apache-mod-security-update-how-to-fix-error-406-or-not-acceptable-issue-259
" {& ^1 g" K/ N" f- O1 ^
" c& V- g) K! b0 ]# |% c0 ]

1. Apache Mod Security update, How to Fix ‘Error 406’ or ‘Not Acceptable’ issue
   
2. last updated: october 28, 2016
   
3. Few weeks ago I started having “Not Acceptable! Error 406” on one of my WordPress sites when trying to save a post or a page. I kept getting the following message when trying to save a post.
   ( E( [) j, N* x- q6 t% v! P
4. 
   
5. Not Acceptable
   3 W1 x7 n9 v/ Q7 i
6. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server
   ) M& p/ f, t- H& v
7. 
   
8. I tried many fixes and nothing seemed to have helped getting rid of the issue. So I decided to reinstall WordPress (How to Uninstall and Reinstall WordPress). Even the reinstall didn’t help! Later I found out that the “Not acceptable! Error 406” occurs due to Mod Security updates on the server. So if you are having a similar problem then you can try one of the following methods to fix it.
   
9. 
   9 Y) [0 j& w  O- ]  ]* f
10. Solution 1 for Fixing 406 Error
    * \- i; t0 F$ `: g+ Z1 W
11. 
    
12. Backup your .htaccess file if you have one in the ‘wp-admin’ directory. Then make a ‘.htaccess’ file with the following content and upload it to ‘wp-admin’ directory.
    : O: Q: Q5 g# f7 m. `
13. 
    3 V4 \5 q2 o- x0 P- a5 Z
14. <IfModule mod_security.c>
    
15. SecFilterEngine Off
    
16. SecFilterScanPOST Off
    1 n& X; b- p& k9 T# D1 Z
17. </IfModule>
    ( O' }, E7 y9 K$ N9 m
18. You can use any text editor such as Notepad to create this file.
    . k8 }+ H2 [8 b8 ?
19. 
    - b% U, ?+ b1 n: N* L# l" z6 s/ X/ r2 z
20. You will need to upload this .htaccedss file to your server. So if you don’t know how to upload a file to your server then check this tutorial on FTP.
    2 n/ W: y4 ~% V7 T
21. 
    * }. Y) Q  p% A# ?$ @4 R0 k
22. Solution 2 for Fixing 406 Error
    
23. 
    
24. This is the solution that worked for me for my WordPress site.
    
25. 
    
26. Backup your .htaccess file if you have one in the public_html directory.
    , a8 Y! z9 s; [
27. 
    ( Y3 `" W3 N8 ^' M; v
28. Open the .htaccess file with any text editor and observe the lines between the “# BEGIN WordPress” and “# END WordPress” tags. Make sure the lines look somewhat like the following. If not then update the file with the following content and upload it to the ‘public_html’ directory.
    + @( z( W4 X" ?. p
29. 
    , Z/ \" Z( y. i% ~" q
30. # BEGIN WordPress
    
31. <IfModule mod_rewrite.c>
    
32. RewriteEngine On
    1 e1 M  b) }, `$ L7 N7 I9 _2 |5 z2 b
33. RewriteBase /
    
34. RewriteCond %{REQUEST_FILENAME} !-f
    3 A, J# v9 L1 t3 j! p
35. RewriteCond %{REQUEST_FILENAME} !-d
    6 f+ g1 o5 C& I/ `
36. RewriteRule . /index.php [L]
    , _/ I1 I$ V5 l; f9 Q
37. </IfModule>
    
38. # END WordPress
    
39. Hopefully one of these solutions help fix your “Not Acceptable” error.
    
40. 
    5 i8 D3 T8 P# s1 G) ?1 T7 r* f: k
41. Good luck!

复制代码

3 L( r9 o4 R  x5 h! e


转载请保留当前帖子的链接：https://www.beimeilife.com/thread-41419-1-1.html 谢谢

http://www.bkjia.com/dedecms/362281.html

0 E, {5 L( E& t$ q# d8 K, I

最近论坛里很多朋友求救，说出现了这个问题，最近我也被这个问题困扰着。多谢Funkey朋友的办法，问题终于解决。

* J$ f. h  i# U* E; ]问题说明：

后台设置页面无法保存，出现如下500错误页面：

forbidden
You don't have permission to access /dede/sys_info.php on this server.

' C- w# w; Q6 P+ l2 W, WAdditionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

Apache Server at www.******.com Port 80
' u6 y! E, F& q5 b
问题一般出现在国外主机空间上【目前发现此问题的空间商有：Host1Plus，BlueHost，JustHost，Backy LLC】，dedecms 5.5 和 5.6 都会出现错误，可见是空间的问题，不是织梦的问题。
: x; u0 a3 ]* Q; V* `
8 _7 u* p5 L; J# @8 R# |! d7 X原因：
+ a4 K" e: j* n; s- _1 P( ?  _经过多方核实，可以确定，大多数的国外主机在配置 Apache 的时候启用了 mod_security ，也就是开启了安全检查，如果提交的信息中包含 select , % , bin 等关键字，Apache 就会禁止，并给出 403，404，500 等错误。

% l3 F3 H+ O( R解决方法：
7 L8 s& E! A6 z) ?. v1 A- j由于这个设置属于服务器级别的配置，如果是VPS用户，需要关闭 mod_security2 的检查（mod_security2.c）；而如果是虚拟空间用户的话需要联系客服协助修改。
5 ?& n4 \& y+ @0 d3 r. p
* [* u4 i' B+ Q: n: X& H/ @( ~$ L操作办法：
8 k# v7 X8 R7 U% Y$ M（虚拟空间用户）如果是CP面板，选择 Submit ticket——Paid hosting support，告诉客服自己使用 DEDE_CMS，请求将 mod_security 设置为 disabled 即可正常使用。
' \3 j, D* a# [( N2 ]( N英语不好的朋友，可以直接复制以下语句：
引用
I wanna use DEDE_CMS,So please change mod_security2.c settings to disable.

2 o" j6 x( f& V& Q6 C0 }  @8 O, J
! {- S& w$ j4 @% W4 @$ U

原文地址:http://www.bkjia.com/dedecms/362281.html

XSS 防御设置 $_config['security']['urlxssdefend'] = true;        // 自身 URL XSS 防御                                
, a3 J, G* O+ M0 M, x6 _
! J+ }  y7 X! SCC 攻击防御

当你的站点发现被CC攻击时，你也可以在config中打开CC攻击防御,该防御有1/2/4/8四种防御方式，你除了可以配这四种外，还允许组合防御。例如：可以配成24,当配成24代表同时使用2跟4的两种防御攻击

$_config['security']['attackevasive'] = 0;                // CC 攻击防御 1|2|4|8                                
, L4 p6 n1 Z! d2 Z* @
! w6 E8 Z2 T) w2 K+ X" CSQL 安全性防御

1. $_config['security']['querysafe']['status'] = 1;        // 是否开启SQL安全检测，可自动预防SQL注入攻击
   
2. $_config['security']['querysafe']['dfunction']['0'] = 'load_file';
   6 G( \7 d4 L, k3 z
3. $_config['security']['querysafe']['dfunction']['1'] = 'hex';
   ! N+ q, t" t  h# i
4. $_config['security']['querysafe']['dfunction']['2'] = 'substring';
   
5. $_config['security']['querysafe']['dfunction']['3'] = 'if';
   
6. $_config['security']['querysafe']['dfunction']['4'] = 'ord';
   
7. $_config['security']['querysafe']['dfunction']['5'] = 'char';
   
8. $_config['security']['querysafe']['daction']['0'] = 'intooutfile';
   & G: g7 V) ?$ T" Z: v) V  d$ j( }
9. $_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
   
10. $_config['security']['querysafe']['daction']['2'] = 'unionselect';
    
11. $_config['security']['querysafe']['daction']['3'] = '(select';
    
12. $_config['security']['querysafe']['daction']['4'] = 'unionall';
    . {/ T5 D! j7 {8 k4 a
13. $_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
    ; B" ~7 v# n$ n' T+ R, {
14. $_config['security']['querysafe']['dnote']['0'] = '/*';
    ( W" Q  y4 M9 G$ X+ O) y; n
15. $_config['security']['querysafe']['dnote']['1'] = '*/';
    
16. $_config['security']['querysafe']['dnote']['2'] = '#';
    , |7 N& E0 [6 T7 r; t: f
17. $_config['security']['querysafe']['dnote']['3'] = '--';
    # x. n; ~9 \6 W1 }/ f5 f
18. $_config['security']['querysafe']['dnote']['4'] = '"';
    ( a. S& O8 p. z# g& x/ N, g
19. $_config['security']['querysafe']['dlikehex'] = 1;
    " L! S) p+ D5 n6 s
20. $_config['security']['querysafe']['afullnote'] = '0';

复制代码

' ^+ Z1 P; h+ B) f' }2 e- h


+ R8 m  H/ E# u4 Q1 }

+ T% q6 U2 R) d" s
                     

在上面内容是关于SQL的安全检查，在配置中只需要配置$_config['security']['querysafe']['status']        = 1;就可以，1代表开启/0代表关闭

创始人的设置

创始人的设置，当您的站点在线上运营时，建议至少设置一个创始人，创始人拥有站点管理后台的最高权限。

$_config['admincp']['founder'] = '1'; // 站点创始人：拥有站点管理后台的最高权限，每个站点可以设置 1名或多名创始人                                        // 可以使用uid，也可以使用用户名；多个创始人之间请使用逗号“,”分开;                                
2 L4 ]! g2 f2 z! W- m& [1 @' l
安全问答

安全问答，可以在这里开启安全问答来限制管理员必须设置相应的安全问答，来增加该站点的管理帐号的安全性。建议开启

$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]                                

验证后台管理IP

验证后台管理IP,建议开启

$_config['admincp']['checkip'] = 1;        // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。                                        //仅在管理员无法登陆后台时设置 0。                                

# v: H: H5 E( Y! x# x后台是否允许执行相关的MySQL操作

后台是否允许执行相关的MySQL操作,建议关闭。关闭后将无法直接在后台执行相关的SQL语句

$_config['admincp']['runquery']        = 0;        // 是否允许后台运行 SQL 语句 1=是 0=否[安全]                                

% u. I$ a  M9 D7 a' F后台恢复数据

后台恢复数据。定期备份是一个很好的习惯，在站点运营过程中，为了安全建议关闭后台恢复数据的功能，在你的站点确实需要进行数据恢复操作时再将此开关打开

$_config['admincp']['dbimport']        = 0;                // 是否允许后台恢复论坛数据  1=是 0=否[安全]              

. B# K: ?" U! _5 ^% C
# W2 K, U9 ]$ ^5 O# b
2 _8 r0 m5 t' B

) Y9 [, j6 f1 Ihttp://bbs.zb7.com/discuz/dx25/safe/security/security_config.htm
                  

7 O  F; I6 s; W, w


' p' A. j: h% Q0 o: s