当前位置:»论坛 社区酒吧 社区管理 系统测试和优化 帖子
返回列表 发新帖
点标签看更多好帖
广告 前台
开启左侧

关于mod_security

[复制链接] 2
回复 1928
查看 打印 上一主题 下一主题
楼主
跳转到指定楼层
发表于 2017-1-21 21:32 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
前一段发生403在保存前台,DIY时候,都是mod_security
& e1 A. ]8 F( V) V- _% N' I% k% T$ i  o
后台保存站点广告,如果含有一定词汇,也会出现。
. O0 c5 h* }( O8 o3 @# c: r7 x) ~) D0 `4 {- }. |; p
看到这里有,黏贴学习:" `3 Y0 x" N4 J5 n- f$ p

6 s& F; a* T: C' Q* ?* v5 ^2 {https://www.tipsandtricks-hq.com/apache-mod-security-update-how-to-fix-error-406-or-not-acceptable-issue-2590 s' V1 ]4 T9 \& r( p% F) ?

: D+ J, ]5 O& }; h, Y% L
  1. Apache Mod Security update, How to Fix ‘Error 406’ or ‘Not Acceptable’ issue+ ~6 L  {0 D9 U
  2. last updated: october 28, 2016) i0 n' _2 `0 ^, s
  3. Few weeks ago I started having “Not Acceptable! Error 406” on one of my WordPress sites when trying to save a post or a page. I kept getting the following message when trying to save a post.
    8 h/ _' M. o/ o1 y$ p% ?% o
  4. ! @) E) B. L! O3 A1 \6 v" E
  5. Not Acceptable( Q1 }, N6 V7 D5 N
  6. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server
    : Q/ ]/ w" \; r/ k

  7. ' U7 E- A0 [0 t3 V- v1 v. D! ?
  8. I tried many fixes and nothing seemed to have helped getting rid of the issue. So I decided to reinstall WordPress (How to Uninstall and Reinstall WordPress). Even the reinstall didn’t help! Later I found out that the “Not acceptable! Error 406” occurs due to Mod Security updates on the server. So if you are having a similar problem then you can try one of the following methods to fix it.* z6 T- q! E2 }+ X
  9. & |1 g8 ]+ e  T* T4 @! _4 B
  10. Solution 1 for Fixing 406 Error
    & t/ l( u* t. w, Y1 o/ V7 Y! }
  11. 5 b& }5 c# c9 ~
  12. Backup your .htaccess file if you have one in the ‘wp-admin’ directory. Then make a ‘.htaccess’ file with the following content and upload it to ‘wp-admin’ directory.
    $ _6 r6 V) R, p

  13. , ~- L; F% g, ?, O
  14. <IfModule mod_security.c>
    0 D+ j. [+ L" r, g% ^% g' q
  15. SecFilterEngine Off% f( x8 u3 z2 B  {! v' m
  16. SecFilterScanPOST Off7 g; L9 G) t& ]7 j
  17. </IfModule>6 f6 I4 B1 H+ P
  18. You can use any text editor such as Notepad to create this file.
    5 J' D9 b; n( D  }& x: A
  19. # m+ U7 k9 S: @
  20. You will need to upload this .htaccedss file to your server. So if you don’t know how to upload a file to your server then check this tutorial on FTP.
    - U, C) i- d0 B% I% `7 l

  21. 8 r/ r7 J( f4 J! _5 H4 U. v5 C: g
  22. Solution 2 for Fixing 406 Error! O, R& o: O+ c( k3 R5 C

  23. 2 l, z  j4 x5 p7 j  c/ P1 F4 u
  24. This is the solution that worked for me for my WordPress site.) C6 ^) ?' Y- o- P3 u, a9 b
  25. ' Y7 M/ `4 X( u' D
  26. Backup your .htaccess file if you have one in the public_html directory.
    & C  L6 z+ c  R1 F/ X4 m

  27. " j4 Q$ P. k. c) o  y2 H8 P' ^4 [/ t
  28. Open the .htaccess file with any text editor and observe the lines between the “# BEGIN WordPress” and “# END WordPress” tags. Make sure the lines look somewhat like the following. If not then update the file with the following content and upload it to the ‘public_html’ directory.: R5 ]6 u7 [% D- S  a
  29. ( Q3 ?- l6 }  w
  30. # BEGIN WordPress2 g3 \. G' j3 ~3 i
  31. <IfModule mod_rewrite.c>/ x/ d" q' T6 ~5 @- J$ j7 E
  32. RewriteEngine On
    * k  ], b/ J! W0 D, t5 B
  33. RewriteBase /
    . x8 q4 S" s; R
  34. RewriteCond %{REQUEST_FILENAME} !-f9 n$ l, `9 l7 F' g" F2 I' |/ X* s0 q
  35. RewriteCond %{REQUEST_FILENAME} !-d
    9 ~: `* Z3 @  I" d) q
  36. RewriteRule . /index.php [L]4 W+ Z; Q0 z* ~% r# {2 C3 w
  37. </IfModule>' `$ p. O( o! \0 G: V( ^; k5 q1 s
  38. # END WordPress
    ! _1 L  H: O9 x: i8 x9 b$ ~5 Y
  39. Hopefully one of these solutions help fix your “Not Acceptable” error.: _* l+ l7 E# a7 O7 S! q" q

  40. 4 y  |3 Z5 Q9 i* I3 h+ U+ o
  41. Good luck!
复制代码
6 T9 J! Q# r4 z$ z
- O5 n6 v( d7 v8 U, Z5 P


转载请保留当前帖子的链接:https://www.beimeilife.com/thread-41419-1-1.html 谢谢
回复

使用道具 举报

你喜欢看
板凳
发表于 2017-1-22 11:46 | 只看该作者
XSS 防御设置 $_config['security']['urlxssdefend'] = true;        // 自身 URL XSS 防御                                
9 Z9 G# @: ^1 o+ Y, L! t0 b6 i4 B, m) N, W: T7 |
CC 攻击防御
当你的站点发现被CC攻击时,你也可以在config中打开CC攻击防御,该防御有1/2/4/8四种防御方式,你除了可以配这四种外,还允许组合防御。例如:可以配成24,当配成24代表同时使用2跟4的两种防御攻击
$_config['security']['attackevasive'] = 0;                // CC 攻击防御 1|2|4|8                                6 `5 d! }- T' C& e$ }" a
8 \# ]# B. z0 @
SQL 安全性防御
- M7 P7 f9 M/ i0 [
  1. $_config['security']['querysafe']['status'] = 1;        // 是否开启SQL安全检测,可自动预防SQL注入攻击, @6 z4 N  W3 t- \
  2. $_config['security']['querysafe']['dfunction']['0'] = 'load_file';! R; N( H5 b& O+ |  P- l' q: a
  3. $_config['security']['querysafe']['dfunction']['1'] = 'hex';$ z7 f! n9 M, y
  4. $_config['security']['querysafe']['dfunction']['2'] = 'substring';
    3 y$ g* p, z1 \) K0 P7 S
  5. $_config['security']['querysafe']['dfunction']['3'] = 'if';# M. k& B3 y" M" G4 T
  6. $_config['security']['querysafe']['dfunction']['4'] = 'ord';
    6 l. a7 |( E' E3 X) h
  7. $_config['security']['querysafe']['dfunction']['5'] = 'char';
    * l6 q' y% O' Y, c( n( W
  8. $_config['security']['querysafe']['daction']['0'] = 'intooutfile';8 P' ~' f  H# B: R4 `/ s
  9. $_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
    7 a# \# H4 m, N+ f% C6 X' l
  10. $_config['security']['querysafe']['daction']['2'] = 'unionselect';
    ; H/ T5 G8 S) K; ?
  11. $_config['security']['querysafe']['daction']['3'] = '(select';3 @3 o! M5 l+ x, d! k. [
  12. $_config['security']['querysafe']['daction']['4'] = 'unionall';
    " N4 J9 k2 t8 D9 f; d
  13. $_config['security']['querysafe']['daction']['5'] = 'uniondistinct';. ^% G3 @: r  N% ~. q
  14. $_config['security']['querysafe']['dnote']['0'] = '/*';9 J- i' d/ O$ G" P
  15. $_config['security']['querysafe']['dnote']['1'] = '*/';' M! u9 _9 K. \! h: R" b) Z
  16. $_config['security']['querysafe']['dnote']['2'] = '#';
    ! i0 I9 o# }" r! X( K
  17. $_config['security']['querysafe']['dnote']['3'] = '--';2 q5 l: R# r" P' p1 ]% ?0 Y
  18. $_config['security']['querysafe']['dnote']['4'] = '"';
    ! c5 `* k4 X* n4 e4 h' E0 u
  19. $_config['security']['querysafe']['dlikehex'] = 1;& [' ~- @4 O+ t" N' a" o
  20. $_config['security']['querysafe']['afullnote'] = '0';
复制代码

. x( s1 z  m+ b( t" N3 `8 r7 {" E2 R5 ^* D) x% r
0 e3 I* m( U. l& t

* j( j2 r& d- d2 J$ ]7 @2 D; s. ?$ Z! n2 m0 V. B7 B: v
- F( J8 f; x5 h" x

$ V! Y# O' |( E# B* S6 k9 r                      + k) [2 j& P5 x. z2 z# G
在上面内容是关于SQL的安全检查,在配置中只需要配置$_config['security']['querysafe']['status']        = 1;就可以,1代表开启/0代表关闭
$ q8 X1 X2 K4 Y3 w% Y
创始人的设置
创始人的设置,当您的站点在线上运营时,建议至少设置一个创始人,创始人拥有站点管理后台的最高权限。
$_config['admincp']['founder'] = '1'; // 站点创始人:拥有站点管理后台的最高权限,每个站点可以设置 1名或多名创始人                                        // 可以使用uid,也可以使用用户名;多个创始人之间请使用逗号“,”分开;                                0 M5 G4 {  h5 a

& Z  c2 C# n# d( _$ d2 R安全问答
安全问答,可以在这里开启安全问答来限制管理员必须设置相应的安全问答,来增加该站点的管理帐号的安全性。建议开启
$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]                                . e0 ^1 J# S" x$ F" }' P
0 h/ M/ t$ \# P
验证后台管理IP
验证后台管理IP,建议开启
$_config['admincp']['checkip'] = 1;        // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。                                        //仅在管理员无法登陆后台时设置 0。                                
" G2 ~2 c1 ~- s1 x9 e" n# W. l2 g5 L$ u4 H4 Z
后台是否允许执行相关的MySQL操作
后台是否允许执行相关的MySQL操作,建议关闭。关闭后将无法直接在后台执行相关的SQL语句
$_config['admincp']['runquery']        = 0;        // 是否允许后台运行 SQL 语句 1=是 0=否[安全]                                  s3 H2 B1 ?8 J, |0 o

# P% O- k; g5 q7 y, {( I; k后台恢复数据
后台恢复数据。定期备份是一个很好的习惯,在站点运营过程中,为了安全建议关闭后台恢复数据的功能,在你的站点确实需要进行数据恢复操作时再将此开关打开
$_config['admincp']['dbimport']        = 0;                // 是否允许后台恢复论坛数据  1=是 0=否[安全]              5 r' C( N8 @" @4 M% ^2 _

# C7 s* Z) O6 g; Z/ B# X; f  Z
. P( P8 x" x* o0 a- c$ B- F% b+ a* s
) [# s9 [1 e0 q/ k' n  S. a" t5 @  u
. x& g1 q, D9 A2 N, s- ^% O
http://bbs.zb7.com/discuz/dx25/safe/security/security_config.htm0 ?- {/ ~% a) u
                  6 q: Z8 v, r, M4 m
) H" |4 C6 w( j* r( v
- ^) K9 t* i: k
9 `- T5 @  N# f, m/ F

% B2 ]6 q; m" L0 Z$ {3 V
回复 支持 反对

使用道具 举报

沙发
发表于 2017-1-21 21:33 | 只看该作者
http://www.bkjia.com/dedecms/362281.html
7 s( y% l4 V( D% F) ?- W- a  T! c5 c3 [
最近论坛里很多朋友求救,说出现了这个问题,最近我也被这个问题困扰着。多谢Funkey朋友的办法,问题终于解决。
2 }, K- w: m/ L# u
+ Z: m& F9 R) X6 {% W问题说明: * A4 u1 n: E2 j5 F! X1 |4 a- J
( O8 x# V/ k! V) Q; I  u1 m$ x
后台设置页面无法保存,出现如下500错误页面:
3 ]" r5 I* l! |& Y' D3 v
7 @! b! R* r# U% C  Pforbidden
% G  P. X$ D: HYou don't have permission to access /dede/sys_info.php on this server. + D% y5 m  z! I

$ w& z* j2 S5 t0 p5 Y; K' n, |Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. 6 t+ \4 H5 w6 n: u
: B! B  o, Y6 R4 W3 p% W0 o- I' G
Apache Server at www.******.com Port 80
# @' {% z# m5 s/ w
6 k. b" U3 @# _# }问题一般出现在国外主机空间上【目前发现此问题的空间商有:Host1Plus,BlueHost,JustHost,Backy LLC】,dedecms 5.5 和 5.6 都会出现错误,可见是空间的问题,不是织梦的问题。 - {4 c2 u6 h3 W" G/ ~3 C5 h' Q/ o. _
- E1 ~$ _- ~8 @
原因:
$ I: p9 n3 d4 _7 ?经过多方核实,可以确定,大多数的国外主机在配置 Apache 的时候启用了 mod_security ,也就是开启了安全检查,如果提交的信息中包含 select , % , bin 等关键字,Apache 就会禁止,并给出 403,404,500 等错误。
4 ~; h1 Q! |' V
/ R" A, j$ J& q1 s: k3 _' e解决方法: 6 {1 k7 H6 l  F2 `) R  f$ p4 J
由于这个设置属于服务器级别的配置,如果是VPS用户,需要关闭 mod_security2 的检查(mod_security2.c);而如果是虚拟空间用户的话需要联系客服协助修改。
$ M) `0 D1 q) C2 I3 r2 H' n/ d
操作办法: 1 B; Q  |9 l: l/ _1 y' d
(虚拟空间用户)如果是CP面板,选择 Submit ticket——Paid hosting support,告诉客服自己使用 DEDE_CMS,请求将 mod_security 设置为 disabled 即可正常使用。
/ Y+ i& g) n7 D$ `# z) V1 t英语不好的朋友,可以直接复制以下语句:
% i+ n/ F9 z* @% w引用
  w* D4 G9 f! K" zI wanna use DEDE_CMS,So please change mod_security2.c settings to disable.
6 k3 R! M8 _8 k, I, C8 i
* [3 Q- ?: n  J! M# ~7 R( X# `7 O2 S
原文地址:http://www.bkjia.com/dedecms/362281.html

3 c( o7 i1 }0 d0 M1 q9 h, H
回复 支持 反对

使用道具 举报

返回列表 发新帖

使用高级回帖 (可批量传图、插入视频等)快速回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则   Ctrl + Enter 快速发布  

发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
快速回复 返回顶部 返回列表