关于mod_security

前一段发生403在保存前台，DIY时候，都是mod_security
' y+ x; ?/ J( z2 Q
+ Q: u" s+ M$ R& _- V. O& v8 W# r4 s后台保存站点广告，如果含有一定词汇，也会出现。
8 k4 Z6 l( u7 P% _- u7 J2 V
  W9 |& C  G( r1 V' ?( k' {看到这里有，黏贴学习：

8 Y, N  W+ d  ^6 Phttps://www.tipsandtricks-hq.com/apache-mod-security-update-how-to-fix-error-406-or-not-acceptable-issue-259
' R5 s- D( O- e; k% B; ~$ g  D

1. Apache Mod Security update, How to Fix ‘Error 406’ or ‘Not Acceptable’ issue
   
2. last updated: october 28, 2016
   3 N: S* y4 O" L
3. Few weeks ago I started having “Not Acceptable! Error 406” on one of my WordPress sites when trying to save a post or a page. I kept getting the following message when trying to save a post.
   * J0 Z0 ~! [7 L3 b
4. 
   ' u" u/ n9 [$ c& P4 ]0 M" m
5. Not Acceptable
   
6. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server
     L4 Z7 N1 m% Q, y
7. 
   
8. I tried many fixes and nothing seemed to have helped getting rid of the issue. So I decided to reinstall WordPress (How to Uninstall and Reinstall WordPress). Even the reinstall didn’t help! Later I found out that the “Not acceptable! Error 406” occurs due to Mod Security updates on the server. So if you are having a similar problem then you can try one of the following methods to fix it.
   
9. 
   " j+ Y2 ]" y" i  R9 Y$ u. D3 W
10. Solution 1 for Fixing 406 Error
    . B" G; \, P* {* O( B' m- I& R5 x6 ?
11. 
    + Z* C( W1 y& V: s( k4 l7 l( k  W2 e
12. Backup your .htaccess file if you have one in the ‘wp-admin’ directory. Then make a ‘.htaccess’ file with the following content and upload it to ‘wp-admin’ directory.
    # W5 Q; U5 ?2 w, n9 R  _* v3 J0 p
13. 
    ! w0 R' R) T7 m4 y7 ]/ p! Z. e  a
14. <IfModule mod_security.c>
    - F& ^  z& \! X
15. SecFilterEngine Off
    8 i+ \, t- m* D0 R+ g/ ^
16. SecFilterScanPOST Off
    
17. </IfModule>
    
18. You can use any text editor such as Notepad to create this file.
    
19. 
    + `1 x. j" E, |- D
20. You will need to upload this .htaccedss file to your server. So if you don’t know how to upload a file to your server then check this tutorial on FTP.
    . L# k1 y1 z. K' a: C8 Y
21. 
    
22. Solution 2 for Fixing 406 Error
    
23. 
    
24. This is the solution that worked for me for my WordPress site.
    - ~4 p4 y0 L5 P7 T8 q
25. 
    
26. Backup your .htaccess file if you have one in the public_html directory.
    
27. 
    # b# S  i0 i, P/ m( R: i
28. Open the .htaccess file with any text editor and observe the lines between the “# BEGIN WordPress” and “# END WordPress” tags. Make sure the lines look somewhat like the following. If not then update the file with the following content and upload it to the ‘public_html’ directory.
    4 V3 Q  v% t0 w/ ]* f6 \+ `  G
29. 
    ( S' }1 h% w. {3 F3 X
30. # BEGIN WordPress
    
31. <IfModule mod_rewrite.c>
    + `& J. q: d$ @) k
32. RewriteEngine On
    * a* X& m) m) w( Y4 o/ F1 R' `! o& u1 x
33. RewriteBase /
    
34. RewriteCond %{REQUEST_FILENAME} !-f
    
35. RewriteCond %{REQUEST_FILENAME} !-d
    
36. RewriteRule . /index.php [L]
    9 w: C) J% D/ L, y( M1 X4 W
37. </IfModule>
    1 i6 K' ?% f0 [
38. # END WordPress
    * A. r3 a+ ~. j/ L' \- `+ ~: e  v
39. Hopefully one of these solutions help fix your “Not Acceptable” error.
    ! H3 s# F  q4 w; ?+ S7 g3 G
40. 
    
41. Good luck!

复制代码

) N1 ]! ^. Y! y+ |5 r4 {6 n

转载请保留当前帖子的链接：https://www.beimeilife.com/thread-41419-1-1.html 谢谢

http://www.bkjia.com/dedecms/362281.html
2 x9 W' I- }9 C( H  P: j

最近论坛里很多朋友求救，说出现了这个问题，最近我也被这个问题困扰着。多谢Funkey朋友的办法，问题终于解决。
9 l% N* d1 Y) G1 N/ I
问题说明：
2 \6 K1 z0 G& Q9 O. d
& u" E; ]0 J. A. U3 w* _7 q后台设置页面无法保存，出现如下500错误页面：

; _5 @! `" j, W/ G; I& pforbidden
You don't have permission to access /dede/sys_info.php on this server.

. P5 r: W: A) a$ n. `Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.
# V" o* p7 O! w0 f# K% ]) Z
Apache Server at www.******.com Port 80
' g. F' X' _# t2 I
& `6 u  n3 I$ E$ R问题一般出现在国外主机空间上【目前发现此问题的空间商有：Host1Plus，BlueHost，JustHost，Backy LLC】，dedecms 5.5 和 5.6 都会出现错误，可见是空间的问题，不是织梦的问题。

% M- y3 v; R7 q; R. U' B9 q原因：
经过多方核实，可以确定，大多数的国外主机在配置 Apache 的时候启用了 mod_security ，也就是开启了安全检查，如果提交的信息中包含 select , % , bin 等关键字，Apache 就会禁止，并给出 403，404，500 等错误。
* q+ t0 Q: M1 ^/ T% S5 ~
- `$ e5 h* d) ]% ?! g解决方法：
由于这个设置属于服务器级别的配置，如果是VPS用户，需要关闭 mod_security2 的检查（mod_security2.c）；而如果是虚拟空间用户的话需要联系客服协助修改。

# P" N6 J+ M; {% K+ A8 ~  F7 z9 J/ X操作办法：
2 g7 C' ^& e; W5 [* l- u（虚拟空间用户）如果是CP面板，选择 Submit ticket——Paid hosting support，告诉客服自己使用 DEDE_CMS，请求将 mod_security 设置为 disabled 即可正常使用。
英语不好的朋友，可以直接复制以下语句：
0 p& P5 {$ K5 E9 F引用
I wanna use DEDE_CMS,So please change mod_security2.c settings to disable.

# @+ \2 f8 J; v/ B) ^% w5 }
  Y2 j3 q8 v' D" ?9 ?

原文地址:http://www.bkjia.com/dedecms/362281.html

XSS 防御设置 $_config['security']['urlxssdefend'] = true;        // 自身 URL XSS 防御                                

4 G. Q' k# d! w$ vCC 攻击防御

当你的站点发现被CC攻击时，你也可以在config中打开CC攻击防御,该防御有1/2/4/8四种防御方式，你除了可以配这四种外，还允许组合防御。例如：可以配成24,当配成24代表同时使用2跟4的两种防御攻击

$_config['security']['attackevasive'] = 0;                // CC 攻击防御 1|2|4|8                                

SQL 安全性防御

1. $_config['security']['querysafe']['status'] = 1;        // 是否开启SQL安全检测，可自动预防SQL注入攻击
   
2. $_config['security']['querysafe']['dfunction']['0'] = 'load_file';
   / O" J3 R. o  \- j$ w
3. $_config['security']['querysafe']['dfunction']['1'] = 'hex';
   ; }: X* ?0 e# e% c7 {) R
4. $_config['security']['querysafe']['dfunction']['2'] = 'substring';
   
5. $_config['security']['querysafe']['dfunction']['3'] = 'if';
   
6. $_config['security']['querysafe']['dfunction']['4'] = 'ord';
     p% b* n% d+ O) T/ j% t+ u
7. $_config['security']['querysafe']['dfunction']['5'] = 'char';
   2 i. }9 r+ X, }- Z+ O3 _
8. $_config['security']['querysafe']['daction']['0'] = 'intooutfile';
   ! z) Z% N/ F1 `+ n. ?
9. $_config['security']['querysafe']['daction']['1'] = 'intodumpfile';
   
10. $_config['security']['querysafe']['daction']['2'] = 'unionselect';
    
11. $_config['security']['querysafe']['daction']['3'] = '(select';
    - E9 R1 ~' ?9 O2 p
12. $_config['security']['querysafe']['daction']['4'] = 'unionall';
    
13. $_config['security']['querysafe']['daction']['5'] = 'uniondistinct';
    
14. $_config['security']['querysafe']['dnote']['0'] = '/*';
    
15. $_config['security']['querysafe']['dnote']['1'] = '*/';
    
16. $_config['security']['querysafe']['dnote']['2'] = '#';
    
17. $_config['security']['querysafe']['dnote']['3'] = '--';
    
18. $_config['security']['querysafe']['dnote']['4'] = '"';
    
19. $_config['security']['querysafe']['dlikehex'] = 1;
    2 D( s5 H4 k4 V! A
20. $_config['security']['querysafe']['afullnote'] = '0';

复制代码

" b, K8 Z2 o, I

/ F- d0 O9 Y6 N- S# _! H2 f( ]
" A) B) T/ w/ q" t6 O8 O
" E# o3 `  a  v7 Y) y( R
, x3 k* [% w( I! u; q6 f( A                     

在上面内容是关于SQL的安全检查，在配置中只需要配置$_config['security']['querysafe']['status']        = 1;就可以，1代表开启/0代表关闭

! [0 m. u5 C# Y5 [- }创始人的设置

创始人的设置，当您的站点在线上运营时，建议至少设置一个创始人，创始人拥有站点管理后台的最高权限。

$_config['admincp']['founder'] = '1'; // 站点创始人：拥有站点管理后台的最高权限，每个站点可以设置 1名或多名创始人                                        // 可以使用uid，也可以使用用户名；多个创始人之间请使用逗号“,”分开;                                
- \6 [. R: x. b$ z  T
安全问答

安全问答，可以在这里开启安全问答来限制管理员必须设置相应的安全问答，来增加该站点的管理帐号的安全性。建议开启

$_config['admincp']['forcesecques'] = 1;// 管理人员必须设置安全提问才能进入系统设置 0=否, 1=是[安全]                                
/ v8 M3 b4 |7 X. S& J
验证后台管理IP

验证后台管理IP,建议开启

$_config['admincp']['checkip'] = 1;        // 后台管理操作是否验证管理员的 IP, 1=是[安全], 0=否。                                        //仅在管理员无法登陆后台时设置 0。                                

4 P) X  u: @8 F( J7 y后台是否允许执行相关的MySQL操作

后台是否允许执行相关的MySQL操作,建议关闭。关闭后将无法直接在后台执行相关的SQL语句

$_config['admincp']['runquery']        = 0;        // 是否允许后台运行 SQL 语句 1=是 0=否[安全]                                

' D$ Y! m0 }# Y) O1 e0 q后台恢复数据

后台恢复数据。定期备份是一个很好的习惯，在站点运营过程中，为了安全建议关闭后台恢复数据的功能，在你的站点确实需要进行数据恢复操作时再将此开关打开

$_config['admincp']['dbimport']        = 0;                // 是否允许后台恢复论坛数据  1=是 0=否[安全]              
+ x. e  Q3 \0 |9 t( f8 O3 p& ?0 t' |

4 Y; \) X7 c$ T: R5 z
/ E+ k. O$ d" ?: v! X
" Y$ A; N4 Z" L3 s. J9 s
% ?" J4 N+ @* [& lhttp://bbs.zb7.com/discuz/dx25/safe/security/security_config.htm
( d3 D$ @0 n* |! P1 T                  

. j$ U: l0 Q6 H! T  _
, t$ H7 z; I1 q  W; a( o4 s% \
6 e; W/ w2 {- Q% c. D9 [5 U1 D" g
. T! W8 q2 d# ]  X4 _