IQhost.pl
Załóż konto
Hosting Migracja Domeny O nas Kontakt
Zaloguj się
ZARZąDZANIE HOSTINGIEM (DIRECTADMIN) • 4 MIN READ

Zapora aplikacji internetowych (WAF/ModSecurity)

WAF — Web Application Firewall chroni stronę przed atakami (SQL injection, XSS, brute force). W IQHost ModSecurity z regułami OWASP. Konfiguracja, whitelisting, false positives.

Zespół IQHost 14 maj 2026 4m read
#DirectAdmin #IQHost #hosting

WAF (Web Application Firewall) to inteligentny firewall na poziomie HTTP. Bada każde żądanie, blokuje znane wzorce ataków (SQL injection, XSS, malicious user agents). W IQHost — ModSecurity z regułami OWASP Core Rule Set.

Co zyskasz

  • Włączysz WAF dla swojej strony.
  • Wybierzesz poziom paranoi (1-4).
  • Dodasz wyjątki (whitelist) gdy WAF blokuje legalny ruch.
  • Rozwiążesz „false positives" — blokady ważnych operacji.

Wymagania wstępne

  • Konto DA z WAF (większość pakietów ma).

Wskazówka

WAF jest "tryb wojskowy". Domyślnie chroni dobrze, ale czasem blokuje legalne operacje (np. wkleisz duży tekst do edytora WP → ModSecurity widzi „SQL injection" pattern). Trzeba whitelistować legalny ruch.

Krok 1: Otwórz Zaporę

Funkcje zaawansowane → Zapora sieciowa aplikacji internetowych (lub menu z ikoną tarczy).

Strona Zapora WAF/ModSecurity w DA Pełna strona Zapora WAF/ModSecurity — opcje paranoia level i wyjątki

Krok 2: Włącz / wyłącz

Checkbox Włącz ModSecurity. Default: włączone.

Wyłączenie globalne — NIE polecane (zostajesz bez ochrony przed atakami).

Lepiej: włącz, dodawaj wyjątki na konkretne reguły blokujące legalny ruch.

Krok 3: Wybór poziomu paranoi (Paranoia Level)

OWASP CRS ma 4 poziomy:

Level Co blokuje Risk false positives
1 (default) Tylko ewidentne ataki (90% zgodności) Niski
2 Średnio agresywne (więcej protection) Średni
3 Bardzo restrykcyjne Wysoki
4 Paranoia — blokuje praktycznie wszystko Bardzo wysoki — wiele false

Default 1 wystarcza dla większości. Tylko gdy masz wartościowe dane (e-commerce, payments) — rozważ 2.

Krok 4: Logi i blokady

Sekcja Audit Log pokazuje co WAF zablokował. Każdy wpis:

  • Czas
  • IP atakującego (lub Twojego, gdy false positive)
  • URL
  • Reguła która zadziałała (numer + opis)

Z tego logu dowiadujesz się:

  • Co atakuje Twoją stronę
  • Czy WAF blokuje legalny ruch (false positives)

Whitelist — wyjątki dla legalnego ruchu

Często WAF blokuje:

  • Logowanie WP-adminwp-login.php z dziwnymi parametrami
  • Edytor WordPress — wklejanie HTML/SQL → wygląda jak attack
  • Plugin Backup — duże POST → trigger limit
  • API external — webhooks z innych serwisów

Krok 1: Dodaj wyjątek

W panelu Whitelist dodaj:

  • URL pattern — np. /wp-admin/.* (wszystko w wp-admin)
  • Rule ID — konkretna reguła z logów (np. 942100)
  • IP — opcjonalnie, tylko z konkretnego IP

Albo w .htaccess:

<IfModule mod_security.c>
  SecRuleRemoveByID 942100
</IfModule>

Wyłącza regułę 942100 dla całej domeny.

Krok 2: Sprawdź po dodaniu

Powtórz akcję która była blokowana. Sprawdź:

  • Czy działa?
  • Czy WAF nadal aktywny dla innych ataków?

Typowe false positives w WordPress

Reguła 949110 (XSS w wp-content)

WordPress czasem przesyła HTML w POST. Blokowane. Whitelist:

URL: /wp-admin/post.php
Rule ID: 949110

Reguła 942100 (SQL injection-like)

Niektóre operacje WP wyglądają jak SQL injection. Whitelist dla wp-admin.

Reguła 920350 (Host header)

Czasem blokuje webhooks z dziwnym Host. Whitelist URL webhooka.

Najczęstsze problemy

1. „Strona nagle nie działa (po włączeniu WAF)"

Sprawdź Audit Log w WAF — pierwszy wpis pokaże co zablokowane. Dodaj whitelist albo zmniejsz poziom paranoi.

2. „403 Forbidden po wpisaniu komentarza"

Reguła XSS blokuje. Whitelist dla wp-comments-post.php.

3. „Nie mogę zaktualizować pluginu w WP-admin"

Reguła blokuje duży POST. Whitelist dla /wp-admin/update.php lub zwiększ limit POST.

4. „Webhook z Stripe / PayPal nie dochodzi"

Whitelist URL webhooka albo IP dostawcy.

5. „False positive 50% requestów"

Poziom paranoi za wysoki. Wróć do 1.

6. „WAF nie blokuje SQL injection — testuję ręcznie"

  • Cache CDN przed serwerem → ruch może omijać WAF
  • Sprawdź czy WAF faktycznie włączony (panel)
  • Niektóre nowoczesne ataki nie są w starszych regułach OWASP

7. „Mogę dodać custom reguły?"

W DA — zwykle nie (ograniczenia hosting shared). Custom reguły wymagają root → zgłoś ticket.

WAF vs Imunify360

W IQHost masz dwa narzędzia ochrony:

  • WAF (ModSecurity) — chroni HTTP requests
  • Imunify360 — skanuje pliki, blokuje malware

Razem = pełna ochrona. Patrz Imunify360.

Słowniczek

  • WAF — Web Application Firewall.
  • ModSecurity — open-source WAF.
  • OWASP CRS — Core Rule Set, baza reguł ataków.
  • Paranoia Level — poziom restrykcyjności reguł.
  • False positive — fałszywy alarm (blokowanie legalnego ruchu).
  • Whitelist — lista wyjątków od reguł.

Related

Feedback

Czy ten artykuł pomógł?

Potwierdź