Zum Inhalt

Web Application Firewall (WAF)

enconf enthält eine integrierte Web Application Firewall basierend auf ModSecurity mit dem OWASP Core Rule Set (CRS). Die WAF schützt Websites vor den häufigsten Angriffen wie SQL-Injection, Cross-Site-Scripting (XSS) und Remote Code Execution.

WAF aktivieren

Pro Site

  1. Gehe zu Websites und bearbeite die gewünschte Site
  2. Unter Sicherheit den Schalter Web Application Firewall aktivieren
  3. Speichern — die WAF ist sofort aktiv

Paket-Berechtigung

Die WAF kann pro Paket freigeschaltet werden:

  1. Gehe zu Hosting-Pakete
  2. Bearbeite ein Paket
  3. Unter Berechtigungen den Schalter Web Application Firewall (WAF) aktivieren

Kunden ohne diese Berechtigung sehen den WAF-Schalter nicht und können die WAF nicht aktivieren.

WAF-Logs

Unter WAF im Menü findest du den Log-Viewer. Hier werden alle erkannten Angriffe und verdächtigen Anfragen angezeigt:

  • Zeitpunkt — Wann der Vorfall erkannt wurde
  • Client-IP — Die IP-Adresse des Angreifers
  • Methode / URI — Welche Seite angegriffen wurde
  • Regel-ID — Die OWASP-CRS Regel die ausgelöst wurde
  • Schweregrad — CRITICAL, ERROR, WARNING oder NOTICE
  • Aktion — Ob die Anfrage blockiert oder nur erkannt wurde

Filtern

Du kannst die Logs nach Site/Domain und Schweregrad filtern.

Regelausnahmen (Whitelisting)

Manchmal erkennt die WAF legitime Anfragen fälschlich als Angriff (False Positives). In diesem Fall können einzelne Regeln pro Site deaktiviert werden:

  1. Gehe zu WAFRegelausnahmen
  2. Wähle die betroffene Site
  3. Gib die Regel-ID(s) ein (z.B. 941100, 942100)
  4. Klicke Speichern

Die Regel-IDs findest du in den WAF-Logs (Spalte „Regel-ID").

Vorsicht beim Whitelisting

Deaktiviere nur Regeln die nachweislich False Positives verursachen. Jede deaktivierte Regel reduziert den Schutz für diese Site.

Häufige Regel-IDs

Regel-ID Beschreibung
941100 XSS-Angriff erkannt (via libinjection)
942100 SQL-Injection erkannt (via libinjection)
920350 IP-Adresse als Host-Header
932100 Remote Command Execution (Unix)
933100 PHP-Injection-Angriff

Technische Details

  • Engine: ModSecurity 3 als Nginx-Modul (libnginx-mod-http-modsecurity)
  • Regelwerk: OWASP Core Rule Set (CRS)
  • Modus: DetectionOnly (Standard) — kann auf Enforce umgestellt werden
  • Log-Datei: /var/log/nginx/modsec_audit.log
  • Exclusion-Dateien: /etc/nginx/modsec.d/<username>_exclusions.conf
Home Features Preise Partner Über uns Integration Impressum Datenschutz AGB

© 2026 NetCell IT · Felix Netzel · In der Wüste 23a, 51381 Leverkusen