Cara Mengkonfigurasi Firewall untuk Hosting cPanel Anda

Mengamankan server cPanel tanpa firewall yang dikonfigurasi dengan benar seperti membiarkan pintu depan pusat data tidak terkunci. ConfigServer Security & Firewall (CSF) adalah standar de facto untuk memperkuat lingkungan cPanel dan WHM — ia terintegrasi langsung ke antarmuka WHM, membungkus iptables (atau nftables pada kernel yang lebih baru), dan dilengkapi dengan daemon pendamping bernama Login Failure Daemon (LFD) yang menangani deteksi intrusi secara real-time. Panduan ini membahas penerapan CSF lengkap dan berkualitas produksi: instalasi, arsitektur aturan, mitigasi ancaman tingkat lanjut, dan alur kerja pemeliharaan berkelanjutan.

Baik Anda menjalankan VPS dengan cPanel maupun Dedicated Server penuh, prinsip konfigurasinya identik. Perbedaannya adalah pada mesin dedicated Anda memiliki akses kernel eksklusif, yang berarti fitur connection-tracking dan perlindungan SYN-flood CSF yang lebih agresif dapat didorong lebih keras tanpa memengaruhi penyewa lain.

Mengapa Firewall Perangkat Lunak Bukan Pilihan pada Server cPanel

cPanel mengekspos permukaan serangan yang besar secara desain. Instalasi default membuka lusinan port layanan — WHM (2086/2087), cPanel (2082/2083), FTP (21), pengiriman mail (587), IMAP (993), POP3 (995), dan lainnya. Setiap port yang terbuka adalah vektor masuk yang potensial. Tanpa filter paket stateful di depan layanan-layanan ini:

• Serangan brute-force terhadap SSH, FTP, dan webmail berhasil tanpa terdeteksi
• Bot credential-stuffing menghantam endpoint xmlapi dan cpsrvd
• Lalu lintas DDoS berbasis amplifikasi memenuhi NIC sebelum lapisan aplikasi dapat merespons
• Akun shared-hosting yang disusupi dapat berpindah secara lateral di seluruh server

Firewall perangkat keras di tepi jaringan membantu, tetapi tidak dapat melihat konteks lapisan aplikasi — ia tidak mengetahui bahwa sebuah IP telah gagal login IMAP sebanyak 20 kali berturut-turut dalam 60 detik. CSF + LFD beroperasi di tingkat host dan bereaksi tepat terhadap sinyal perilaku semacam itu.

CSF vs. Opsi Firewall cPanel Lainnya

CSF unggul di setiap aspek yang penting untuk lingkungan cPanel. Satu-satunya alasan untuk memilih firewalld atau ufw adalah jika Anda menjalankan stack non-cPanel dan lebih menyukai alat yang lebih ringan.

Langkah 1: Daftar Periksa Pra-Instalasi

Sebelum menyentuh satu perintah pun, selesaikan pemeriksaan ini. Melewatinya adalah cara administrator secara tidak sengaja mengunci diri dari server produksi.

Verifikasi akses out-of-band Anda. Konfirmasikan bahwa Anda memiliki akses ke konsol penyedia hosting Anda (KVM over IP, IPMI, atau konsol VNC berbasis web). Jika CSF memblokir IP Anda selama pengujian, akses konsol adalah jalur pemulihan Anda.

Catat alamat IP manajemen Anda. Jalankan perintah berikut dari mesin lokal Anda:

curl -4 ifconfig.me

Anda akan memasukkan IP ini ke daftar putih di CSF sebelum mengaktifkan mode penegakan.

Periksa status iptables yang ada:

iptables -L -n --line-numbers

Jika alat firewall lain (APF, firewalld) sudah aktif, hentikan dan nonaktifkan sebelum menginstal CSF untuk mencegah konflik aturan.

Konfirmasikan Perl sudah terinstal (CSF berbasis Perl):

perl -v

Pada sistem CentOS/AlmaLinux/CloudLinux yang baru, Perl sudah ada secara default. Pada build Ubuntu minimal, instal dengan apt install perl.

Langkah 2: Instal CSF di Server cPanel Anda

Hubungkan ke server Anda sebagai root melalui SSH:

ssh root@YOUR_SERVER_IP

Unduh, ekstrak, dan jalankan penginstal:

cd /usr/src
wget https://download.configserver.com/csf.tgz
tar -xzf csf.tgz
cd csf
sh install.sh

Penginstal mendaftarkan CSF sebagai layanan sistem, menginstal plugin WHM, dan menempatkan file konfigurasi utama di /etc/csf/csf.conf.

Jalankan pemeriksaan dependensi bawaan untuk mengonfirmasi semua modul Perl yang diperlukan sudah ada:

perl /usr/local/csf/bin/csftest.pl

Setiap baris yang ditandai FATAL harus diselesaikan sebelum melanjutkan. Baris yang ditandai WARN adalah fitur opsional — tinjau tetapi tidak akan mencegah CSF berfungsi.

Verifikasi versi yang terinstal:

csf -v

Langkah 3: Konfigurasi Inti di /etc/csf/csf.conf

Buka file konfigurasi utama di editor pilihan Anda:

nano /etc/csf/csf.conf

File ini memiliki banyak komentar. Direktif berikut memiliki dampak keamanan tertinggi dan harus ditinjau pada setiap penerapan baru.

Mode Pengujian

Saat CSF pertama kali diinstal, TESTING = "1" diatur secara default. Dalam mode ini, LFD tidak dimulai dan tidak ada blokir yang diberlakukan — aturan dimuat tetapi bersifat sementara. Jangan nonaktifkan mode pengujian sampai Anda telah memasukkan IP manajemen ke daftar putih dan memvalidasi semua aturan port.

TESTING = "0"   # Set this only after full validation

Daftar Izin Port Masuk dan Keluar

TCP_IN dan TCP_OUT mendefinisikan port TCP mana yang diizinkan di setiap arah. Server cPanel yang minimal namun fungsional membutuhkan:

TCP_IN = "20,21,22,25,53,80,110,143,443,465,587,993,995,2077,2078,2082,2083,2086,2087,2095,2096"
TCP_OUT = "20,21,22,25,53,80,110,113,443,587,993,995"
UDP_IN = "20,21,53"
UDP_OUT = "20,21,53,113,123"

Catatan operasional penting: Port 2087 adalah WHM SSL. Port 2083 adalah cPanel SSL. Jika Anda menghapus ini dari TCP_IN sebelum memasukkan IP Anda ke daftar putih, Anda akan langsung kehilangan akses ke panel kontrol. Port 123 (UDP keluar) adalah NTP — menghapusnya merusak sinkronisasi waktu, yang berdampak pada kegagalan validasi sertifikat SSL dan penolakan pengiriman mail.

Tutup setiap port yang tidak digunakan secara aktif. Jalankan ss -tlnp untuk mengaudit apa yang sebenarnya sedang mendengarkan sebelum menyelesaikan daftar ini.

Memasukkan IP Manajemen Anda ke Daftar Putih

Tambahkan IP Anda ke /etc/csf/csf.allow sebelum menonaktifkan mode pengujian:

echo "YOUR.MANAGEMENT.IP # My office IP" >> /etc/csf/csf.allow

Atau, gunakan perintah CSF secara langsung:

csf -a YOUR.MANAGEMENT.IP "Management workstation"

IP yang masuk daftar putih melewati semua blokir LFD dan semua aturan pembatasan laju. Jaga daftar ini tetap minimal — setiap entri adalah pengecualian permanen terhadap kebijakan keamanan Anda.

Memblokir IP Berbahaya yang Diketahui

Blokir permanen masuk ke /etc/csf/csf.deny:

csf -d MALICIOUS.IP.ADDRESS "Confirmed scanner"

Untuk impor massal dari feed intelijen ancaman (Spamhaus DROP, Emerging Threats, dll.), tambahkan CIDR langsung ke /etc/csf/csf.deny dan muat ulang:

csf -r

Langkah 4: Konfigurasi Login Failure Daemon (LFD)

LFD adalah komponen deteksi intrusi berbasis perilaku dari CSF. Ia memantau file log sistem secara real-time, menghitung kegagalan autentikasi per IP sumber, dan memicu blokir sementara ketika ambang batas terlampaui. Ini adalah pertahanan utama Anda terhadap serangan brute-force kredensial.

Direktif LFD utama di csf.conf:

Kasus tepi yang perlu diketahui: Jika server Anda berada di belakang gateway NAT atau router kantor bersama, beberapa pengguna yang sah berbagi satu IP eksternal. Menetapkan LF_TRIGGER terlalu rendah akan memblokir seluruh kantor Anda setelah beberapa kesalahan ketik. Naikkan ambang batas atau masukkan IP kantor ke daftar putih di csf.allow.

LFD juga memantau proses yang mencurigakan, peristiwa pemantauan direktori, dan deteksi perubahan file (fitur LF_DIRWATCH dan LF_INTEGRITY). Aktifkan LF_INTEGRITY untuk mendeteksi modifikasi tidak sah pada biner sistem:

LF_INTEGRITY = "3600"   # Check every hour

Langkah 5: Fitur Mitigasi Ancaman Tingkat Lanjut

Perlindungan SYN Flood

Serangan SYN flood menghabiskan tabel koneksi TCP dengan mengirimkan volume besar paket SYN tanpa menyelesaikan handshake. Aktifkan mitigasi bawaan CSF:

SYNFLOOD = "1"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"

Nilai-nilai ini mengizinkan 100 paket SYN baru per detik dengan kelonggaran burst 150 sebelum aturan dipicu. Sesuaikan angka-angka ini berdasarkan puncak lalu lintas sah Anda — situs e-commerce selama flash sale mungkin memerlukan nilai burst yang lebih tinggi.

Connection Tracking

Connection tracking membatasi jumlah total koneksi bersamaan dari satu IP di semua port. Ini efektif melawan serangan DDoS slow-rate dan kelelahan koneksi:

CT_LIMIT = "300"
CT_INTERVAL = "30"
CT_BLOCK_TIME = "1800"
CT_SKIP_LOCAL = "1"

CT_SKIP_LOCAL mencegah koneksi localhost dan loopback dihitung terhadap batas — penting pada server di mana daemon cPanel berkomunikasi secara internal melalui TCP.

Deteksi Pemindaian Port

CSF dapat mendeteksi dan memblokir host yang menyelidiki beberapa port dalam jendela waktu singkat:

PS_INTERVAL = "300"
PS_LIMIT = "10"
PS_BLOCK_TIME = "3600"
PS_PERMANENT = "0"

IP yang menyentuh 10 atau lebih port tertutup dalam 300 detik akan diblokir selama satu jam. Atur PS_PERMANENT = "1" hanya jika Anda yakin pengguna sah Anda tidak akan pernah secara tidak sengaja memicunya — beberapa klien mail dan alat pemantauan menyelidiki beberapa port selama negosiasi koneksi.

Pemblokiran Tingkat Negara

Jika aplikasi Anda tidak memiliki pengguna sah di wilayah berisiko tinggi tertentu, pemblokiran di tingkat negara secara dramatis mengurangi kebisingan di log Anda dan beban kerja LFD. Edit csf.conf:

CC_DENY = "CN,RU,KP,NG"
CC_ALLOW = ""

Kode negara mengikuti standar ISO 3166-1 alpha-2. CSF mengunduh data GeoIP secara otomatis. Berhati-hatilah di sini — memblokir seluruh negara adalah instrumen yang tumpul. Pendekatan yang lebih baik untuk sebagian besar penerapan adalah CC_ALLOW (daftar putih hanya negara-negara tempat pengguna Anda berada) dikombinasikan dengan CC_ALLOW_PORTS untuk membatasi akses berbasis negara hanya ke port tertentu.

Pembatasan SMTP Keluar

Instalasi WordPress yang disusupi dan skrip yang rentan sering digunakan sebagai relay spam. CSF dapat membatasi SMTP keluar hanya untuk proses mail yang diotorisasi:

SMTP_BLOCK = "1"
SMTP_ALLOWUSER = "mailman"
SMTP_ALLOWGROUP = "mail"

Ini memblokir semua koneksi keluar pada port 25 kecuali dari proses yang berjalan sebagai pengguna atau grup yang ditentukan. Pengiriman mail sah melalui MTA Anda (Exim pada cPanel) tidak terpengaruh karena Exim berjalan sebagai grup mail. Direktif tunggal ini menghilangkan seluruh kelas penyalahgunaan spam dari akun yang disusupi.

Jika Anda memerlukan infrastruktur mail keluar berkualitas profesional di samping hosting Anda, pertimbangkan untuk memasangkan server Anda dengan solusi Email Hosting khusus untuk mail transaksional dan pemasaran.

Langkah 6: Menerapkan dan Menguji Konfigurasi

Setelah Anda meninjau semua direktif, muat ulang CSF untuk menerapkan perubahan tanpa restart penuh:

csf -r

Untuk me-restart penuh CSF dan LFD:

csf -ra

Periksa status saat ini dan jumlah aturan aktif:

csf -l

Verifikasi LFD sedang berjalan:

systemctl status lfd

Uji dari IP eksternal (bukan IP manajemen Anda yang masuk daftar putih) bahwa pemblokiran port berfungsi seperti yang diharapkan. Gunakan nmap dari mesin terpisah:

nmap -sS -p 1-65535 YOUR_SERVER_IP

Hanya port yang secara eksplisit tercantum di TCP_IN yang seharusnya muncul sebagai terbuka. Semua yang lain seharusnya mengembalikan filtered.

Nonaktifkan mode pengujian hanya setelah validasi ini berhasil:

# In /etc/csf/csf.conf, set TESTING = "0", then:
csf -r

Langkah 7: Konfigurasi GUI WHM

Bagi administrator yang lebih menyukai antarmuka grafis, CSF terintegrasi penuh ke dalam WHM. Navigasikan ke WHM > Plugins > ConfigServer Security & Firewall. Dari sini Anda dapat:

• Melihat daftar blokir langsung dan membuka blokir IP secara manual
• Menambahkan entri izin/tolak sementara dan permanen
• Memicu pemeriksaan konfigurasi yang memvalidasi sintaks csf.conf
• Melihat log LFD dalam antarmuka yang dapat dipaginasi dan dicari
• Menjalankan alat sinkronisasi cluster jika mengelola beberapa server

Antarmuka WHM sangat berguna bagi staf dukungan yang perlu membuka blokir IP pelanggan yang sah tanpa akses SSH. Berikan akses akun reseller WHM ke plugin CSF secara selektif — tidak setiap reseller memerlukan kemampuan manajemen firewall.

Langkah 8: Pemantauan, Analisis Log, dan Pemeliharaan

Pemantauan Log Real-Time

LFD menulis peristiwa blokir ke /var/log/lfd.log. Pantau selama insiden aktif:

tail -f /var/log/lfd.log

Log aktivitas CSF sendiri ada di /var/log/csf.log. Untuk ringkasan IP yang paling sering diblokir dalam 24 jam terakhir:

grep "Blocked" /var/log/lfd.log | awk '{print $NF}' | sort | uniq -c | sort -rn | head -20

Peringatan Email

Konfigurasikan LFD untuk mengirim peringatan ke alamat administratif Anda:

LF_ALERT_TO = "admin@yourdomain.com"
LF_ALERT_FROM = "lfd@yourdomain.com"

Aktifkan jenis peringatan tertentu:

LF_EMAIL_ALERT = "1"      # Block alerts
LT_EMAIL_ALERT = "1"      # Login tracking alerts
RT_EMAIL_ALERT = "1"      # Resource usage alerts

Hindari mengaktifkan setiap jenis peringatan pada server yang sibuk — kelelahan peringatan menyebabkan administrator mulai mengabaikan notifikasi, yang mengalahkan tujuannya sepenuhnya.

Memperbarui CSF

CSF merilis pembaruan secara sering. Jalankan pembaruan bawaan:

csf -u

Ini mengunduh versi terbaru, mempertahankan file konfigurasi Anda, dan me-restart layanan. Jadwalkan ini dalam cron job mingguan:

0 3 * * 0 /usr/sbin/csf -u >> /var/log/csf_update.log 2>&1

Integrasi dengan cPHulk

cPanel dilengkapi dengan alat perlindungan brute-force sendiri yang disebut cPHulk. Menjalankan cPHulk dan LFD secara bersamaan menciptakan blokir yang redundan dan dapat menyebabkan kebingungan selama respons insiden. Pendekatan yang direkomendasikan: nonaktifkan cPHulk dan andalkan LFD secara eksklusif, yang lebih dapat dikonfigurasi dan terintegrasi dengan daftar blokir terpadu CSF.

Nonaktifkan cPHulk melalui WHM di bawah Security Center > cPHulk Brute Force Protection.

Arsitektur Firewall untuk Lingkungan Multi-Server

Jika Anda mengelola beberapa server cPanel — pola umum dengan cluster VPS Hosting atau server web utama yang dipasangkan dengan server database terpisah — fitur sinkronisasi cluster CSF memungkinkan Anda menyebarkan daftar blokir ke semua node secara bersamaan.

Konfigurasikan anggota cluster di /etc/csf/csf.conf:

CLUSTER_MASTER = "PRIMARY_SERVER_IP"
CLUSTER_SENDTO = "SECONDARY_SERVER_IP"
CLUSTER_RECVFROM = "PRIMARY_SERVER_IP"
CLUSTER_KEY = "your_shared_secret_key"

Ketika LFD memblokir IP di server utama, blokir secara otomatis dikirim ke semua anggota cluster dalam hitungan detik. Ini sangat berharga ketika pemindai yang menyelidiki server web Anda juga mencoba brute-force SSH pada node database Anda.

Untuk lingkungan lalu lintas tinggi atau beban kerja intensif GPU yang berjalan bersama layanan web, infrastruktur GPU Hosting mendapat manfaat dari pendekatan pengerasan CSF yang sama — konfigurasi firewall identik, tetapi nilai CT_LIMIT biasanya perlu lebih tinggi untuk mengakomodasi koneksi API paralel yang sah.

Pertimbangan Keamanan SSL dan Port

Firewall mengontrol akses ke port, tetapi tidak memvalidasi integritas kriptografi koneksi pada port tersebut. Pastikan setiap layanan yang diekspos melalui aturan firewall Anda juga dilindungi dengan sertifikat SSL/TLS yang valid. Port 443 yang terbuka dengan sertifikat yang kedaluwarsa atau self-signed adalah risiko phishing dan MITM.

Pasangkan konfigurasi firewall Anda dengan sertifikat yang diterbitkan dengan benar dari CA tepercaya. AlexHost menyediakan SSL Certificates yang terintegrasi langsung dengan alur kerja AutoSSL cPanel, memastikan endpoint HTTPS yang Anda ekspos aman secara kriptografi.

Jebakan Umum dan Cara Menghindarinya

Mengunci diri selama pengaturan awal. Selalu masukkan IP Anda ke daftar putih di csf.allow sebelum mengatur TESTING = "0". Selalu konfirmasikan akses konsol sebelum membuat perubahan penegakan.

Memblokir layanan internal cPanel sendiri. Daemon cPanel berkomunikasi melalui localhost dan terkadang melalui IP utama server. CT_SKIP_LOCAL = "1" dan tinjauan cermat terhadap TCP_OUT mencegah gangguan layanan yang disebabkan sendiri.

LF_DURATION yang terlalu agresif pada shared hosting. Jika pengguna sah berbagi IP NAT dengan penyerang, blokir 24 jam menghukum pelanggan yang tidak bersalah. Gunakan LF_DURATION = "3600" dan LF_PERMBLOCK_COUNT = "4" untuk meningkatkan hanya pelanggar berulang ke larangan permanen.

Lupa membuka port agen pemantauan. Jika Anda menggunakan layanan pemantauan eksternal (Zabbix, Nagios, Datadog), agennya memerlukan port masuk yang terbuka. Tambahkan ke TCP_IN dan masukkan IP server pemantauan ke daftar putih di csf.allow.

Tidak menguji aturan keluar. Administrator berfokus pada TCP_IN masuk tetapi mengabaikan TCP_OUT. Aturan keluar yang terlalu ketat merusak sistem pembaruan cPanel, pembaruan sertifikat Let’s Encrypt (port 80 keluar ke server ACME), dan koneksi MySQL jarak jauh.

Menjalankan CSF pada server dengan proxy Cloudflare. Ketika lalu lintas melewati Cloudflare, IP sumber yang dilihat CSF adalah IP node tepi Cloudflare, bukan IP pengunjung sebenarnya. Memblokir IP Cloudflare memblokir semua lalu lintas melalui node tepi tersebut. Gunakan file csf.allow untuk memasukkan rentang IP Cloudflare yang dipublikasikan ke daftar putih dan konfigurasikan aplikasi Anda untuk membaca header CF-Connecting-IP untuk IP pengunjung sebenarnya.

Matriks Keputusan Teknis: Memilih Profil Konfigurasi CSF Anda

Poin Utama: Daftar Periksa Kesiapan Produksi

Sebelum menganggap penerapan CSF Anda siap produksi, verifikasi setiap item di bawah ini:

• IP manajemen ada di /etc/csf/csf.allow dan dikonfirmasi dengan csf -g YOUR.IP

TESTING = "0" telah diatur dan csf -r telah dijalankan
TCP_IN hanya berisi port dengan layanan aktif dan disengaja — diverifikasi terhadap ss -tlnp

SMTP_BLOCK = "1" diaktifkan kecuali server adalah relay mail khusus
LFD sedang berjalan — dikonfirmasi dengan systemctl status lfd

LF_PERMBLOCK_COUNT dan LF_PERMBLOCK_INTERVAL dikonfigurasi untuk meningkatkan pelanggar berulang
CT_LIMIT diatur dan disesuaikan dengan koneksi bersamaan puncak yang diharapkan
SYNFLOOD = "1" diaktifkan dengan nilai laju yang sesuai untuk volume lalu lintas Anda
Peringatan email dikonfigurasi dan peringatan uji telah diterima
cPHulk dinonaktifkan di WHM untuk mencegah konflik dengan LFD
Cron job csf -u mingguan telah dijadwalkan
Akses konsol/IPMI telah diuji secara independen dari SSH
Aturan port keluar (TCP_OUT) telah divalidasi — pembaruan cPanel, Let’s Encrypt, dan NTP semuanya berfungsi dengan benar
Jika menggunakan Cloudflare, rentang IP Cloudflare dimasukkan ke daftar putih di csf.allow

FAQ

Apa perbedaan antara CSF dan firewall perangkat keras, dan apakah saya memerlukan keduanya?

Firewall perangkat keras beroperasi di perimeter jaringan dan menyaring lalu lintas sebelum mencapai NIC server Anda. CSF beroperasi di tingkat OS dan menambahkan deteksi berbasis perilaku yang sadar aplikasi yang tidak dapat disediakan oleh firewall perangkat keras — seperti memblokir IP setelah berulang kali gagal login cPanel. Dalam lingkungan produksi, kedua lapisan saling melengkapi. Penyaringan perangkat keras mengurangi beban DDoS volumetrik; CSF menangani upaya intrusi yang ditargetkan.

Bagaimana cara membuka blokir IP yang telah dilarang secara permanen oleh CSF?

Jalankan csf -dr BLOCKED.IP.ADDRESS untuk menghapusnya dari daftar tolak, lalu csf -r untuk memuat ulang aturan. Atau, gunakan antarmuka plugin CSF WHM di bawah “Unblock an IP.” Untuk mencegah pemblokiran ulang, tambahkan IP ke csf.allow dengan csf -a IP.ADDRESS "reason".

Apakah CSF akan mengganggu pembaruan sertifikat Let’s Encrypt / AutoSSL?

Hanya jika port 80 keluar diblokir di TCP_OUT atau jika IP server validasi Let’s Encrypt secara tidak sengaja ada di csf.deny. Pastikan port 80 ada di TCP_IN (untuk respons tantangan HTTP-01) dan TCP_OUT (untuk komunikasi server ACME). Jika pembaruan gagal setelah instalasi CSF, periksa csf.deny untuk rentang IP Let’s Encrypt dan tinjau /var/log/lfd.log untuk koneksi keluar yang diblokir.

Bagaimana cara menguji aturan CSF baru dengan aman tanpa risiko terkunci?

Aktifkan kembali mode pengujian sementara dengan mengatur TESTING = "1" di csf.conf dan menjalankan csf -r. Dalam mode pengujian, aturan dimuat tetapi tidak diberlakukan, dan LFD tidak dimulai. Validasi perubahan Anda, lalu atur TESTING = "0" dan muat ulang. Selalu konfirmasikan akses konsol sebelum beralih kembali ke mode penegakan.

Apakah CSF melindungi terhadap serangan lapisan aplikasi seperti SQL injection atau XSS?

Tidak. CSF beroperasi di lapisan jaringan dan transport (L3/L4) dan tidak memiliki visibilitas ke dalam payload permintaan HTTP. Serangan lapisan aplikasi memerlukan Web Application Firewall (WAF) seperti ModSecurity dengan OWASP Core Rule Set, yang terintegrasi dengan Apache dan Nginx pada server cPanel. CSF dan ModSecurity saling melengkapi — CSF menangani ancaman tingkat jaringan sementara ModSecurity menangani serangan tingkat HTTP. LFD dapat dikonfigurasi untuk memblokir IP yang berulang kali memicu aturan ModSecurity melalui direktif LF_MODSEC.