Recomandarea de a nu activa mod_status este înrădăcinată în faptul că, dacă este disponibil, atunci va fi disponibil la nivelul întregului server.
Când atunci și tu permiti .htaccess fișierele (care este implicit sau majoritatea implementărilor Apache httpd), apoi fiecare utilizator care poate edita/crea .htaccess fișierele pot activa adresa URL de stare. Spre deosebire de majoritatea directivelor care pot fi activate/configurate din .htaccess fișiere domeniul de aplicare al adresei URL de stare nu se limitează la calea directorului în care este plasat fișierul .htaccess, ci expune starea întregului server și a tuturor site-urilor găzduite acolo. Acesta poate fi un risc sever de securitate/scurgere de informații pe un server partajat.
Acest risc de securitate nu trebuie să existe.
Atunci când serverul nu este folosit de mulți webmasteri diferiți decât să se bazeze pe .htaccess fișierele administratorii serverului pot încărca toate directivele în configurația statică, în httpd.conf (și/sau în fragmente care sunt incluse din subdirectoarele activate pentru site-uri și/sau conf.d etc.).
Apoi dezactivează toate .htaccess (prin setare AllowOverride nici unul). Care, de asemenea îmbunătățește performanța apropo.
Atunci numai administratorul poate activa adresa URL de stare și atunci când controalele de acces adecvate sunt setate pe acea adresă URL, nu există niciun risc în utilizarea mod_status.
