Рекомендация не включать mod_status основана на том факте, что если он будет доступен, то он будет доступен на всем сервере.
Когда вы затем позволите .htaccess файлов (по умолчанию или в большинстве развертываний Apache httpd), то каждый пользователь, который может редактировать/создавать .htaccess файлы могут включить статус URL. В отличие от большинства директив, которые можно включить/настроить из .htaccess файлов область URL-адреса состояния не ограничивается путем к каталогу, в котором находится файл .htaccess, но предоставляет состояние всего сервера и всех размещенных на нем сайтов. Это может быть серьезной угрозой безопасности или утечкой информации на общем сервере.
Этот риск безопасности не обязательно должен существовать.
Когда сервер не используется многими веб-мастерами, а не зависит от .htaccess файлы администраторы сервера могут загрузить все директивы в статическую конфигурацию, в httpd.conf (и/или во фрагменты, которые включаются из подкаталогов sites-enabled и/или conf.d и т.д.).
Затем отключите все .htaccess (установив AllowOverride нет). Это также улучшает производительность кстати.
Тогда только администратор может включить URL-адрес состояния, и когда для этого URL-адреса установлены надлежащие элементы управления доступом, использование mod_status не представляет риска.
