mod_security хорошая вещь. только вот сложность написания фильтров для mod_security соизмерима со сложностью написания безопасного кода. При том что фильтры могут ограничить функциональность кода. А, как показывает практика, фильтры по умолчанию либо не эффективны в некоторых ситуациях, либо слишком снижают функциональность.
Все это давно известно. Плохо только то, что для безопасности хостинга это использовать нельзя. Да и защита эта довольно поверхостная, примерно тоже самое, что защита антивируса. Всегда можно обойти.