Penelitian ini bertujuan untuk merancang dan mengimplementasikan sistem Web Application Firewall (WAF) berbasis OWASP Core Rule Set (CRS) guna meningkatkan perlindungan aplikasi web terhadap serangan SQL Injection. Studi dilakukan pada lingkungan web Politeknik Negeri Ujung Pandang yang memiliki lebih dari 80 subdomain aktif, dengan konfigurasi server yang cenderung seragam dan sebagian besar menggunakan CMS yang rentan, seperti WordPress. Solusi yang dibangun mengintegrasikan Coraza, sebuah engine WAF berbasis bahasa Go, ke dalam sistem reverse proxy Nginx. Sistem ini dilengkapi dengan panel kontrol berbasis web, logging dalam format JSON, serta dukungan Redis untuk pemetaan dan penyimpanan trafik secara efisien. Desain ini memungkinkan pemisahan dan pengelolaan banyak domain secara fleksibel. Pengujian dilakukan melalui lima jenis skenario serangan SQL Injection: parameter URL, form-data, x-www-form-urlencoded, JSON API, serta penggunaan tools otomatis seperti SQLMap. Pada kondisi tanpa WAF, semua serangan berhasil menembus sistem. Setelah WAF diaktifkan, seluruh payload yang diujikan, baik manual maupun otomatis, berhasil ditolak oleh sistem, menunjukkan peningkatan kemampuan pertahanan yang signifikan. Berdasarkan hasil tersebut, sistem WAF yang dikembangkan terbukti mampu memberikan perlindungan menyeluruh terhadap serangan SQL Injection dan layak diterapkan pada lingkungan produksi berskala institusional.

Kata kunci: Web Application Firewall, OWASP Core Rule Set (CRS), SQL Injection, Coraza, Nginx, Keamanan Aplikasi Web