IT / Web

Piwik/Matomo sicherer machen

In der Grundinstallation könnte theoretisch jeder versuchen das Backend von Piwik bzw. Matomo aufzurufen, wenn er die URL kennt. Diese ist ja nicht schwer zu finden, da sie im Quellcode der trackenden Webseiten steht.

Die weitere Absicherung kann man durch die Anpassung der htaccess-Datei mit einem Passwortschutz für den Aufruf der kritischen Dateien vornehmen:

 

Blöderweise haben sich die Piwik-Entwickler dafür entschieden die OptOut-Abfrage über Parameter zu realisieren, die an die index.php angehangen werden. Da die rechtlich benötigte OptOut-Abfrage in die Datenschutzerklärung gepackt wird, muss die index.php-Datei also eigentlich aufrufbar sein. Dadurch würde man das eigentliche Ziel aber verfehlen. Deshalb muss man mit einer Proxy-Datei arbeiten, die nur auf die OptOut-Parameter reagiert und die Funktionalität der index.php includet. Dafür erstellt man eine php-Datei mit beliebigem Namen wie beispielsweise idxsec.php und kopiert folgenden Code hinein:

Natürlich muss man dann die URL des OptOut-Codes auch noch anpassen und aus index.php idxsec.php machen, beispielsweise:

Damit die Suchmaschinen nicht fälschlicherweise die Piwik-Subdomains indexieren, sollte man noch eine robots.txt mit folgendem Inhalt anlegen:

Der einzige Nachteil an dieser Absicherung ist, dass die Matomo/Piwik-App, die es im PlayStore gibt dann nicht mehr funktioniert. Leider kann man dort nicht die Zugangsdaten eingeben, die durch die htaccess-Datei abgefragt werden.

 

Quellen:
https://www.slicewise.net/php/piwik-absichern/

 

Tobias Langner

Tobias Langner

Ich arbeite seit mehreren Jahren als Software-Release-Manager, zuvor als IT-Administrator, bin ausgebildeter Fachinformatiker für Systemintegration und Studium-"Pausierer" an der FernUni Hagen. Achtung: Für die Richtigkeit der zur Verfügung gestellten Informationen, Skripte, etc. übernehme ich keine Gewähr. Deren Nutzung geschieht ausdrücklich auf eigene Gefahr!

Alle Beiträge ansehen von Tobias Langner →

4 Gedanken zu “Piwik/Matomo sicherer machen

    1. Hallo Sebi,

      meinst du den Login über die Webseite oder über die Matomo-App?

      Über die Webseite funktioniert es dann ganz normal. Nach Eingabe der htaccess-Zugangsdaten kommt die Loginpage von Matomo.

      Viele Grüße
      Tobias

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert