von In der Grundinstallation könnte theoretisch jeder versuchen das Backend von Piwik bzw. Matomo aufzurufen, wenn er die URL kennt. Diese ist ja nicht schwer zu finden, da sie im Quellcode der trackenden Webseiten steht.
Die weitere Absicherung kann man durch die Anpassung der htaccess-Datei mit einem Passwortschutz für den Aufruf der kritischen Dateien vornehmen:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
# activate RewriteRules RewriteEngine On # rewrite settings if site is running in production environment <IfDefine !DEV_ENV> # rewrite the url always to the piwik-subdomain and force ssl RewriteCond %{HTTPS} off RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] <Files "*"> Order deny,allow Deny from all Allow from 127.0.0.1 <your-server-ip> #needed for some scripts AuthUserFile /www/htdocs/path/to/piwik/.htpasswd AuthGroupFile /dev/null AuthName Piwik AuthType Basic require valid-user Satisfy any </Files> <Files ~ "^piwik\.(js|php)|robots\.txt|idxsec\.php|favicon\.ico$"> Allow from all Satisfy any </Files> </IfDefine> |
Blöderweise haben sich die Piwik-Entwickler dafür entschieden die OptOut-Abfrage über Parameter zu realisieren, die an die index.php angehangen werden. Da die rechtlich benötigte OptOut-Abfrage in die Datenschutzerklärung gepackt wird, muss die index.php-Datei also eigentlich aufrufbar sein. Dadurch würde man das eigentliche Ziel aber verfehlen. Deshalb muss man mit einer Proxy-Datei arbeiten, die nur auf die OptOut-Parameter reagiert und die Funktionalität der index.php includet. Dafür erstellt man eine php-Datei mit beliebigem Namen wie beispielsweise idxsec.php und kopiert folgenden Code hinein:
|
1 2 3 4 5 6 |
<?php if ($_GET['module'] === 'CoreAdminHome' && $_GET['action'] === 'optOut') { require_once('index.php'); } else { echo 'Error'; } |
Natürlich muss man dann die URL des OptOut-Codes auch noch anpassen und aus index.php idxsec.php machen, beispielsweise:
|
1 |
<iframe style="border: 0; height: 200px; width: 600px;" src="https://piwik.domain1.de/idxsec.php?module=CoreAdminHome&action=optOut&language=de"></iframe> |
Damit die Suchmaschinen nicht fälschlicherweise die Piwik-Subdomains indexieren, sollte man noch eine robots.txt mit folgendem Inhalt anlegen:
|
1 2 |
User-Agent: * Disallow: / |
Der einzige Nachteil an dieser Absicherung ist, dass die Matomo/Piwik-App, die es im PlayStore gibt dann nicht mehr funktioniert. Leider kann man dort nicht die Zugangsdaten eingeben, die durch die htaccess-Datei abgefragt werden.
Quellen:
https://www.slicewise.net/php/piwik-absichern/
Was ich dabei nicht verstehe, der Login funktioniert ja dann auch nicht mehr?
Hallo Sebi,
meinst du den Login über die Webseite oder über die Matomo-App?
Über die Webseite funktioniert es dann ganz normal. Nach Eingabe der htaccess-Zugangsdaten kommt die Loginpage von Matomo.
Viele Grüße
Tobias
Hallo Tobias,
Danke, das hat mir weitergeholfen, ich hatte einen Fehler im Pfad bei AuthUserFile.
Jetzt läuft es.
Hallo Sebi,
super, das freut mich. Schönes Wochenende 🙂
Viele Grüße
Tobias