[Tipp] Piwik mit htaccess schützen

[Luca01]

Hallo Foris,

vielleicht setzt der eine oder andere von euch ebenfalls Piwik zum Tracking der Homepages ein. Wie bei jeder Open-Source Software ist auch Piwik durch die offene Codestruktur für Hacker angreifbar. Darum sind wir dazu übergegangen sensible Bereiche zusätzlich durch einen htaccess Zugang zu schützen. Bei Piwik findet man im Netz den Tipp z.B durch

<IfModule mod_rewrite.c>
RewriteEngine off
</IfModule>
AuthName "lollipop?"
AuthType Basic
AuthUserFile "/directory/.htpasswd"
<Files "*">
    Require valid-user
</Files>

<Files ~ "^piwik\.(js|php)$">
    Allow from all
    Satisfy any
</Files>

den Zugriff auf Piwik zu sperren und nur die Tracking-Codes frei zu geben. Für das in Deutschland gültige Datenschutzrecht ist dies aber zu kurz gedacht. Piwik enthält eine Widerspruchsmöglichkeit für Nutzer, die Teil der Datenschutzerklärung sein soll, um Piwik richtig einzusetzen. Diese Widerspruchsmöglichkeit wird über die index.php von Piwik aufgerufen. Darum muß der im Netz kursierende Code für Deutschland etwas modifiziert werden:

<IfModule mod_rewrite.c>
RewriteEngine off
</IfModule>
AuthName "lollipop?"
AuthType Basic
AuthUserFile "/directory/.htpasswd"
<Files "*">
    Require valid-user
</Files>

<Files ~ "^(index|piwik)\.(js|php)$">
    Allow from all
    Satisfy any
</Files>

Die Zeile

<Files ~ "^(index|piwik)\.(js|php)$">

gibt auch die index.php von Piwik frei und läßt so den Widerspruch des Tracking zu. Das Verzeichnis ist trotzdem geschützt, da die restlichen Steuercodes nach wie vor gesperrt sind.

Viele Grüße

 

Anregungen um Piwik Datenschutzkonform einzusetzen findet ihr z.B. hier.

Edited June 14, 2014 by Luca01 (see edit history)

[xMartin]

Danke für die Anregung, setzt Du Piwik zusammen mit GA ein? Oder ersetzt Piwik bei Dir Google Analytics?