Kategorie: Wordpress

Sichert man seine WordPress-Installation mit .htaccess ab und verwendet zugleich Piwik als Analyse-Tool kann die Opt-out-Funktion im Browser blockiert werden.

Abhilfe schafft hier ein kleines php-Skript, dass direkt in das Root-Verzeichnis von Piwik zu kopieren ist.
Ich habe das Script „idxsec.php“ genannt:

# Modules that should be publicly accessible
$allowed_modules = array('CustomOptOut');

$requested_module = $_GET['module'];

if (in_array($requested_module, $allowed_modules)) {
    include __DIR__ . '/index.php';
} else {
    if (strpos(PHP_SAPI, 'fcgi') !== false) {
        header("Status: 403 Forbidden");
    } else {
        header("HTTP/1.0 403 Forbidden");
    }
    die('Error 403: Access not allowed');
}

Die Rechte auf „idxsec.php“ sind gleich der Rechte von index.php zu setzen. Im Normalfall ist das 644.

Nachdem die Datei in das Verzeichnis von Piwik kopiert wurde, ist die .htaccess anzupassen.
Dort sollte der Eintrag ausreichen, um Opt-out trotz Webserverzugriffsschutz zu erlauben
Die .hataccess-Datei ist im Hauptverzeichnis des Webservers abzulegen.

<Files ~ "^\.(js|php)|^idxsec\.php">
    Allow from all
    Satisfy any
</Files>

Bei mir läuft Piwik als Subdomain, ist das bei euch nicht der Fall, sieht der Code ggf. so aus:

<Files ~ "^piwik\.(js|php)|^idxsec\.php">
    Allow from all
    Satisfy any
<?/Files>

Weiterführende Links

• https://github.com/piwik/piwik/issues/6448
• https://www.slicewise.net/php/piwik-absichern/