Die Sicherheit einer WordPress-Installation lässt sich ohne großen Aufwand über eine zusätzliche Anmeldung erhöhen. Meldet man sich über /wp-admin an, kommt vorher ein separates Anmelde-Popup.
.htaccess und Piwik
Sichert man seine WordPress-Installation mit .htaccess ab und verwendet zugleich Piwik als Analyse-Tool kann die Opt-out-Funktion im Browser blockiert werden.
Abhilfe schafft hier ein kleines php-Skript, dass direkt in das Root-Verzeichnis von Piwik zu kopieren ist.
Ich habe das Script „idxsec.php“ genannt:
# Modules that should be publicly accessible
$allowed_modules = array('CustomOptOut');
$requested_module = $_GET['module'];
if (in_array($requested_module, $allowed_modules)) {
include __DIR__ . '/index.php';
} else {
if (strpos(PHP_SAPI, 'fcgi') !== false) {
header("Status: 403 Forbidden");
} else {
header("HTTP/1.0 403 Forbidden");
}
die('Error 403: Access not allowed');
}
Die Rechte auf „idxsec.php“ sind gleich der Rechte von index.php zu setzen. Im Normalfall ist das 644.
Gib mir gerne einen Kaffee ☕ aus!
Wenn dir meine Beiträge gefallen und geholfen haben, dann kannst du mir gerne einen Kaffee ☕ ausgeben.
bc1qfuz93hw2fhdvfuxf6mlxlk8zdadvnktppkzqzj
Nachdem die Datei in das Verzeichnis von Piwik kopiert wurde, ist die .htaccess anzupassen.
Dort sollte der Eintrag ausreichen, um Opt-out trotz Webserverzugriffsschutz zu erlauben
Die .hataccess-Datei ist im Hauptverzeichnis des Webservers abzulegen.
<Files ~ "^\.(js|php)|^idxsec\.php">
Allow from all
Satisfy any
</Files>
Bei mir läuft Piwik als Subdomain, ist das bei euch nicht der Fall, sieht der Code ggf. so aus:
<Files ~ "^piwik\.(js|php)|^idxsec\.php">
Allow from all
Satisfy any
<?/Files>