Piwik-Login-Seite per .htaccess schützen


#1

Hallo zusammen,

ich würde gerne die Piwik-Login Seite per .htaccess-Datei schützen - so der Grundgedanke.

Auf meinem Webserver (Apache) besteht momentan folgende Struktur:


/var/www/.htaccess1 (die datei hat in wirklichkeit keine 1 hinten dran, ist hier nur zur  besseren unterscheidung)
/var/www/example/ (dies sei meine Seite)
/var/www/piwik/
/var/www/piwik/.htaccess2 (die datei hat in wirklichkeit keine 2 hinten dran, ist hier nur zur besseren unterscheidung)

inhalt .htaccess1:


Options +FollowSymlinks
<IfModule mod_rewrite.c>
  RewriteEngine On

  RewriteCond %{HTTP_Host} ^www\.example\.de$ [NC]
  RewriteRule ^(.*)$ http://example.de/$1 [R=301,L]

  RewriteRule ^piwik/([^/]*)$ /piwik/$1 [L]

  RewriteRule ^test/([^/]*)$ /example/index.php?mode=test&testvar=$1 [L]
  RewriteRule ^([^/]*)$ /example/index.php?mode=$1 [L]
</IfModule>

inhalt .htaccess2:


# .htaccess-Datei piwik
AuthType Basic
AuthName "privat"
AuthUserFile /usr/piwik/.htuser
Require user exampleUser

Die .htaccess Abfrage wird auf jeder meiner Seiten angezeigt - nicht nur unter /var/www/piwik/.

Ah… gerade habe ich folgenden Satz hiergefunden:

If you use HTTP Authentication (Basic or Digest) on your Piwik files, you should exclude piwik.php and piwik.js from this authentication, or visitors on your website would be prompted with the authentication popup.
Warum ist das so?

Füge ich in die .htaccess2 nun folgendes ein


<Files "*">
    Require valid-user
</Files>

<Files ~ "^piwik\.(js|php)$">
    Allow from all
    Satisfy any
</Files>

geht es. Nur aus Interesse jetzt, mein “Problem” ist damit ja wohl gelöst…

Vielen Dank schon einmal für eure Aufmerksamkeit/Antworten und ein riesen Lob an alle, die an Piwik teilhaben!


(Jens) #2

Hallo!

Naja, wenn Du das komplette Verzeichnis /www/piwik per .htaccess schützt (in dem sich ja auch die durch das Tracking aufgerufenen Dateien piwik.php und piwik.js befinden), dann muss jeder, der dieses Verzeichnis oder eine Datei darin aufruft, sich auch authentifizieren.

Das ist gemeint mit “visitors on your website would be prompted with the authentication popup.”

Durch die Ausnahme dieser beiden Dateien bemerkt der getrackte Besucher nichts davon.


#3

Wie müßte das richtig geschrieben werden?
Ich denke so! Ergänzungen sind willkommen!

AuthUserFile "/ordner/der/passwd"
AuthName "members only area"
AuthType Basic

<Files “*”>
Require valid-user

<Files “piwik.js, piwik.php”>
Allow from all
Satisfy any

Options -Indexes


#4

Hallo

ist dieses Anleitung nun richtig?

Ich bin hier nicht versiert und bin mit meinem Recherchen so weit, dass ich glaube, es muss nun noch der user:pw string mit in die htacess, oder?


AuthType Basic
AuthName "mitarbeiter-only"
AuthUserFile /usr/www/users/echtk/shop/analytics/.htpasswd
<Files "*">
Require valid-user
</Files>
<Files "piwik.js, piwik.php">
Allow from all
Satisfy any
</Files>
Options -Indexes
cs:$apr1$l2HzLUUIo$cUJtHMW0TyVVkuHhccUtv.

Der String ist ein Beispiel…

Die Seite rufe ich dann immer wie folg auf: www.echtk.de/user:password@analytics/(piwik2)

SO meine Denke, aber klappt natürlich nicht.
Wo liegt der Fehler - wie geht es richtig? Danke.