为安全配置Matomo

Matomo (Piwik)团队全力确保Matomo源代码是安全的。我们通过:

• 积极有益的科学家寻找bug
• 进行外部专业的安全审查和支持
• 进行代码评审提交

然而,这些安全措施限制Matomo软件。一旦你下载并安装Matomo,更多的因素发挥作用。

技巧,这些技巧将帮助你保持你的Matomo安全

有一些东西,你可以很容易地改变你的日常生活,使你的数据更加安全。本页将具体解释如何强化Matomo安装。这将确保任何人进入,很难修改或简单地读取的数据服务器上。请检查安装Matomo和处理web服务器的人读过以下指南和花了一些时间实现这些更改的部分或全部。

这里有一些建议让你Matomo服务器更安全的和分析数据更加安全:

• 安装在一个单独的MySQL Matomo(或MariaDB)数据库
  通过这样做你是确保如果黑客获得访问您的CMS数据库,他们将无法访问Matomo,反之亦然。

• 让您的数据库更安全。
  运行MySQL安全安装工具改善默认安全设置:

  mysql_secure_installation

  我们建议所有安全问题的回答是的为了保护MySQL服务器,实现最佳实践。这也适用于MariaDB。

• 使用一个新的MySQL Matomo数据库用户名和密码
  如果使用相同的用户和密码无处不在,你方便黑客访问您的数据。
  确保用户名和密码是独一无二的每个数据库,确保SQL注入只会影响一个产品。
• 检查您的数据库服务器不从网络访问。
  为了优化安全,数据库服务器不应该从互联网上可用的。只有Matomo web (app)服务器应该能够连接到数据库服务器。
• 总是使用Matomo在https://
  敏感信息在Matomo包括登录、密码和token_auth API(用于身份验证)。这些信息是来自Matomo经常包含在响应服务器,并可能被任何人看到交通。公共或未加密无线网络很容易监视。解决方案是相对简单的:如果你真的关心你的安全,要确保没有人可以访问您的密码或API的令牌,确保你总是连接Matomo https://
• 打开自动SSL重定向在你Matomo:看到常见问题解答。
• 完整的MySQL数据库和你配置/ config.ini.php文件
  备份MySQL数据库和测试使其恢复确保备份工作。
  还配置文件是文件拥有Matomo安装的状态,包括MySQL密码,所以一定要备份和安全处理,喜欢你的数据库。
• 使用最新的PHP, MySQL(或MariaDB), web服务器(Apache / Nginx)、操作系统(Linux / Windows)
  经常发布的这些性能和安全更新受欢迎的Matomo所需的工具。
  我们强烈建议你只使用自由软件,例如Linux + Apache / Nginx和使用最新的版本。
• 如果你使用Nginx网络服务器
  我们建议使用Matomo Nginx配置确保访问您的临时Matomo文件(matomo / tmp和配置/文件夹)被阻塞。
• 订阅Matomo changelog &保持Matomo最新的
  当安全问题报告,我们试图尽快修复它们和发布一个新版本。
  我们强烈建议您订阅更新日志并保持Matomo最新的(你有试过一键式自动升级吗?)
• 购买和下载活动日志插件
  关注正在发生的一切在你Matomo平台的活动日志插件,也被称为审计日志或审计跟踪。Matomo超级用户可以快速回顾您的组织的成员或客户执行的操作,同时也让每一个用户评论自己的行动的细节。保险费Matomo插件是由制造商和建议对所有企业特别是当使用Matomo不止一个人。
• 使用两因素身份验证
  我们强烈推荐你使用双因素身份验证您的账户安全。
  你可以激活两因素身份验证通过“管理= >个人设置”。这个设置时,一定要备份你的恢复密码加密的密码管理器(理想情况下)如果你失去你的移动设备或如果你不能访问它了。具有超级用户访问权限的用户才可以迫使每个用户启用了两因素身份验证。在这种情况下,您可能会被迫设置双重认证,您将无法禁用了。
• 做尽可能少的文件和目录可写你的网络服务器。
  Matomo效果最好,我们推荐给你的网络服务器写访问这些文件和目录在你Matomo根目录:配置/ config.ini.php,misc /用户目录,matomo.js,piwik.js和tmp目录中。只有tmp目录是绝对必需的。几个功能可能不工作如果你只有tmp目录可写的。一旦文件权限有限,你无法通过UI使用一键更新了。也不可能从市场上安装任何插件通过UI。因此,我们建议你配置设置enable_auto_update = 0在(通用)你的节配置/ config.ini.php文件。然后您可以代替手动更新Matomo和手动安装插件。
• 如果你Matomo代理后面然后你可能想要配置读过去的IP,而不是首先从代理IP头看你的FAQ安装Matomo背后的一个代理。

专业的最佳实践列表Matomo管理员

这是我们的最佳实践的专业Matomo管理员:

• 总是使用强,复杂,新密码
  为你所有的Matomo用户使用安全密码,所有用户和超级用户访问,和你Matomo MySQL数据库,基本方法来提高您的安全。
  使用强密码发生器如果你不能想出一个自己。
• 在一个加密的密码管理器中存储的密码
  使用例如KeyPass你可以管理你的密码在你的电脑,甚至网上安全地备份或同步加密文件。
• 使用SSH(或sFTP)而不是FTP
  这些天,很容易监听wi - fi网络和交通嗅嗅。确保你所有的连接Matomo服务器加密,没有人能看到你登录或密码。
  如果你必须使用FTP,不要将密码存储在您的FTP软件(这将是容易的猎物恶意软件已经运行在许多Windows电脑)。
• 保持你自己的电脑更新
  始终保持你自己的电脑,包括Flash插件,您的浏览器(s)和操作系统。在Windows电脑,总是使用病毒检测程序最小化恶意软件的风险。不要使用阅读器:过去有太多的严重的安全漏洞。相反,使用苏门答腊PDF为例。
• 改变Matomo尊重用户的隐私设置
  看看我们的指南在Matomo中启用隐私保护功能和更多地了解你的网站访客的数据的数据隐私。

其他技巧

• 使用web服务器特性限制一些文件,并通过IP地址限制
  如果你使用一个Apache web服务器,它很容易使用. htaccess文件限制Matomo你的IP地址,或者更多的选择。检查例子在htaccess论坛帖子。
  限制访问文件时,请注意,您需要让外部访问以下文件:

  • matomo.php,matomo.js,piwik.php,piwik.js,
  • 和网址index . php ?模块= CoreAdminHome&action =撤出和文件插件/ CoreAdminHome / javascript / optOut.js和favicon.ico以确保退出iframe将没有密码提示工作。
  • 和js / container_ * . js文件标签管理器提供容器文件
  • 和插件/ HeatmapSessionRecording / configs.php如果你使用的热图或会话录音

• 限制超级用户可以做什么。在情况你可能不是100%信任Matomo超级用户,你可以限制超级用户做高风险的行为。

• 使Matomo绿色安全插件和修改所有安全问题
  在Matomo中,单击admin链接市场然后安装SecurityInfo插件这将自动测试Matomo服务器安全性和报告安全建议的列表。
  例如,它测试来确保PHP和Matomo版本是最新的,display_errors, magic_quotes_gpc被禁用,和许多其他测试。

  

  我们强烈建议所有Matomo管理员启用SecurityInfo插件,然后查看安全管理>菜单。您可以更新服务器和PHP配置建议和尝试物品在绿色。
  特别是,检查你禁用php设置“display_errors”,而是记录错误日志文件中所有的错误。

• 最后一个(可选)安全提示:使用火狐对于所有你的网页浏览。
  最好的免费软件的浏览器!
  如果你有任何反馈或添加到这个列表中,请让我们知道在piwik.org的安全。

• 如果您的服务器没有接入互联网或你想禁用所有功能需要网络连接,检查我们的常见问题解答我如何在服务器上配置Matomo没有互联网吗?

检查页面:Matomo安全计划。

幸福和安全分析!

PS:别忘了保持Matomo最新的:)