Liomans Blog - Piwik

Sicherheitsleck bei Piwik

Lioman — Tue, 27 Nov 2012 11:54:00 +0100

Nachdem ich die Software hier schonhäufiger empfohlen habe muss ich heute leider eine schlechte Nachricht verkünden. Die Version 1.9.2 wurde mit ein paar Zeilen Schadcode versehen.

Laut seeseekey muss die Infektion nach 15:18 am 26. November 2012 passiert sein, denn da hat er das Update eingespielt und diese Installation ist noch nicht betroffen. Auch die Meinige ist verschont geblieben, allerdings hatte ich diese Aktualisierung auch schon lange eingespielt gehabt.

Genaue Informationen zu der Attacke gibt es im PIWIK Forum. Auf jeden Fall sollte man die eigene Installation schnellstmöglich überprüfen.

Befindet sich eine Zeile mit

eval(gzuncompress(base64_decode

in der Datei piwik/core/Loader.php hat man leider die modifizierte Version installiert. Sollte das so sein, muss man auf jeden Fall die Dateien piwik/core/DataTable/Filter/Megre.php und /lic.log löschen, denn diese wurden vom Angreifer generiert.

Am Besten löscht man aber gleich alle Dateien und installiert alles neu. Dazu kann man die die neuste latest.zip nehmen, denn diese soll sauber sein. Da aber noch nicht klar ist wie der Code eingeschleust wurde (und ob das wieder geschen kann) ist es sicherer die Dateien direkt von githubherunterzuladen, denn das Repository war nie kompromitiert.

Ich habe mich entschlossen diesen Artikel im UbuntuusersPlaneten erscheinen zu lassen, auch wenn er Ubuntufern ist. Die Software ist unter Bloggern doch recht beliebt und diese Backdoor kann man leider nicht mehr harmlos nennen.

Update: Artikel leicht modifiziert

Piwik 1.9 - Statistiken grafisch aufbereitet

Lioman — Tue, 23 Oct 2012 09:48:00 +0200

Die Open-Source Webanalysesoftware Piwik ist in der neuen Version 1.9 erschienen und hat tolle neue Funktionen mit an Bord.

Da alle Statistikplugins für Wordpress die Datenbank aufblasen und externe Dienste meist aus Datenschutzgründen nicht in Frage kommen, setze ich schon seit einiger Zeit auf eine selbstgehostete Lösung. Zuerst war es noch Pagelogger, aber seit Piwik auf dem Markt ist habe ich umgestellt und es bisher nicht bereut. Piwik ist leistungsstark, anpassbar, datenschutzkonform und featurereich, hinkte aber GoogleAnalytics hinterher, da es bisher versucht hat Kernfunktionen des Platzhirsches nachzubilden. Inzwischen haben die Entwickler wohl Zeit gefunden auch wirklich Neues zu entwerfen. Neben kleinerer Verbesserungen und Integrieren von Pluginfunktionen in den Core wartet 1.9 mit einer Funktion auf, die wirklich nützlich ist.

Wenn man seine Statistiken anschaut, sind natürlich erstmal die absoluten Kennzahlen (Wieviele kommen/ kamen wann auf welche Seite) und deren Entwicklung wichtig. Das kann aber inzwischen jedes kleine Statistikskript und eigentlich würden dazu sogar Serverlogs reichen. Oft viel interessannter und wichtiger sind Antworten auf die Frage: Woher kamen Besucher und wohin gehen sie? Für ein privates Blog ist das nur spannend für komerzielle Seiten (vor allen Dingen Internetshops) ist diese Analyse geradezu essentiell. Natürlich konnte Piwik solche Daten auch schon in der Vergangenheit anzeigen und auch andere Tools zeigen Referrer, Ein- und Ausstiegseiten oder gar die Verweildauer an. Sich aber durch alle möglichen ´Tabellen und Tools zu klicken ist nicht nur aufwändig, sondern auch unübersichtlich. Hier setzt nun Transitions an und bereitet die schon vorhandenen Statistiken grafisch auf.

Transitions aktiviert man einfach unter “Einstellungen >> Plugins”. Bei mir hat es dann ein bisschen gedauert, bis ich mir die ersten Grafiken anschauen konnte. Woran das lag weiß ich nicht. Auf jeden Fall erscheint nun ein neuer Link hinter jedem Seitentitel (z.B unter Aktionen >> Seitentitel), wenn man mit der Maus darüberfährt.

Die sich öffnende Grafik zeigt dann schön übersichtlich woher (mit welchen Suchbegriffen) Seitenbesucher kommen und wohin sie danach gehen. Mit diesen Daten kann man dann weiter arbeiten und seine Seite optimieren, um die Verweildauer zu erhöhen. Oder man kann es einfach interessant finden und sich an den schicken Grafiken erfreuen.

Dieses Bild zeigt Transitions zum Artikel Hallo OSBN.de an. In Piwik ist diese Grafik interaktiv.[/caption]

Das Update lohnt sich also dieses Mal wirklich, denn es gibt nicht nur kleinere Bugfixes sondern mal ein echtes neues Feature. Allen Bloggern, die Piwik nutzen wollen empfehle ich übrigens das Plugin WP-Piwik

Mit Piwik Kampagnen tracken

Lioman — Fri, 11 Feb 2011 18:00:00 +0100

Ich nutze hier im Blog als Statistiktool, die freie Alternative zu Google Analytics, Piwik. Piwik beherrscht alles, was ein Statistikprogramm können muss dazu werden immer schöne Grafiken präsentiert und die Exportfunktionen sind auch umfassend.

Wenn man wissen möchte woher die Leser kommen kann man natürlich den Referrer auslesen für eine genaue Analyse ist jedoch das erstellen von Kampagnen sinnvoller.

Piwik unterstützt das von Hause aus möchte man den Namen des URL-Teilstrings ändern muss man in der Datei config.ini.php im Ordner config folgende Zeilen hinzufügen:

[Tracker] campaign_var_name = utm_source campaign_keyword_var_name = utm_campaign

So werden alle GA- Kampagnen getrackt - man kann jedoch jeden beliebigen Namen eingeben wobei campaign_var_name den eigentlichen Kampagnennamen bestimmt während campaign_keyword_var_name ein Stichwort hinzufügt. Nun muss man nur noch an alle Links das Stichwort anhängen.

Beispiel: Alle Links die an Facebook gehen bekommen ?utm_source=facebook angehängt klickt jemand darauf erkennt Piwik die Kampagne und fügt sie hinzu, falls sie noch nicht existiert.

Die Ausgabe präsentiert dann allerlei Daten und Grafiken:

Piwik Login geht nicht

Lioman — Thu, 09 Dec 2010 16:05:00 +0100

Letztens kam ich nicht mehr auf meine Piwikinstallation. Nach Eingabe des Passworts kam nur folgende Nachricht in einem roten Kasten:

Fehler: Der Sicherheitsschlüssel des Formulars ist ungültig oder abgelaufen. Bitte aktualisieren Sie das Formular und überprüfen Sie, dass Cookies aktiviert sind.

Oder bei einer englischen Installation wäre es :

Form security key is invalid or has expired. Please reload the form and check that your cookies are enabled.

Ich konnte mir das nicht erklären, da bisher alles wunderbar klappte und die Daten auch über andere Kanäle abrufbar waren. Nach einer Weile habe ich des Rätsels Lösung gefunden: Das Piwikfrontend braucht anscheinend den Referrer und die kürzlich hier Vorgestellte Erweiterung RefControl verhinderte das natürlich. Erstellt man für die Piwikinstanz eine Regel, die den Referrer sendet, funktioniert alles wieder normal.

Blogstatistik wieder umgestellt

Lioman — Tue, 30 Nov 2010 17:40:00 +0100

Ich hatte vor einiger Zeit berichtet, dass ich pagelogger als Statistiktool einsetze und wie man die Boterkennung verbessert. Nun habe ich das System wieder gewechselt und mich für die freie GoogleAnalytics-Alternative Piwik entschieden. pagelogger war etwas dürftig in der Ausstattung und wird nicht aktiv weiterentwickelt (zumindest tut sich nix). Bei Piwik habe ich zudem die Möglichkeit leicht alle Ips zu anonymisieren. Ich speichere also keine Personenbezogene Daten - außer wenn ein Kommentar veröffentlicht wird. Die Daten werden aber nicht weitergegeben.

Statistiktool: PageLogger

Lioman — Sun, 15 Nov 2009 13:40:00 +0100

*Tja gerade habe ich noch Piwik angepriesen und nun ist es schon wieder aus. Meine jetzige Alternative heißt PageLogger.*

Piwik sah in der Demo eigentlich ganz gut aus und auch das Pluginsystem hielt ich für viel versprechend. Das Projekt hat sich zum Ziel gesetzt die Open-Source-Alternative zu Google Analytics zu werden. Leider geht Piwik dementsprechend mit den Ressourcen um. Man benötigt im Grunde einen eigenen Server mit 128 M. Denn mit weniger bekommt man das System ohne Plugins gerade so zum laufen. Will man sich aber genauere Statistikgraphen anzeigen lassen oder die interessanten Plugins einbauen bekommt man nur eine Fehlermeldungen.

Piwik ist wohl doch eher für mittelgroße bis große Seiten gedacht, die auch ein finanzielles Interesse an einer genauen Statistik haben. Für ein kleines privates Blog wie das Meinige braucht diese Websoftware einfach zu viel Ressourcen und kann deswegen nicht auf einem Freehost installiert werden

Ich möchte aber trotzdem ein paar Statistiken haben, ohne meine Wordpress-DB aufzublähen und ohne die Daten an Dritte weiterzuleiten.

Über Wikipedia bin ich auf pageLogger gestoßen. Die ehemals proprietäre Software steht inzwischen unter GPL und hat eigentlich alles was man so benötigt.

Die Installation ging leicht von der Hand und auch der Trackingcode ist leicht eingebaut. Außerdem kann man - im Gegensatz zu Piwik - auch Bots+Spider tracken, was mich persönlich immer sehr interessiert.

Die genaue Feature-Liste der Web Analytics Software findet sich hier

Mal wieder Statistik

lioman — Wed, 04 Nov 2009 12:53:00 +0100

Jeder möchte die Statistik seines Blogs im Auge behalten. Vor einiger Zeit habe ich hier Statistik-Plugins getestet und mein Sieger war ~~Cystats~~. Besonders gelungen fand ich die Boterkennung und ich habe sie auch noch um einige erweitert (Blogverzeichnisse und Suchmaschinen).

Wer möchte kann sich diese optimierte Version herunterladen: cystats_extended.tar.gz.

Doch wie alle anderen Statistik-Plugins geht der Betrieb eines solchen zu Lasten der Performance und der Datenbank. Zur Zeit möchte ich aber genau das optimieren. Ich möchte nicht, dass man ewig auf meine Artikel warten muss wenn man sie aufruft.

Wenn man sich zu einer externen Lösung entscheidet, gibt es das Nonplusultra und viele andere. Das Nonplusultra ist bisher einfach GoogleAnalytics (GA). Der Einsatz der Tracking-Software ist jedoch mehr als bedenklich, wie das Datenschutzzentrum feststellte. Das Problem dabei eine Menge an Daten werden an Google übertragen und man hat als Nutzer des keinen Einfluss mehr wie die Daten verwendet werden.

In einem ~~Artikel~~ bin ich auf verschiedene Alternativen gestoßen doch der Großteil kommt wieder nicht in Frage, da auch hier die Daten an externe Betreiber gehen. Das Dilemma kann ich also nur Umgehen, wenn ich auch die Statistiksoftware selbst hoste. Nur kann ich einen anderen Server und vor allen Dingen eine andere Datenbank nutzen und mein Blog wird davon nicht verlangsamt.

Nach langer Recherche kommt nun nur ein einziges Tool für mich in Frage:

Piwik ist noch in einem frühem Betastadium und deswegen sind die Funktionen noch ziemlich rudimentär. Doch die Applikation ist Open-Source, es gibt eine API, die Pluginprogrammierung möglich macht und eine schnell arbeitende Community. Die Entwickler habe sich das Ziel gesetzt, die führende Open-Source Alternative zu GA zu werden. Es könnte klappen und deswegen habe ich nun darauf umgestellt. Die Installation ist supersimpel (ca. 5 Minuten). Noch den Tracking-Code integrieren und fertig. Das Tool übernimmt den Rest. Und wie Piwik aussieht, kann man in einer Online-Demo sehen.