技術情報

セキュリティのための Matomo(Piwik) 設定方法

2014年11月26日 機能説明

※注 この記事は Piwik1.8~2.17のアーカイブ情報です

目次
1. Matomo(Piwik) を安全に維持するヒント
2. Matomo(Piwik) プロフェッショナル管理者のためのベストプラクティス一覧

Matomo(Piwik) チームは、Matomo(Piwik) ソースコードを確実に安全なものにするため、最前を尽くしています。そのため、私たちは以下のことを行っています:

・バグの発見した研究者への積極的な報酬プログラム
・外部のプロフェッショナルセキュリティレビューの実施およびサポート
・コミットでのコードレビューの実施
しかしながら、これらのセキュリティステップは、Matomo(Piwik) ソフトウェアに限定されています。Matomo(Piwik) をダウンロードしてインストールしたら、より多くの安全上のリスク要因が訪れる可能性があります。そこで以下を必ずご確認ください。

Matomo(Piwik) の安全を維持するヒント

データをより安全なものにするために、
いくつかのルーティーン作業を見直しましょう。

このページでは、Matomo(Piwik) のインストールをより強くする方法を具体的に説明します。これにより、誰かがあなたのサーバーデータを無断で修正したり、読んだりすることが容易にできないようにします。 Matomo(Piwik) のインストールや、ウェブサーバーの処理の担当者は、必ず以下のガイドを確認し、これらの一部または全てを実行してください。

以下は、Matomo(Piwik) サーバーと分析データをより安全にするためのいくつかのヒントです:

・独立の MySQL データベースに Matomo(Piwik) をインストールする
これを実行することにより、ハッカーがあなたの CMS データベースへのアクセスを取得したかどうかを確認することができるようになります。またハッカーは Matomo(Piwik) にアクセスできなくなります。その逆も同様です。

・Matomo(Piwik) データベース専用の新しい MySQL ユーザーとパスワードを使用する
どこでも同じユーザー名とパスワードを使用していると、ハッカーがあなたのデータにアクセスしやすくなります。
SQL インジェクションが特定の対象に対してのみ有効に働くように、各データベースに対してユーザー名とパスワードが、独自のものになっているかどうかを確認してください。

・Matomo(Piwik) を毎回 https:// 経由で使用する
Matomo(Piwik) において取扱いに気を付けるべき重要な情報は、ログイン名、パスワード、token_auth(API 認証に使用される)です。この情報は、Matomo(Piwik) サーバーからのレスポンスに定期的に含まれ、トラフィックを見ている人なら誰でも見ることができます。公共または暗号化されていない Wifi ネットワークは、スパイが侵入しやすいので注意が必要です。ただし、解決策は比較的シンプルです。もし、本当にセキュリティに関する不安を強くお持ちなら、他の人があなたのパスワードや API トークンにアクセスできないようにするために、必ず毎回 https:// 経由で Matomo(Piwik) に接続してください。

・Matomo(Piwik) で自動 SSL リダイレクションを起動するFAQ をご確認ください。

・いくつかのファイルのみにアクセスを制限するには、.htaccess を使用し、IP アドレスによって制限をかけてください。
Apache ウェブサーバーをご利用の場合、 .htaccess ファイルを利用すれば、比較的簡単に Matomo(Piwik) へのアクセスを、あなたの IP アドレスに制限することができます。または他にも様々なオプションがあります。Htaccess フォーラム投稿事例をご確認ください。
例えば、すべてのファイルへのアクセスを、あなたの IP のみに制限したり、piwik.php と piwik.js(この 2 ファイルのみトラッキングに必要です。) への外部アクセスのみ許可することができます。

・Matomo(Piwik) config/config.ini.php と全ての MySQL データベースのバックアップをとる
Config ファイルと MySQL をバックアップし、確実に完了させるために、バックアップからそれを復元し、試して確認してください。
コンフィグファイルは、 Matomo(Piwik) インストールのステータス(MySQL データベースパスワードを含む)を保持するファイルです。したがって、安全に処理を行ってください。

・最新の PHP 、MySQL 、ウェブサーバー(Apache / Ngix )、OS(Linux)を使用する
パフォーマンスおよびセキュリティのアップデートは、主にこれらの Matomo(Piwik) に必要かつ一般的なツールによりリリースされます。
たとえば、Linux+Apache/Ngix などの無償ソフトウェアの、最新バージョンをお使いいただくことを強くお勧めします。
セキュリティの安全性を高めるために、定期的に OS でファイヤーウォールを有効にしたり、 Apache で .htaccess を使用するなど、それぞれのソフトウェアの構成を見直すようにして下さい。

・Matomo(Piwik) のログ変更を定期的に確認し、Matomo(Piwik) を常に最新の状態に保つ
セキュリティ問題の報告があった場合、 Matomo(Piwik) チームはできるだけ早くそれらの修正および新バージョンのリリースに努めます。ログ変更を定期的に確認し、 Matomo(Piwik) を最新の状態(ワンクリック自動アップデートはすでに試されましたか?)に維持することを強くおすすめします。

・Matomo(Piwik) セキュリティプラグインの有効化と全セキュリティ問題のグリーン表示への修正
Matomo(Piwik) の管理リンク・マーケットプレイスをクリックし、セキュリティ・インフォプラグインをインストールしてください。これは、自動的に Matomo(Piwik) サーバーの安全性をテストし、セキュリティの推奨項目リストを報告します。
たとえば、PHP と Matomo(Piwik) のバージョンが最新かどうか、display_errors , magic_quotes_gpc が無効になっているかなど、そのほかにも多くのテストを行います。

全ての Matomo(Piwik) 管理者が SecurityInfo プラグインを有効にし、設定 > セキュリティメニューを確認することを強くおすすめします。また、サーバーと PHP 構成を推奨にしたがって更新し、すべてのアイテムを安全性が確認できるグリーン表示となるように努めてください。

特に、php 設定で ‘display_errors’ が無効になっていることを確認し、その代わりに、エラーログファイルで全てのエラーを記録してください。

プロフェッショナル Matomo(Piwik) 管理者のためのベストプラクティス一覧

ここでは、プロフェッショナル管理者のための、私たちのベストプラクティス(成功事例)を紹介します

・常に強く、複雑な新しいパスワードを使用
全ての Matomo(Piwik) ユーザーおよび、スーパーユーザアクセスと Matomo(Piwik) MySQL データベースを持つ全ユーザーにとって、安全性を高める基本的な方法は、安全なパスワードを使用することです。
適切なパスワードがご自身で思いつかない場合は、ストロング・パスワード・ジェネレータを使用してください。

・FTP より SSH(または sFTP ) を使用
最近、wi-fi ネットワークとスニフ・トラフィックをよく耳にしますが、Matomo(Piwik) サーバーへの全ての接続が、暗号化されていること、また他人がログイン名やパスワードを見ることができないように設定されていることを確認してください。
もし FTP を使用しなければならない場合、ftp ソフトウェア内にパスワードを保存しないでください。
そのマルウェア(パスワードを盗み出す悪意のあるソフトウェア )は、多くの Windows コンピュータで実行されていますが、ハッカーの格好の餌食となります。

・お使いのパソコンを常に最新に保つ
Flash プラグインや、ブラウザ、 OS を含むお使いのコンピュータを常に最新に維持してください。
Windows コンピュータで、マルウェアのリスクを最小化するために、常にウィルスチェッカーを使用してください。また Acrobat Reader は使用しないでください。それは、過去にあまりにも多くのひどいセキュリティホールを持っていました。その代わりに、 Sumatra PDF を使用してください。

・Matomo(Piwik) の設定を、ユーザープライバシーを尊重する設定に変更する
Matomo(Piwik) でプライバシー機能を有効にするには、私たちのガイドを確認し、サイトビジターデータに対するデータ・プライバシーについて学びましょう。

・最後のセキュリティヒント:全てのウェブブラウジングで Firefox を使用
最もよい無償ソフトウェアブラウザです。
もしこのリストへのフィードバックや追加事項をお持ちの場合、piwik.org のセキュリティで、お知らせください。

こちらのページもご確認ください。Matomo(Piwik) セキュリティプログラム品質保証

ハッピーで安全な解析を!

追伸 )ご利用中の Matomo(Piwik) を最新に保つのをお忘れなく!


※この記事はMatomo(Piwik)公式サイト2014年10月1日時点の内容です
※掲載内容が古くなっている場合もありますので最新情報はMatomo(Piwik)公式サイトをご覧ください。

オリジナルの記事はこちら
http://matomo.org/docs/how-to-secure-piwik/