セキュリティレポート：

2012年11月26日、Piwik.orgのウェブサーバに数時間、不正な接続が見つかりました。

セキュリティ上の重要なお知らせ：Piwik.orgのウェブサーバは2012年11月26日に攻撃者により侵害されました。そして数時間にわたりPiwik 1.9.2 Zipファイルに悪意のあるコードを埋め込んでいました。

私のPiwikは安全ですか？

UTC（協定世界時）で11月26日の15:43から23:59の間にPiwik 1.9.2をインストールしたか、または更新した場合にのみ危険にさらされた可能性があります。
1.9.2を使用していない、またはUTC（協定世界時）で11月26日の15:40以前か11月27日以後に1.9.2にアップデートしている場合は安全です。

私のPiwikが影響を受けているか二重チェックするには？

あなたのPiwikが影響を受けているかどうかを確認するには、ファイル piwik/core/Loader.php を開いて – クリーンなファイルはこのようになりますが、汚染されたLoader.phpはファイルの末尾に次のコードを含んでいます。

汚染されている場合はどのように修復するのですか？

あなたのPiwikが汚染されている場合、次の手順に従ってPiwikをクリーンインストールして下さい。

• piwik/config/config.ini.phpをバックアップします。
• piwik/ ディレクトリを削除します。
  悪意のあるスクリプトも同様に削除されていることを確認するために、ディレクトリとすべてのPiwikのファイルを削除することが重要です。
• piwik.orgから最新のPiwikをダウンロードします。
• 解凍し、サーバー上の piwik/ ディレクトリにアップロードします。
• /piwik/config/ にバックアップした config.ini.php を戻します。
• Piwikを開くと、従来通りダッシュボードが表示されるはずです。

これでPiwikのクリーンバージョンへの復元に成功しました。

もしサーバ上の同じパスで実行されている他のウェブソフトウェアがある場合、安全のためそれらのソフトをバックアップからリストアすることをお勧めします。

不正なプログラムはどのようにpiwik.orgを侵害したのですか？

不正なプログラムは、我々が使っていたWordPressのプラグインのセキュリティ上の問題を利用し、piwik.orgサーバーへの部分的なアクセスを獲得しました。

Piwik自体のセキュリティバグはありますか？

Piwik.orgのウェブサイトはWordPressで運営されており、WordPressのプラグインのセキュリティ問題のため、侵害されてしまいました。私たちの知る限りでは、Piwik自体は、悪用可能なセキュリティ上の問題を持っていません。私たちには、Piwikのセキュリティ上の問題を発見し、それらを開示してくれる研究者に報酬を与えるセキュリティバグ報奨金プログラムがあります。あなたのPiwikのデータをより安全にし、あなたのサーバを保護する方法はここにドキュメントとしてあります。

機密データは流出しましたか？

Piwikは、自己ホスト型、オープンソースのソフトウェアです。 Piwik.orgはどんなPiwikのユーザーからも任意のWeb解析データを追跡することはありません。私たちは任意の追跡をしていないので、いかなる個人的なデータも機密データも漏洩していません。

さらなる問題を防ぐためにしていること

私たちはシステム管理者と協力して、まだこの問題に取組んでいます。この種の問題がより発生しにくくするためのいくつかのアイデアを出しあっています。これらの新しいメカニズムが整備されたらフォローアップに掲載します。

要約

迅速に（電子メールやフォーラムで）この問題を報告してくれたPiwikのユーザーに感謝したいと思います。2時間の間に5件以上の報告を受けました。これはPiwikのコミュニティが非常に警戒し、あらゆる問題に対処する準備ができていることを示しています。

ご迷惑をおかけして本当に申し訳ありません。私たちはPiwikを（そしてPiwik.orgを）将来にわたって安全に保つため全力を尽くします。

さらに多くの情報が必要な場合はsecurity@piwik.orgまでお問い合わせください。