Suche
  • kre8tiv - benjamin jopen
  • Politik. Kampagnen. Kommunikation.
Suche Menü

Piwik: Aktuelles Update nicht kompatibel mit WP-Piwik

Wie ich ja bereits desöfteres geschrieben habe, nutze ich die freie Analysesoftware Piwik. Die läuft auf dem eigenen Server und die Daten werden nicht an Dritte weitergegeben. Für manche Kunden oder für Menschen die sensibel mit dem Datenschutz ihrer Besucher umgehen, ist das essentiell.

Gestern erschien nun die Version 1.1 von Piwik – mit einem „critical security fix“ – das sofortige Update wurde empfohlen. Gesagt, getan. Doch das Update ist nicht kompatibel mit dem wunderbaren WordPress Plugin WP-Piwik von André Bräkling. Der Embed-Code wird nicht richtig eingefügt, da der HTML-Code in Entities umgewandelt wird. Folge: Ein Tracking der Besucherdaten findet nicht mehr statt und die Website wird am Ende von unschickem HTML-Gewusel verziert (Beitrag im Piwik-Forum dazu).

Heute erschien dann auch direkt Update auf Version 1.1.1, das zwar andere Fehler behebt – aber nicht diesen. Da ich Piwik für viele (Kunden-) Seiten einsetze, habe ich das Für und Wieder abgewogen und mich trotz der Sicherheitsbedenken für ein Downgrade auf Version 1.0.0 entschieden.

Downgrade von Piwik

  1. Die alten Versionen von Piwik findet ihr in der Developer Zone von Piwik: Hier ist die Version 1.0.0, bzw. direkt der Link zur Zip-Datei.
  2. Backupt eure bisherige Installation!
  3. Mit Ausnahme des Ordners „config“ alle Dateien hochladen.
  4. Das Backend von Piwik besuchen, eventuell müsst ihr im Ordner „tmp/assets“ noch ein paar alte Dateien löschen.

Ich rate allerdings zur erhöhten Vorsicht und ein aufmerksames Auge in den nächsten Tage auf ein weiteres Update von Piwik oder WP-Piwik.

2 Kommentare Schreibe einen Kommentar

  1. Hallo Ben!

    Mittlerweile ist die Version 0.8.3 im Plugin-Verzeichnis von WordPress verfügbar. Im Gegensatz zu früheren Piwik-Versionen werden die Entities von der 1.1-API kodiert geliefert, was ich jetzt natürlich erstmal abfangen musste.

    Vermutlich wurden für diesen Sicherheitsfix (vernünftigerweise) einfach alle (API-)Ausgaben kodiert, um Injections zu vermeiden… dumm nur, das in einem Fall tatsächlich und bewusst JS ausgeliefert werden soll ;)

    Antworten

    • Hallo André,
      vielen Dank für deine schnelle Reaktion und für dein nach wie vor fantastisches Plugin :-)

      Antworten

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.