Wie kann Matomo sicher und korrekt hinter einem Reverse Proxy betrieben werden?
- Einführung in Matomo und Reverse Proxy
- Probleme beim Betrieb von Matomo hinter einem Reverse Proxy
- Konfiguration von Matomo hinter einem Reverse Proxy
- Besondere Hinweise zur Sicherheit und Performance
- Fazit
Einführung in Matomo und Reverse Proxy
Matomo ist eine weitverbreitete Open-Source-Webanalyseplattform, die es ermöglicht, Besucherströme auf Websites detailliert zu erfassen und auszuwerten. Wenn Matomo in einer Umgebung betrieben wird, in der ein Reverse Proxy vorgeschaltet ist, ergeben sich einige technische Herausforderungen. Ein Reverse Proxy ist ein Server, der Anfragen von Clients entgegennimmt und diese an einen oder mehrere Backend-Server weiterleitet. Dabei kann der Reverse Proxy die Anfragen modifizieren, beispielsweise durch Änderung der Header oder des Protokolls (HTTP/HTTPS).
Probleme beim Betrieb von Matomo hinter einem Reverse Proxy
Wenn Matomo hinter einem Reverse Proxy betrieben wird, können standardmäßig Probleme mit der Erkennung der korrekten URL, der IP-Adressen der Besucher oder der Protokollinformationen entstehen. Da Matomo intern häufig auf eigenständige URL- und IP-Informationen zugreift, ist es wichtig, dass diese Daten vom Reverse Proxy korrekt weitergeleitet und durch Matomo erkannt werden. Andernfalls können falsch interpretierte Besucherquellen, ungültige Sitzungen oder ungenaue Tracking-Informationen die Folge sein. Zudem spielt die korrekte Erkennung des Protokolls (HTTPS gegenüber HTTP), welches beim Proxy möglicherweise terminiert wird, eine große Rolle für die Sicherheit und Funktionalität.
Konfiguration von Matomo hinter einem Reverse Proxy
Um Matomo korrekt hinter einem Reverse Proxy zu betreiben, müssen einige Einstellungen sowohl auf Serverseite des Proxys als auch in der Matomo-Konfiguration vorgenommen werden. Der Reverse Proxy sollte die Original-Header, wie etwa X-Forwarded-For, X-Forwarded-Proto oder X-Forwarded-Host, an den Matomo-Backend-Server weitergeben, damit Matomo die korrekten Informationen über Client-IP, Protokoll und Hostnamen erhält.
In der config/config.ini.php von Matomo kann zudem die Option trusted_hosts ergänzt werden, um den Hostnamen des Reverse Proxys oder der zugelassenen Domains anzugeben. Des Weiteren kann bei Bedarf auch die Einstellung force_ssl = true gesetzt werden, falls der Reverse Proxy HTTPS-Verbindungen terminiert, Matomo aber intern nur HTTP verarbeitet.
Besondere Hinweise zur Sicherheit und Performance
Beim Betrieb hinter einem Reverse Proxy empfiehlt es sich, den Datenverkehr zwischen Proxy und Backend-Server im internen Netzwerk abzusichern, da der Proxy als Eintrittspunkt dient. Darüber hinaus sollte die Caching- und Komprimierungskonfiguration auf dem Proxy sorgfältig abgestimmt werden, um die Performance der Matomo-Installation nicht zu beeinträchtigen.
Auch die Zugriffslogs sollten korrekt die originalen IP-Adressen der Besucher erfassen, was wiederum vom Proxy richtig weitergeleitet und vom Backend verarbeitet werden muss. Dies ist insbesondere für datenschutzrechtliche Anforderungen, die Matomo erfüllt, von Bedeutung.
Fazit
Der Betrieb von Matomo hinter einem Reverse Proxy ist grundsätzlich problemlos möglich, solange die Weitergabe der relevanten Header sichergestellt und die Matomo-Konfiguration entsprechend angepasst wird. Nur so kann eine korrekte Erfassung der Besucherinformationen sowie eine einwandfreie Funktionsweise gewährleistet werden. Eine sorgfältige Abstimmung zwischen Proxy-Server und Matomo ist zwingend notwendig, um Fehler und Tracking-Datenverlust zu vermeiden.