Joomla Sicherheit: So schützen Sie Ihre Website vor Angriffen

Die meisten Sicherheitsvorfälle bei Joomla lassen sich vermeiden. Sie entstehen nicht durch ausgefeilte Angriffe auf den Joomla-Kern, sondern durch veraltete Installationen, ungepatchte Erweiterungen, schwache Administrator-Zugangsdaten und Hosting-Umgebungen, die nicht sauber konfiguriert wurden. Dieser Leitfaden zeigt die Sicherheitsmaßnahmen, die für den Schutz Ihrer Joomla-Website wirklich zählen.

Das größte Risiko: eine Joomla-Version am Ende ihres Lebenszyklus

Keine noch so gründliche Härtung gleicht den Betrieb einer nicht mehr unterstützten Joomla-Version aus. Wenn Ihre Website unter Joomla 3 (End of Life im August 2023) oder Joomla 4 (End of Life im Oktober 2025) läuft, ist das Upgrade auf eine unterstützte Version die wichtigste Sicherheitsmaßnahme überhaupt.

Nicht mehr unterstützte Joomla-Versionen erhalten keine Sicherheitspatches mehr. Wird eine Schwachstelle entdeckt und in Joomla 5 oder 6 geschlossen, bleibt dieselbe Lücke in Joomla 3 und 4 dauerhaft offen. Die Details der Schwachstelle werden im Joomla Security Centre veröffentlicht und liefern Angreifern damit praktisch eine Anleitung, um ältere Installationen auszunutzen.

Alle Upgrade-Pfade ansehen →

Erweiterungen: Ihre größte Angriffsfläche

Der überwiegende Teil der Joomla-Sicherheitsvorfälle geht von Erweiterungen Dritter aus, nicht vom Joomla-Kern. Das liegt daran, dass die Code-Qualität von Erweiterungen enorm schwankt, aufgegebene Erweiterungen nie wieder Sicherheitspatches erhalten und eine typische Joomla-Website 15 bis 50 installierte Erweiterungen mitbringt – jede davon ein möglicher Einfallstor.

Best Practices für die Sicherheit von Erweiterungen

  • Entfernen, was Sie nicht nutzen. Jede installierte Erweiterung vergrößert die Angriffsfläche. Ist eine Erweiterung installiert, wird aber nicht aktiv genutzt, deinstallieren Sie sie vollständig – Deaktivieren genügt nicht, denn der Code verbleibt auf dem Server und kann weiterhin erreichbar sein.
  • Zeitnah aktualisieren. Sobald für eine Erweiterung ein Update erscheint, spielen Sie es ein – besonders, wenn das Changelog Sicherheitskorrekturen nennt. Erst im Staging testen, dann ausrollen.
  • Auf Aufgabe achten. Wurde eine Erweiterung seit über 12 Monaten nicht mehr aktualisiert, betrachten Sie sie als aufgegeben und planen einen Ersatz. Eine aufgegebene Erweiterung erhält nie wieder einen Sicherheitspatch.
  • Die Liste verwundbarer Erweiterungen prüfen. Das Joomla Extensions Directory führt eine Liste von Erweiterungen mit bekannten Schwachstellen. Gleichen Sie Ihre installierten Erweiterungen mit dieser Liste ab.
  • Qualität vor Quantität. Setzen Sie so wenige Erweiterungen wie möglich ein. Prüfen Sie vor der Installation einer neuen Erweiterung, ob die Funktion nicht bereits im Joomla-Kern oder in einer bereits vorhandenen Erweiterung steckt.

Empfehlungen zu Erweiterungen finden Sie in unserem Leitfaden zu Joomla-Erweiterungen.

Administrator-Zugang absichern

Starke Zugangsdaten

Verwenden Sie nicht "admin" als Administrator-Benutzernamen. Verwenden Sie keine einfachen Passwörter. Nutzen Sie einen Passwort-Manager, um für jedes Joomla-Administratorkonto ein eindeutiges, komplexes Passwort zu erzeugen. Das ist grundlegende Sicherheitshygiene – und bleibt dennoch die mit Abstand häufigste Schwachstelle, die uns bei Website-Audits begegnet.

Zwei-Faktor-Authentifizierung (2FA)

Joomla 5 und 6 bringen eine integrierte Zwei-Faktor-Authentifizierung mit. Aktivieren Sie sie für alle Administratorkonten. 2FA fügt einen zweiten Prüfschritt hinzu – in der Regel einen zeitbasierten Code aus einer Authenticator-App – und verhindert unbefugten Zugriff selbst dann, wenn das Passwort kompromittiert wurde. Es gibt keinen guten Grund, darauf zu verzichten.

Administrator-Zugriff begrenzen

Nicht jeder Backend-Benutzer braucht Super-Administrator-Rechte. Das Benutzergruppensystem von Joomla erlaubt es Ihnen, Rollen mit gezielt eingeschränkten Berechtigungen anzulegen. Redakteure sollten Rechte zum Bearbeiten von Inhalten haben, nicht aber Zugriff auf die Systemkonfiguration. Das Prinzip der minimalen Rechtevergabe gilt für den CMS-Zugang genauso wie für jedes andere System.

Schutz des Administrator-Verzeichnisses

Eine zusätzliche Schutzebene für Ihr /administrator-Verzeichnis – per serverseitigem Passwortschutz (.htpasswd), IP-Beschränkung oder geheimem URL-Parameter – erschwert es automatisierten Tools erheblich, Ihre Login-Seite zu finden und anzugreifen. Das ersetzt weder starke Zugangsdaten noch 2FA, reduziert aber die Zahl der Brute-Force-Versuche, die Ihre Website abfangen muss.

Sicherheit von Server und Hosting

PHP-Version

Setzen Sie die jeweils aktuelle, unterstützte PHP-Version ein (PHP 8.2 oder 8.3 für Joomla 5/6). Ältere PHP-Versionen erhalten keine Sicherheitspatches mehr. Joomla auf einer nicht mehr unterstützten PHP-Version zu betreiben, hebt viele der Sicherheitsverbesserungen des CMS selbst wieder auf.

Dateiberechtigungen

Korrekte Dateiberechtigungen verhindern, dass Ihre Joomla-Dateien unbefugt verändert werden. Als Faustregel gilt: Verzeichnisse auf 755, Dateien auf 644 und die Datei configuration.php auf 444 (schreibgeschützt). Ihre Hosting-Umgebung kann leicht abweichende Einstellungen verlangen – fragen Sie im Zweifel bei Ihrem Hosting-Anbieter nach.

SSL/TLS (HTTPS)

Ihre gesamte Website muss über HTTPS ausgeliefert werden. Das schützt die zwischen Besuchern und Ihrem Server übertragenen Daten – darunter Login-Daten, Formulareingaben und Session-Cookies. Es gibt 2026 keinen legitimen Grund, eine Joomla-Website über HTTP auszuliefern. Kostenlose SSL-Zertifikate erhalten Sie über Let's Encrypt und bei den meisten Hosting-Anbietern.

Web Application Firewall (WAF)

Eine Web Application Firewall filtert bösartige Anfragen, bevor sie Ihre Joomla-Installation erreichen. Serverseitige WAFs (ModSecurity, LiteSpeed WAF) oder cloudbasierte WAFs (Cloudflare, Sucuri) schützen vor verbreiteten Angriffen wie SQL-Injection, Cross-Site-Scripting und Versuchen der Dateieinbindung.

Regelmäßige Backups

Backups sind Ihre letzte Verteidigungslinie. Kommt es trotz aller vorbeugenden Maßnahmen zu einem Sicherheitsvorfall, können Sie Ihre Website mit einem sauberen, getesteten Backup auf den Stand vor der Kompromittierung zurücksetzen. Automatische tägliche Backups, außerhalb des Servers gespeichert und regelmäßig auf Wiederherstellbarkeit getestet, sind unverzichtbar. Akeeba Backup ist hierfür das Standardwerkzeug.

Sicherheitskonfiguration des Joomla-Kerns

Joomla aktuell halten

Spielen Sie Updates des Joomla-Kerns zeitnah ein, sobald sie veröffentlicht werden. Erst im Staging testen, dann in die Produktivumgebung ausrollen. Joomla 5.4 und 6 unterstützen automatische Updates auf neue Minor-Versionen – aktivieren Sie diese Funktion, wenn Sie der Kompatibilität Ihrer Erweiterungen vertrauen, oder lassen Sie die Updates von einem Wartungsdienstleister kontrolliert verwalten.

Sicherheitsrelevante Einstellungen in der Globalen Konfiguration

Die Globale Konfiguration von Joomla enthält mehrere sicherheitsrelevante Einstellungen. "HTTPS erzwingen" sollte aktiviert sein. Die Sitzungsdauer sollte auf einen sinnvollen Wert gesetzt sein (15 bis 30 Minuten für Administrator-Sitzungen). Die Fehlerberichterstattung sollte auf Produktivsystemen auf "Keine" oder "Standardeinstellung" stehen (niemals auf "Maximal" – das gibt Serverpfade und Konfigurationsdetails an potenzielle Angreifer preis).

Benutzerregistrierung

Benötigt Ihre Website keine öffentliche Benutzerregistrierung, deaktivieren Sie sie. Eine offene Registrierung ist ein häufiges Einfallstor für Spam-Konten und kann in schlecht konfigurierten Installationen zur Rechteausweitung missbraucht werden. Brauchen Sie eine öffentliche Registrierung, setzen Sie ein CAPTCHA ein und verlangen Sie eine E-Mail-Bestätigung.

Was tun, wenn Ihre Website gehackt wurde

Wenn Sie vermuten, dass Ihre Joomla-Website kompromittiert wurde:

  1. Keine Panik, aber schnell handeln. Je länger eine Kompromittierung andauert, desto größer der Schaden – für Ihre Daten, Ihre Besucher und Ihren Ruf.
  2. Website offline nehmen. Schalten Sie eine Wartungsseite, damit Besucher nicht mit schädlichen Inhalten in Berührung kommen.
  3. Nicht einfach aus dem Backup wiederherstellen. Die Schwachstelle, die die Kompromittierung ermöglicht hat, besteht weiter. Eine Wiederherstellung ohne Behebung der Ursache bedeutet, dass der Angreifer durch dieselbe Lücke erneut eindringen kann.
  4. Einfallstor identifizieren. Klären Sie, wie der Angreifer Zugriff erlangt hat – war es eine ungepatchte Erweiterung, ein schwaches Passwort, eine Schwachstelle beim Datei-Upload oder ein Problem auf Serverebene?
  5. Kompromittierung bereinigen. Entfernen Sie alle schädlichen Dateien, Backdoor-Skripte und eingeschleusten Code. Prüfen Sie die Datenbank auf eingeschleuste Inhalte. Kontrollieren Sie die Benutzerkonten auf unbefugte Administratoren.
  6. Schwachstelle schließen. Aktualisieren Sie die ausgenutzte Komponente, ändern Sie alle Passwörter und setzen Sie die in diesem Leitfaden beschriebenen Schutzmaßnahmen um.
  7. Wiederherstellen und prüfen. Nehmen Sie die Website wieder online und beobachten Sie sie genau auf Anzeichen einer erneuten Kompromittierung.
  8. Professionelle Hilfe in Betracht ziehen. Eine gehackte Website gründlich zu bereinigen, erfordert Erfahrung. Ein übersehenes Backdoor-Skript bedeutet, dass der Angreifer weiterhin Zugriff hat, obwohl Sie die Website für sauber halten.

Sicherheit ist ein fortlaufender Prozess

Sicherheit ist keine einmalige Konfiguration. Bedrohungen entwickeln sich weiter, neue Schwachstellen werden entdeckt und die Erweiterungslandschaft verändert sich ständig. Eine strukturierte, fortlaufende Wartung – regelmäßige Updates, Monitoring und wiederkehrende Sicherheitsprüfungen – ist der zuverlässigste Weg, eine Joomla-Website dauerhaft sicher zu halten.

Unsere Wartungspakete umfassen Sicherheits-Monitoring, Update-Management und die Überprüfung von Backups als Kernleistungen. Unser Managed Hosting bietet Sicherheit auf Serverebene, darunter Firewalls, DDoS-Schutz und proaktives Monitoring.

Sicherheitscheck anfordern

Unser kostenloses Website-Audit umfasst einen Sicherheitscheck – wir prüfen Ihre Joomla-Version, Ihre PHP-Version, den Schwachstellenstatus Ihrer Erweiterungen, Ihre SSL-Konfiguration und gängige Fehlkonfigurationen. Sie erhalten einen klaren Bericht, der zeigt, wo Ihre Website steht und wo Handlungsbedarf besteht.

Kostenlosen Sicherheitscheck anfordern →

Das könnte Sie ebenfalls interessieren