Joomla absichern: Leitfaden zur Sicherheitshärtung gegen die häufigsten Angriffe

Die meisten kompromittierten Joomla-Websites wären vermeidbar gewesen. Angreifer nutzen bekannte Schwachstellen aus: Standard-Benutzernamen für das Administrator-Konto, fehlende Zwei-Faktor-Authentifizierung, nicht aktualisierte Erweiterungen und falsch konfigurierte Server. Dieser Leitfaden behandelt die Sicherheitsmaßnahmen, auf die es wirklich ankommt.

Den vollständigen Sicherheitsleitfaden mit den Risiken am Ende des Lebenszyklus (End of Life), zur Sicherheit von Erweiterungen und zur Wiederherstellung nach einem Hack finden Sie in unserem Joomla-Sicherheits-Hub.

Die fünf wichtigsten Maßnahmen für sofort

1. Alles aktualisieren. Den Joomla-Kern. Jede Erweiterung. Die PHP-Version. Wenn Ihre Joomla-Version das Ende ihres Lebenszyklus erreicht hat, sollten Sie ein Upgrade durchführen — kein noch so gründliches Härten rettet ein CMS ohne Support.

2. Zwei-Faktor-Authentifizierung aktivieren. Joomla 5 und 6 bringen 2FA bereits von Haus aus mit. Aktivieren Sie sie für jedes Administrator-Konto. Diese eine Maßnahme verhindert die Mehrzahl der Brute-Force- und Credential-Stuffing-Angriffe.

3. Den Standard-Benutzernamen des Administrators ändern. Wenn Ihr Super-Administrator-Konto noch "admin" heißt, ändern Sie das noch heute. Automatisierte Angriffstools haben es gezielt auf genau diesen Benutzernamen abgesehen.

4. Nicht genutzte Erweiterungen entfernen. Jede installierte Erweiterung vergrößert die Angriffsfläche. Was nicht aktiv im Einsatz ist, deinstallieren Sie vollständig — nicht bloß deaktivieren, sondern restlos entfernen.

5. Prüfen, ob Ihre Backups funktionieren. Automatische Backups sind unverzichtbar. Aber wann haben Sie zuletzt eine Wiederherstellung getestet? Ein ungetestetes Backup ist eine Hoffnung, kein Sicherheitsnetz.

Härtung auf Serverebene

HTTPS überall. SSL/TLS für alle Seiten, erzwungen über die .htaccess oder die Serverkonfiguration. Ohne Ausnahme.

Dateirechte. Verzeichnisse: 755. Dateien: 644. configuration.php: 444. Diese Einstellungen verhindern unbefugte Änderungen an Dateien.

Schutz des Administrator-Verzeichnisses. Versehen Sie Ihr Verzeichnis /administrator mit einem Passwortschutz auf Serverebene, mit IP-Beschränkungen oder einem geheimen URL-Parameter. Das senkt die Zahl der Brute-Force-Versuche drastisch.

Web Application Firewall. ModSecurity, die LiteSpeed WAF oder eine cloudbasierte WAF wie Cloudflare schützen bereits auf Serverebene vor SQL-Injection, XSS und File-Inclusion-Angriffen.

Fehlerberichte abschalten. Stellen Sie die Fehlerberichterstattung von Joomla auf Produktivsystemen auf "Keine" oder "Standardeinstellung des Systems". "Maximum" gibt Serverpfade und Konfigurationsdetails preis, die Angreifern in die Hände spielen.

Sicherheit als Daueraufgabe

Sicherheit ist keine einmalige Konfiguration. Sie erfordert kontinuierliche Überwachung, Updates und Aufmerksamkeit. Unsere Wartungspakete umfassen Sicherheitsüberwachung, Update-Management und die Verifizierung der Backups.