Joomla-beveiliging — bescherm je website tegen bedreigingen

De meeste Joomla-beveiligingslekken zijn te voorkomen. Ze ontstaan niet door geavanceerde aanvallen op de Joomla-core, maar door verouderde installaties, ongepatchte extensies, zwakke beheerderswachtwoorden en hostingomgevingen die niet goed zijn geconfigureerd. Deze gids behandelt de beveiligingsmaatregelen die er écht toe doen om je Joomla-website te beschermen.

Het grootste risico: draaien op een Joomla-versie die end-of-life is

Geen enkele vorm van security hardening compenseert het draaien van een niet-ondersteunde Joomla-versie. Draait je website op Joomla 3 (end-of-life sinds augustus 2023) of Joomla 4 (end-of-life sinds oktober 2025), dan is upgraden naar een ondersteunde versie verreweg de belangrijkste beveiligingsmaatregel die je kunt nemen.

Niet-ondersteunde Joomla-versies krijgen geen securitypatches meer. Zodra een kwetsbaarheid wordt ontdekt en verholpen in Joomla 5 of 6, blijft diezelfde kwetsbaarheid in Joomla 3 en 4 permanent openstaan. De details van de kwetsbaarheid worden gepubliceerd in het Joomla Security Centre, wat aanvallers in feite een routekaart geeft om oudere installaties te misbruiken.

Bekijk alle upgradepaden →

Extensies: je grootste aanvalsoppervlak

Het merendeel van de Joomla-beveiligingslekken is afkomstig van extensies van derden, niet van de Joomla-core. Dat komt doordat de codekwaliteit van extensies enorm uiteenloopt, doordat verlaten extensies nooit nog securitypatches krijgen en doordat een doorsnee Joomla-site al snel 15 tot 50 extensies heeft geïnstalleerd — elk een potentiële toegangspoort.

Best practices voor extensiebeveiliging

  • Verwijder wat je niet gebruikt. Elke geïnstalleerde extensie vergroot het aanvalsoppervlak. Wordt een extensie wel geïnstalleerd maar niet actief gebruikt, verwijder deze dan volledig — uitschakelen volstaat niet, want de code blijft op de server staan en kan nog steeds toegankelijk zijn.
  • Werk snel bij. Brengt een extensie een update uit, installeer die dan — zeker als de changelog beveiligingsfixes vermeldt. Test eerst in een stagingomgeving en zet daarna live.
  • Let op verlaten extensies. Is een extensie al meer dan 12 maanden niet bijgewerkt, beschouw deze dan als verlaten en plan een vervanging. Een verlaten extensie krijgt nooit meer een securitypatch.
  • Raadpleeg de Vulnerable Extensions List. De Joomla Extensions Directory houdt een lijst bij van extensies met bekende kwetsbaarheden. Controleer je geïnstalleerde extensies tegen deze lijst.
  • Kies kwaliteit boven kwantiteit. Gebruik zo min mogelijk extensies. Controleer vóór het installeren van een nieuwe extensie of de functionaliteit niet al in de Joomla-core zit of in een extensie die je al hebt.

Voor aanbevelingen rond extensies, zie onze Joomla-extensiesgids.

Beheerderstoegang afschermen

Sterke inloggegevens

Gebruik geen "admin" als je beheerdersgebruikersnaam. Gebruik geen simpele wachtwoorden. Zet een wachtwoordmanager in om voor elk Joomla-beheerdersaccount een uniek, complex wachtwoord te genereren. Dit is basishygiëne op het gebied van beveiliging, maar het blijft de meest voorkomende zwakke plek die we tijdens site-audits tegenkomen.

Tweefactorauthenticatie (2FA)

Joomla 5 en 6 hebben ingebouwde tweefactorauthenticatie. Schakel deze in voor alle beheerdersaccounts. 2FA voegt een tweede verificatiestap toe — meestal een tijdgebonden code uit een authenticator-app — die ongeautoriseerde toegang voorkomt, zelfs als het wachtwoord gecompromitteerd is. Er is geen goede reden om dit niet te gebruiken.

Beperk beheerderstoegang

Niet elke backendgebruiker heeft Super Administrator-rechten nodig. Met het gebruikersgroepensysteem van Joomla maak je rollen met specifieke, beperkte rechten aan. Contentredacteuren horen rechten te hebben om content te bewerken, niet om de systeemconfiguratie aan te passen. Het principe van minimale rechten geldt voor CMS-toegang net zo goed als voor elk ander systeem.

Bescherming van de administrator-map

Een extra beschermingslaag op je /administrator-map — via wachtwoordbeveiliging op serverniveau (.htpasswd), IP-restrictie of een geheime URL-parameter — maakt het voor geautomatiseerde tools een stuk lastiger om je loginpagina te vinden en aan te vallen. Dit vervangt sterke inloggegevens en 2FA niet, maar het vermindert wel het aantal brute-force-pogingen dat je site moet verwerken.

Server- en hostingbeveiliging

PHP-versie

Draai de nieuwste ondersteunde PHP-versie (PHP 8.2 of 8.3 voor Joomla 5/6). Oudere PHP-versies krijgen geen securitypatches meer. Joomla draaien op een niet-ondersteunde PHP-versie tenietdoet veel van de beveiligingsverbeteringen in het CMS zelf.

Bestandsrechten

Correcte bestandsrechten voorkomen ongeautoriseerde wijziging van je Joomla-bestanden. Als vuistregel: mappen op 755, bestanden op 644 en het bestand configuration.php op 444 (alleen-lezen). Je hostingomgeving kan iets afwijkende instellingen vereisen — raadpleeg bij twijfel je hostingprovider.

SSL/TLS (HTTPS)

Je hele website moet via HTTPS worden uitgeleverd. Dat beschermt de gegevens die tussen bezoekers en je server worden verzonden — waaronder inloggegevens, formulierinzendingen en sessiecookies. Er is in 2026 geen legitieme reden om een Joomla-website nog via HTTP aan te bieden. Gratis SSL-certificaten zijn beschikbaar via Let's Encrypt en de meeste hostingproviders.

Web Application Firewall (WAF)

Een web application firewall filtert kwaadaardige verzoeken voordat ze je Joomla-installatie bereiken. WAF's op serverniveau (ModSecurity, LiteSpeed WAF) of cloudgebaseerde WAF's (Cloudflare, Sucuri) bieden bescherming tegen veelvoorkomende aanvallen, waaronder SQL-injectie, cross-site scripting en pogingen tot file inclusion.

Regelmatige back-ups

Back-ups zijn je laatste verdedigingslinie. Treedt er ondanks alle preventieve maatregelen toch een beveiligingsincident op, dan kun je met een schone, geteste back-up je site terugzetten naar de staat van vóór de compromittering. Geautomatiseerde dagelijkse back-ups die buiten de server worden bewaard, gecombineerd met regelmatige hersteltests, zijn onmisbaar. Akeeba Backup is hiervoor de standaardtool.

Beveiligingsconfiguratie van de Joomla-core

Houd Joomla up-to-date

Installeer Joomla-core-updates snel zodra ze worden uitgebracht. Test eerst in een stagingomgeving en zet daarna live. Joomla 5.4 en 6 ondersteunen automatische updates van minor-versies — schakel deze functie in als je vertrouwen hebt in de compatibiliteit van je extensies, of werk samen met een onderhoudspartner om updates beheerst uit te voeren.

Beveiligingsinstellingen in de Globale configuratie

De Globale configuratie van Joomla bevat enkele beveiligingsrelevante instellingen. Forceer HTTPS hoort ingeschakeld te zijn. De sessielevensduur moet op een redelijke waarde staan (15-30 minuten voor beheerderssessies). Foutrapportage hoort op productiesites op "Geen" of "Systeemstandaard" te staan (nooit op "Maximaal" — dat onthult serverpaden en configuratiedetails aan potentiële aanvallers).

Gebruikersregistratie

Heeft je website geen openbare gebruikersregistratie nodig, schakel die dan uit. Open registratie is een veelgebruikte route voor spamaccounts en kan in slecht geconfigureerde installaties worden misbruikt voor privilege escalation. Heb je openbare registratie wel nodig, voeg dan CAPTCHA toe en stel e-mailverificatie verplicht.

Wat te doen als je site gehackt is

Vermoed je dat je Joomla-website is gecompromitteerd:

  1. Raak niet in paniek, maar handel snel. Hoe langer een compromittering voortduurt, hoe meer schade die aanricht — aan je gegevens, je bezoekers en je reputatie.
  2. Haal de site offline. Plaats een onderhoudspagina zodat bezoekers niet worden blootgesteld aan kwaadaardige content.
  3. Zet niet zomaar een back-up terug. De kwetsbaarheid die de compromittering mogelijk maakte, bestaat nog steeds. Terugzetten zonder de oorzaak aan te pakken betekent dat de aanvaller simpelweg via diezelfde zwakke plek opnieuw binnenkomt.
  4. Achterhaal de toegangspoort. Bepaal hoe de aanvaller binnen is gekomen — was het een ongepatchte extensie, een zwak wachtwoord, een kwetsbaarheid in bestandsuploads of een probleem op serverniveau?
  5. Ruim de compromittering op. Verwijder alle kwaadaardige bestanden, backdoor-scripts en geïnjecteerde code. Controleer de database op geïnjecteerde content. Bekijk de gebruikersaccounts op ongeautoriseerde beheerders.
  6. Verhelp de kwetsbaarheid. Werk de component bij die is misbruikt, wijzig alle wachtwoorden en pas de preventieve maatregelen uit deze gids toe.
  7. Herstel en controleer. Breng de site weer online en houd nauwlettend in de gaten of er tekenen zijn van een nieuwe compromittering.
  8. Overweeg professionele hulp. Een gehackte website grondig opschonen vereist expertise. Eén gemist backdoor-script betekent dat de aanvaller toegang houdt, ook al denk je dat de site schoon is.

Beveiliging is een doorlopend proces

Beveiliging is geen eenmalige configuratie. Bedreigingen evolueren, er worden voortdurend nieuwe kwetsbaarheden ontdekt en het extensielandschap verandert constant. Gestructureerd, doorlopend onderhoud — regelmatige updates, monitoring en periodieke beveiligingsreviews — is de meest betrouwbare manier om een Joomla-website op de lange termijn veilig te houden.

Onze onderhoudsplannen omvatten beveiligingsmonitoring, updatebeheer en back-upverificatie als kerndiensten. Onze managed hosting biedt beveiliging op serverniveau, waaronder firewalls, DDoS-bescherming en proactieve monitoring.

Vraag een beveiligingsbeoordeling aan

Onze gratis site-audit omvat een beveiligingsbeoordeling — we controleren je Joomla-versie, je PHP-versie, de kwetsbaarheidsstatus van je extensies, je SSL-configuratie en veelvoorkomende misconfiguraties. Je ontvangt een helder rapport dat laat zien waar je site staat en wat aandacht nodig heeft.

Vraag je gratis beveiligingsbeoordeling aan →

Misschien ook interessant voor jou