DE EN
Sicherheit · Hardening · 12 Punkte

Joomla Sicherheit – Checkliste 2026

Stand: 07.05.2026 · Lesezeit ~12 Min

Warum diese Checkliste

Über 80 % aller gehackten Joomla-Sites werden nicht über den Joomla-Core kompromittiert, sondern über veraltete Komponenten, schwache Admin-Passwörter und falsch konfigurierte .htaccess-Dateien. Diese Checkliste fasst die 12 wichtigsten Maßnahmen für Joomla 4 und Joomla 5 zusammen.

1. Joomla aktuell halten

Sicherheits-Updates innerhalb von 24 Stunden einspielen. Joomla veröffentlicht Security Advisories über die offizielle Security Centre-Seite. Nutze ein Multi-Site-Tool wie UpdateKing, wenn du mehr als 3 Sites betreust – manuelles Tracking skaliert nicht.

2. Erweiterungen reduzieren und prüfen

Jede installierte Komponente ist eine potenzielle Sicherheitslücke. Räume auf:

  • Alle nicht genutzten Komponenten, Module und Plugins komplett deinstallieren (nicht nur deaktivieren)
  • Erweiterungen nur aus dem offiziellen Joomla Extension Directory oder direkt vom Hersteller
  • Bei jedem Update prüfen, ob die Komponente noch aktiv gewartet wird (letzter Release < 6 Monate)

3. Super-User-Zugang absichern

  • Niemals Standard-Username "admin" oder "administrator" verwenden
  • Passwort: mindestens 20 Zeichen, generiert mit Passwort-Manager (Bitwarden, 1Password)
  • Pro Person ein eigener Super-User-Account, kein gemeinsamer Login
  • Inaktive Admin-Accounts sofort entfernen, nicht nur sperren

4. Zwei-Faktor-Authentifizierung (2FA) erzwingen

Joomla 4+ bringt 2FA von Haus aus mit. Aktivieren unter: System → Multi-Faktor-Authentifizierung. Empfehlung: TOTP (Google Authenticator, Authy, Bitwarden Authenticator) statt SMS – SIM-Swapping ist real. UpdateKing erzwingt 2FA für alle Accounts standardmäßig.

5. Backend-URL verschleiern

Standardmäßig erreicht jeder das Joomla-Backend unter /administrator. Mit Erweiterungen wie Akeeba Admin Tools oder serverseitiger .htaccess-Regel lässt sich der Pfad umbenennen oder per IP-Whitelist beschränken. Reduziert Brute-Force-Angriffe um 90 % – bietet aber keinen echten Schutz, sondern nur Lärmreduktion.

6. .htaccess härten

Joomla bringt eine htaccess.txt mit – diese muss zu .htaccess umbenannt werden. Zusätzlich aktivieren:

  • Block bekannter Bad-Bots (z. B. SemrushBot, AhrefsBot wenn nicht erwünscht)
  • Block direkter PHP-Aufrufe in /images/, /templates/, /media/
  • HSTS-Header für HTTPS-Erzwingung: Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
  • X-Frame-Options: DENY gegen Clickjacking

7. Datenbank-Präfix ändern

Standard ist jos_ oder j25_. Bei einer Neuinstallation ein zufälliges Präfix (z. B. k4n_) wählen. Erschwert SQL-Injection-Angriffe deutlich, weil generische Exploit-Skripte die Tabellennamen nicht direkt treffen.

8. Datei- und Ordnerrechte

Standard auf produktiven Servern:

  • Ordner: 755 (rwxr-xr-x)
  • Dateien: 644 (rw-r--r--)
  • configuration.php: 444 oder 400 (read-only)

Niemals 777 dauerhaft setzen, auch nicht für Upload-Verzeichnisse. Bei Hosting-Problemen: Ownership prüfen statt Rechte aufweichen.

9. SSL/TLS und Mixed Content

Joomla → System → Konfiguration → Server → "SSL erzwingen" auf Komplette Site. Anschließend mit SSL Labs prüfen – Ziel: Note A oder A+. TLS 1.0 und 1.1 deaktivieren, nur TLS 1.2+ zulassen.

10. Backup-Strategie 3-2-1

3 Kopien, 2 unterschiedliche Medien, 1 Off-Site. Konkret für Joomla:

  • Tägliches Akeeba-Backup auf den Webserver
  • Wöchentliches Backup auf einen externen S3-Bucket oder Backblaze
  • Monatliches Cold-Backup auf eine getrennte externe Festplatte

Wichtig: Restore mindestens einmal pro Quartal testen. Ein nicht getestetes Backup ist kein Backup.

11. Monitoring & Alerts

  • Uptime-Check alle 60 Sekunden (UptimeRobot, Better Stack, oder UpdateKing-integriert)
  • File-Integrity-Monitoring – z. B. mit Akeeba Admin Tools Hash-Datenbank
  • Login-Alerts bei jedem Super-User-Login per Mail
  • 404-Spike-Detection – plötzliche Vervielfachung deutet auf Scan-Angriffe hin

12. Notfallplan dokumentieren

Wenn eine Site doch kompromittiert wird, zählt jede Minute. Dokumentiere vorher:

  • Wer hat Zugang zu welchem Hosting-Account?
  • Wo liegt das letzte saubere Backup?
  • Welche Reihenfolge: Site offline → Passwörter rotieren → Forensik → Restore
  • Wer ist Datenschutz-Beauftragter (DSGVO-Meldepflicht innerhalb 72 Stunden!)

Zusammenfassung

Sicherheit ist kein Projekt, sondern ein laufender Prozess. Wer mehrere Joomla-Sites betreut, schafft das nicht ohne Tooling. UpdateKing automatisiert genau die Wartungsteile aus dieser Checkliste, die manuell am meisten Zeit fressen: Update-Status, Logs, Reports, 2FA, Monitoring.

Kostenlos starten: Die ersten 3 Joomla-Sites sind im Free-Plan dauerhaft kostenlos. Kein Trial, keine Kreditkarte. Account erstellen →

Weiterführend: Joomla Update Anleitung 2026 · Joomla Wartung mehrerer Seiten · UpdateKing vs. BackupMonkey