Joomla Firewall: Welche WAF deine Seite wirklich schützt

Joomla Firewall klingt nach einem einzelnen Produkt, das man einschaltet und dann ist Ruhe. In Wirklichkeit ist es ein Zusammenspiel mehrerer Schichten, und die wenigsten Seiten brauchen alles davon. Dieser Beitrag räumt mit dem Begriff auf: Was eine Firewall bei Joomla überhaupt blockt, wo eine echte Web Application Firewall ansetzt und welche der gängigen Lösungen - HTProtect, Akeeba Admin Tools und RSFirewall - sich für welche Seite lohnt. Ehrlich, ohne Marketing-Geraune.

Stand: 20. Juni 2026

Inhalt

Was eine Firewall bei Joomla wirklich macht

Eine Firewall im Web ist kein Virenscanner und kein Allheilmittel. Sie sitzt vor deiner Seite und prüft jede Anfrage, bevor Joomla sie zu Gesicht bekommt. Sieht eine Anfrage nach einem bekannten Angriff aus - der Versuch, über ein Formular Schadcode einzuschleusen, eine Datei dorthin hochzuladen, wo keine hingehört, oder eine Adresse aufzurufen, die typisch für einen Exploit ist - wird sie abgewiesen, bevor dein CMS auch nur arbeitet. Der Fachbegriff dafür ist Web Application Firewall, kurz WAF.

Der Unterschied zu einem Malware-Scanner ist wichtig: Ein Scanner sucht nach Schaden, der schon da ist. Eine Firewall versucht, ihn gar nicht erst hereinzulassen. Beides ergänzt sich, aber es ist nicht dasselbe. Wenn deine Seite bereits gehackt ist, hilft dir keine Firewall mehr beim Aufräumen - dann brauchst du eine Bereinigung. Eine Firewall ist Vorsorge, keine Reparatur.

Die drei Ebenen, auf denen geblockt wird

Der Begriff Joomla Firewall ist auch deshalb irreführend, weil Schutz auf mehreren Ebenen passiert. Jede sieht unterschiedlich viel und sitzt unterschiedlich nah an Joomla. Wer das einmal verstanden hat, trifft bei den Tools die richtige Wahl.

Vor dem Server: CDN und Netzwerk

Dienste wie Cloudflare oder Sucuri hängen sich vor deine Seite und filtern den Verkehr, bevor er deinen Server überhaupt erreicht. Ihre Stärke ist das Grobe: massenhafte Bot-Anfragen, DDoS-Wellen, ganze Länder oder IP-Bereiche aussperren. Sie kennen Joomla aber nicht von innen und wissen nicht, welcher Parameter in welchem Formular gefährlich ist. Für die meisten kleinen und mittleren Seiten ist Cloudflare in der kostenlosen Stufe eine sinnvolle erste Schicht, mehr aber auch nicht.

Auf dem Server: die .htaccess

Die .htaccess ist die Steuerdatei deines Webservers (bei Apache und LiteSpeed) und legt fest, welche Anfragen durchkommen. Hier lässt sich schon eine Menge abfangen, noch bevor PHP startet: die Ausführung von PHP in Upload-Ordnern unterbinden, sensible Dateien wie configuration.php oder .env sperren, getarnte Dateien wie bild.php.jpg blocken, bekannte Exploit-Muster abweisen. Das ist schnell, kostet praktisch keine Rechenzeit und greift, bevor Joomla geladen wird. Die Details dazu stehen im Praxis-Leitfaden Joomla absichern und speziell zur .htaccess im Beitrag .htaccess im Basisverzeichnis absichern.

In Joomla: die echte WAF

Erst auf dieser Ebene kennt der Schutz den Kontext. Eine Joomla-Erweiterung läuft als System-Plugin mit, sieht die Anfrage so, wie Joomla sie versteht, und kann auch in die mitgeschickten Formulardaten hineinschauen - den POST-Teil, der in der Adresszeile nie auftaucht. Genau dort verstecken sich viele Angriffe. SQL-Injection (das Einschmuggeln von Datenbankbefehlen), Cross-Site-Scripting (untergeschobenes JavaScript) oder das Einschleusen fremder Dateien filtert eine richtige WAF anhand des Inhalts, nicht nur anhand der Adresse. Dafür kostet sie ein kleines bisschen Rechenzeit pro Aufruf, weil sie bei jeder Anfrage mitläuft.

Die Faustregel: Je näher an Joomla, desto mehr versteht eine Schicht vom Angriff - und desto mehr Arbeit macht sie. Die Kunst ist die sinnvolle Kombination, nicht das Stapeln von fünf Tools übereinander.

Reicht eine Firewall allein? Ehrlich gesagt: nein

Eine Firewall ist großartig darin, Zeit zu kaufen. Wird eine Lücke in einer Erweiterung bekannt, starten die automatisierten Angriffe oft innerhalb von Stunden. Eine WAF mit aktuellen Mustern blockt diese Welle, auch wenn du das Update noch nicht eingespielt hast. Man nennt das virtuelles Patchen. Aber sie ersetzt das Update nicht.

Der mit Abstand wirksamste Schutz bei Joomla ist und bleibt, Core und Erweiterungen aktuell zu halten und konsequent zu deinstallieren, was du nicht brauchst. Wie das in der Praxis aussieht, steht ausführlich im Praxis-Leitfaden Joomla absichern. Sieh eine Firewall als das, was sie ist: ein zusätzlicher Riegel, der dich schützt, solange du noch nicht gepatcht hast - nicht als Erlaubnis, das Patchen zu vergessen.

Die Joomla-Firewalls im Vergleich

Für Joomla gibt es drei Lösungen, die in der Praxis wirklich zählen: eine kostenlose und zwei kommerzielle. Hier ist, was jede kann und für wen sie passt.

HTProtect Server-Schild - kostenlos, schlank, mit Mini-WAF

HTProtect ist unsere eigene kostenlose Joomla-Komponente. Der Schwerpunkt liegt auf der Server-Ebene: Sie erzeugt mit wenigen Klicks eine gehärtete .htaccess mit PHP-Schutz in allen kritischen Ordnern, gesperrten sensiblen Dateien, Sicherheits-Headern und erzwungenem HTTPS. Dazu härtet sie die Upload-Ordner so, dass dort hochgeladener Schadcode nicht läuft - und zwar selbst dann noch, wenn die Haupt-.htaccess gelöscht wird.

Darüber hinaus bringt HTProtect eine kleine Echtzeit-Firewall mit, die im Hintergrund mitläuft und Angriffe auch im POST-Teil stoppt - also genau auf der Applikations-Ebene, die eine reine .htaccess nicht erreicht. Diese Mini-WAF ist bewusst schlank gehalten und greift nur, wenn die automatische Überwachung eingeschaltet ist. Dazu kommen Wächter für die Schutz- und Einstiegsdateien, eine Warnung per E-Mail, sobald eine installierte Erweiterung als angreifbar bekannt wird, und ein Notfall-Modus, der die Seite nach einem Hack per Klick dichtmacht.

Ehrlich eingeordnet: HTProtect ersetzt keine vollumfängliche WAF-Suite mit Hunderten Feinregeln und Audit-Log. Es deckt das ab, was die meisten Seiten tatsächlich brauchen - eine wasserdichte .htaccess, geschützte Upload-Ordner, virtuelles Patchen gegen die bekannten Joomla-Lücken und eine Vorwarnung, bevor es brennt. Für viele kleine und mittlere Joomla-Seiten ist das genau die richtige Dosis, und sie kostet nichts. Läuft auf Joomla 2.5 bis 6, Apache, LiteSpeed und nginx, PHP 7.4 bis 8.5.

HTProtect Server-Schild kostenlos einsetzen

Die .htaccess-Härtung samt Mini-WAF, Upload-Schutz und Warnung bei verwundbaren Erweiterungen gibt es als kostenlose Joomla-Komponente für Joomla 2.5 bis 6. Ein Klick auf "Jetzt absichern" setzt alles, deine eigenen Regeln bleiben dabei erhalten.

→ HTProtect Server-Schild ansehen und herunterladen

Akeeba Admin Tools - die ausgereifte WAF-Suite

Admin Tools von Akeeba ist der Klassiker unter den Joomla-Sicherheits-Erweiterungen und für viele die erste Wahl, wenn es eine vollwertige WAF sein soll. Wichtig zu wissen: Die Firewall steckt ausschließlich in der kostenpflichtigen Professional-Version. Die kostenlose Core-Edition erledigt zwar nützliche Wartungsaufgaben - Dateirechte korrigieren, das Verzeichnis /administrator mit Passwort schützen, Datenbank-Wartung - hat aber keine WAF an Bord.

Die Professional-Version bietet eine sehr fein einstellbare Web Application Firewall, die typische Angriffe nach Inhalt blockt: SQL-Injection, XSS, das Einschleusen fremder Dateien (RFI/DFI), bösartige User-Agents sowie Spam-Bot- und CSRF-Schutz, dazu einen Upload-Scanner. Ergänzt wird das durch IP-Black- und -Whitelisting, geografische Sperren für ganze Länder, einen komfortablen Generator für .htaccess, nginx und web.config sowie einen PHP-Datei-Änderungs-Scanner, der dich warnt, wenn sich Dateien verändern. Die WAF läuft als System-Plugin und muss als erstes Plugin geladen werden, sonst greift sie nicht vollständig. Sitzt deine Seite hinter einem CDN, stell in der Joomla-Konfiguration "Hinter Load Balancer" auf Ja, damit die echten Besucher-IPs erkannt werden.

Für wen: Wer eine umfassende, granular konfigurierbare Suite mit Datei-Überwachung will und bereit ist, dafür ein Abo zu zahlen. Sehr ausgereift, sehr verbreitet, mit gutem Support aus Europa.

RSFirewall! - der spezialisierte Wächter von RSJoomla

RSFirewall von RSJoomla ist die zweite große kommerzielle Lösung und ganz auf Sicherheit zugeschnitten. Sie kombiniert eine aktive Schutzschicht mit zwei Scannern: einem System-Scanner, der auf Knopfdruck Dateirechte, Dateiänderungen und den Versionsstand von Joomla und RSFirewall prüft, und einer aktiven Überwachung, die laufend mitläuft. Dazu kommen ein Backend-Passwort vor dem Login, eine flexible Blockliste (einzelne IPs, Wildcards, CIDR-Notation, ganze Bereiche), ein eingebautes Protokoll sicherheitsrelevanter Ereignisse und eine E-Mail-Warnung, sobald ein gewisses Bedrohungsniveau erreicht ist. Auch ältere bekannte Joomla-Schwachstellen wie die Web-Services-API-Lücke vor Joomla 4.2.8 entschärft RSFirewall gezielt.

RSFirewall ist abobasiert. Praktisch dabei: Die Komponente funktioniert auch nach Ablauf des Abos weiter, du bekommst dann nur keine Updates, Downloads und keinen Support mehr für deine Domain. Kompatibel mit Joomla 3.9 und höher, also 4, 5 und 6, sowie PHP 8.2 und neuer.

Für wen: Wer eine dedizierte Security-Erweiterung mit starkem Scanner-Fokus und granularer IP-Kontrolle möchte und Wert auf das Rundum-sorglos-Paket eines spezialisierten Anbieters legt.

Was passt zu welcher Seite?

Die ehrliche Kurzfassung, nach Jahren mit gehackten und sauberen Joomla-Seiten auf dem Tisch:

• Kleine bis mittlere Seite, kein Budget für Security-Abos: Starte mit dem kostenlosen HTProtect Server-Schild für die .htaccess-Härtung und die Mini-WAF, setz bei Bedarf Cloudflare in der Gratis-Stufe davor, und halte vor allem deine Erweiterungen aktuell. Das fängt den Großteil der automatisierten Angriffe ab.
• Höherer Anspruch, Geschäftsseite, Feinsteuerung und Datei-Überwachung gewünscht: Nimm eine der beiden kommerziellen Suiten, Admin Tools Professional oder RSFirewall. Beide sind exzellent. Admin Tools punktet mit Reife und Verbreitung, RSFirewall mit seinem Scanner-Fokus. Welche es wird, ist am Ende Geschmackssache.
• Nicht zwei Voll-Suiten parallel betreiben. Admin Tools und RSFirewall bringen beide eigene .htaccess-Regeln und WAF-Logik mit, die sich überschneiden und sich gegenseitig ins Gehege kommen. Entscheide dich für eine. HTProtect dagegen lässt sich gut als schlanke Basis nutzen, wenn du keine der großen Suiten einsetzt.

Egal wofür du dich entscheidest: Keine dieser Firewalls ersetzt regelmäßige Updates und Backups. Sie machen den Unterschied zwischen "Angriff abgewehrt" und "Wochenende mit Schadensbegrenzung" - aber nur zusätzlich zur Pflege, nicht an ihrer Stelle.

Der Schutz, den jede Firewall ergänzen sollte

Ein paar Dinge gehören dazu, egal für welche Firewall du dich entscheidest:

• Backend zusätzlich abriegeln: Ein Passwortschutz direkt auf dem Verzeichnis /administrator stoppt Login-Angriffe schon an der Server-Tür, lange bevor Joomla startet. Wie das in zwei Minuten geht, zeigt der Beitrag Joomla Administrator Passwortschutz.
• Zwei-Faktor-Authentifizierung: Joomla bringt sie seit Version 4 von Haus aus mit. Selbst wenn ein Passwort durchsickert, kommt ohne den zweiten Faktor niemand rein.
• Login-Versuche drosseln: Nach mehreren Fehlversuchen die IP sperren. Admin Tools und RSFirewall bringen das mit, sonst gibt es schlanke Login-Schutz-Plugins.
• HTTPS erzwingen: Ein Zertifikat gibt es heute kostenlos bei jedem Hoster, in der Joomla-Konfiguration für die ganze Seite aktivieren.
• Backups, die woanders liegen: Eine Firewall hält Angreifer auf, ein Backup rettet dich, wenn doch einmal etwas durchkommt. Bewährt ist Akeeba Backup - wie das Wiederherstellen läuft, steht im Beitrag Akeeba Backup wiederherstellen.

Häufige Fragen

Was ist der Unterschied zwischen einer Firewall und einer WAF bei Joomla?
Umgangssprachlich meint bei Joomla beides dasselbe. Genauer ist eine WAF eine spezielle Firewall, die den Inhalt von Web-Anfragen versteht und gezielt Angriffe auf die Anwendung blockt - also genau das, was Erweiterungen wie Admin Tools, RSFirewall oder die Mini-WAF in HTProtect tun. Eine klassische Netzwerk-Firewall arbeitet dagegen auf Verbindungsebene und kennt den Inhalt der Anfrage nicht.

Brauche ich eine Joomla-Firewall, wenn ich schon Cloudflare nutze?
Beides ergänzt sich, das eine ersetzt das andere nicht. Cloudflare filtert grob vor dem Server, also Bots, DDoS und ganze Regionen, kennt Joomla aber nicht von innen. Eine WAF in Joomla sieht den Kontext und die Formulardaten und blockt gezielte Angriffe auf deine Erweiterungen. Cloudflare allein reicht für ernsthaften Schutz nicht.

Reicht eine kostenlose Joomla-Firewall?
Für viele kleine und mittlere Seiten ja. Der kostenlose HTProtect Server-Schild deckt die .htaccess-Härtung, den Schutz der Upload-Ordner, eine Mini-WAF gegen die bekannten Joomla-Angriffe und eine Warnung bei verwundbaren Erweiterungen ab. Wer Feinsteuerung, geografische Sperren oder Audit-Logging braucht, greift zu einer kommerziellen Suite.

Admin Tools oder RSFirewall - was ist besser?
Beide sind erstklassig, die Unterschiede sind eher graduell. Admin Tools ist extrem verbreitet, ausgereift und granular einstellbar. RSFirewall setzt einen starken Schwerpunkt auf Scanner und IP-Kontrolle. Schau dir die Dokumentation beider an und nimm die, deren Bedienung dir liegt. Nur nicht beide gleichzeitig.

Bremst eine WAF meine Joomla-Seite aus?
Spürbar nur selten. Eine WAF läuft als Plugin bei jeder Anfrage mit und kostet minimal Rechenzeit, im normalen Betrieb fällt das nicht auf. Der .htaccess-Teil ist praktisch kostenlos, weil er vor PHP greift. Wenn eine Seite langsam ist, liegt das fast nie an der Firewall.

Schützt eine Firewall eine bereits gehackte Seite?
Nein. Eine Firewall ist Vorsorge, kein Reinigungsmittel. Ist die Seite schon kompromittiert, sitzt die Hintertür meist längst im Dateisystem oder in der Datenbank und wird von einer Firewall nicht entfernt. Dann hilft nur eine gründliche Bereinigung samt Ursachensuche - und erst danach sorgt die Firewall dafür, dass es nicht gleich wieder passiert.

Fragen oder etwas unklar? Schreib es gern in die Kommentare unter dem Artikel.

• Weiter