Joomla .htaccess im Basisverzeichnis absichern - HTProtect Server-Schild

Joomla .htaccess im Basisverzeichnis absichern - HTProtect Server-SchildDie zentrale .htaccess im Joomla-Basisverzeichnis entscheidet mit darüber, welche Anfragen den Server überhaupt erreichen - und ist damit eine der wirksamsten Stellen zur Absicherung. HTProtect Server-Schild ist eine kostenlose Joomla-Komponente (com_htprotect), die genau diese Haupt-.htaccess automatisch erzeugt: maximalsicher konfiguriert und kompatibel mit Joomla 2.5 bis 6 auf PHP 7.4 bis 8.5. Statt einzelne Regeln von Hand zusammenzusuchen, generiert die Komponente ein abgestimmtes Regelwerk und überprüft es direkt nach dem Schreiben selbst.

Wie aktuell die Gefahr ist, zeigen die jüngsten Joomla-Lücken in weit verbreiteten Erweiterungen: die JCE-Sicherheitslücke, die Schwachstelle im Astroid-Framework und die Lücke im Tassos- bzw. Novarain-Framework. Solche Lücken werden oft binnen Stunden automatisiert ausgenutzt - typischerweise, indem ein Angreifer eine als harmlos getarnte PHP-Datei hochlädt und anschließend direkt aufruft. Genau an diesem zweiten Schritt setzt eine streng konfigurierte Haupt-.htaccess an: Sie unterbindet den direkten Aufruf solcher Dateien, sodass eine zwar verwundbare, aber gut abgesicherte Seite den eigentlichen Schaden - die Ausführung der hochgeladenen Backdoor - verhindert. Die .htaccess ersetzt keine Updates, aber sie senkt die Folgen drastisch, wenn eine Lücke einmal nicht rechtzeitig geschlossen wird.

Download: HTProtect Server-Schild

Kostenlose Joomla-Komponente (com_htprotect), Version 2.0.9. Kompatibel mit Joomla 2.5 bis 6.x auf Apache und LiteSpeed, PHP 7.4 bis 8.5. Lizenz: GNU GPL v2 oder später.

htprotect-shield-joomla.zip herunterladen

Installation in Joomla über Erweiterungen > Verwalten > Installieren > Paketdatei hochladen. Fragen und Support gibt es in den Kommentaren unter diesem Beitrag.

Inhalt

  1. PHP-Schild: direkter Skriptaufruf wird blockiert
  2. Dateityp-Schild: nur erlaubte Endungen passieren
  3. Sicherheits-Header und Query-String-Filter
  4. HTTPS und Canonical in einem Schritt
  5. Sensible Dateien sperren
  6. Eigene Regeln bleiben erhalten
  7. Auto-Backup, Selbsttest und Auto-Rollback
  8. Site-Crawler erkennt nötige Ausnahmen
  9. /administrator-Passwortschutz direkt einrichtbar

PHP-Schild: direkter Skriptaufruf wird blockiert

Das PHP-Schild unterbindet den direkten Aufruf von PHP-Dateien überall dort, wo kein Einstiegspunkt sein soll. Erlaubt bleiben nur die definierten Einstiegspunkte wie index.php; jeder andere direkte PHP-Aufruf - etwa eine in images/ oder media/ hochgeladene Datei - wird abgewiesen. Zusätzlich sperrt das Schild gefährliche Endungen wie .phar, .phtml, .php3 und ähnliche, über die sich ausführbarer Code sonst tarnen lässt. Damit fällt der häufigste Weg weg, über den aus einem Datei-Upload eine Webshell oder Backdoor wird. Selbst eine bereits im Webverzeichnis abgelegte Backdoor lässt sich so nicht mehr direkt über den Browser aufrufen.

Dateityp-Schild: nur erlaubte Endungen passieren

Während das PHP-Schild gezielt Skripte blockt, arbeitet das Dateityp-Schild nach dem Whitelist-Prinzip: Nur explizit freigegebene Endungen werden ausgeliefert, alles andere bleibt außen vor. So lassen sich versehentlich erreichbare Log-, Backup- oder Quelltext-Dateien gar nicht erst über den Browser abrufen.

Sicherheits-Header und Query-String-Filter

HTProtect setzt gängige Sicherheits-Header wie X-Content-Type-Options, X-Frame-Options und eine Referrer-Policy, die den Browser des Besuchers zu sichererem Verhalten anweisen. Ein zusätzlicher Query-String-Angriffsfilter erkennt typische Muster von Injection- und Manipulationsversuchen im Anfrage-String und blockt sie, bevor sie Joomla erreichen.

HTTPS und Canonical in einem Schritt

Weiterleitungen auf HTTPS und auf die kanonische Domain (mit oder ohne www) löst die Komponente als Ein-Schritt-Redirect. Statt einer Kette aus mehreren 301-Sprüngen gibt es genau eine Weiterleitung zum Ziel - das ist schneller und vermeidet die SEO- und Performance-Nachteile von Redirect-Ketten.

Sensible Dateien sperren

Dateien, die nie im Browser landen sollten, werden konsequent gesperrt: .env, .git, .sql, configuration.php und weitere typische Kandidaten. Damit bleiben Zugangsdaten, Versionskontroll-Verzeichnisse und Datenbank-Dumps auch dann unerreichbar, wenn sie versehentlich im Webverzeichnis liegen.

Eigene Regeln bleiben erhalten

Bestehende Anpassungen gehen nicht verloren. Beim ersten Lauf importiert HTProtect die vorhandene .htaccess, und bei jedem erneuten Generieren werden deine eigenen Regeln wieder eingebettet. So kannst du das Regelwerk jederzeit neu erzeugen, ohne individuelle Ergänzungen erneut von Hand nachzutragen.

Auto-Backup, Selbsttest und Auto-Rollback

Vor jedem Schreiben legt die Komponente ein Backup an und hält die letzten 15 Versionen vor. Direkt nach dem Schreiben folgt ein Selbsttest: Reagiert die Seite nicht mehr wie erwartet, spielt HTProtect automatisch die vorherige Version zurück (Auto-Rollback). Eine zu strikte Regel kann die Seite damit nicht dauerhaft lahmlegen.

Site-Crawler erkennt nötige Ausnahmen

Manche Erweiterungen oder Einstiegspunkte brauchen gezielte Ausnahmen von den Schutzregeln. Ein integrierter Site-Crawler geht die Seite durch, erkennt solche Fälle automatisch und schlägt die passenden Ausnahmen vor - du musst nicht erst raten, welche Pfade freizugeben sind.

/administrator-Passwortschutz direkt einrichtbar

Direkt nach der Installation lässt sich der Passwortschutz für /administrator einrichten. Das Joomla-Backend wird damit per zusätzlicher .htaccess-Abfrage geschützt, sodass Login-Versuche schon vor Joomla abgefangen werden.

Details
Zuletzt aktualisiert: 11. Juni 2026

Kein Sicherheitsupdate mehr verpassen!

Ergänzende Angebote

Kunden über uns

„Umstellung unserer Joomla Website von PHP 5.3 auf PHP 7 lief super schnell, günstig und mit tadellosem Ergebnis. Sehr gute und nette Kommunikation.“
– H. Bergmann

„Innerhalb eines Tages wurde alles extrem professionell und extrem schnell gemacht. Sehr vertrauenswürdig. Excellent. 5 Sterne“
– Fernando V.

„Ich selbst wusste mir nicht zu helfen, fand hier aber die nötige Kompetenz, um alles wieder bereinigen zu lassen. Nötige Updates und Sicherungen wurden gemacht, alles äußerst preiswert, schnell und gut!“
– Klaus-Peter

„Die Seite sieht super aus – alles wie zuvor – und das unter PHP 7.2 – ich bin beeindruckt - ganz herzlichen Dank!“
– Dr. Ingo Wuddel

„Da wir einen Onlineshop betreiben war, es für uns sehr wichtig, dass unsere Seite schnell wieder im vollen Funktionsumfang für unsere Kunden zur Verfügung steht. Alle Arbeiten werden äußerst schnell zu unserer vollen Zufriedenheit ausgeführt.“ – Löwen Handels GmbH

„Sehr schnelle, seriöse und zielführende Bearbeitung des Problems. Zusätzlich wurden mir Tipps und Strato spezifische Infos mitgegeben, um das Risiko eines Wiederkehrens des Problems zu verringern.“
– Heino B.

„Der Kontakt war besonders freundlich, einige kosmetische Zusatzarbeiten wurden - als sei es selbstverständlich - von selbst in Angriff genommen. Ich bin erleichtert und sehr dankbar.“
– R. Mayer

„Super. In einer absoluten Notlage bei Sperrung von 2 Domains durch Strato wegen Hackerangriff wurden beide Domains zunächst temporär noch am gleichen Tag wieder live geschaltet.“
– I. Radchenko

„Hervorragender Service. Problem innerhalb von 18 Stunden gelöst. Wir sind begeistert. Vielen Dank 🙏“
– Tien Sy Vuong

Website-Bereinigung.de Support Service
5,0 205 Rezensionen > 5
Google Bewertungen

Kontaktmöglichkeiten

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Kontaktformular

Telefonat vereinbaren
+49 (0)2406 969796
Mo. - Fr. | 9 - 21 Uhr