Joomla gehackt? Vorgehensweise bei gehackter Joomla-Seite

Q: Was sollte ich tun, wenn meine Joomla-Seite gehackt wurde?

Wenn Ihre Joomla-Seite gehackt wurde, sollte sie möglichst schnell vor weiterem externen Zugriff geschützt werden. Der Joomla Offline-Modus allein reicht dafür meist nicht aus, da eingeschleuste Schadcode-Dateien oft weiterhin direkt aufrufbar bleiben. Danach sollten Sicherungen erstellt, verdächtige Dateien geprüft, Logs ausgewertet und die Einbruchstelle ermittelt werden.

Q: Reicht ein Joomla-Update nach einem Hack aus?

Nein. Ein Update kann eine bekannte Sicherheitslücke schließen, entfernt aber keinen bereits eingeschleusten Schadcode. Wenn sich bereits Backdoors, Spam-Skripte, Webshells oder manipulierte Dateien auf dem Webspace befinden, muss die Installation zusätzlich gezielt bereinigt und anschließend abgesichert werden.

Q: Woran erkenne ich, dass meine Joomla-Website gehackt wurde?

Typische Anzeichen sind unerwartete Weiterleitungen, Spam-Seiten im Google-Index, Warnungen vom Hoster, unbekannte Administratoren, fremde Dateien oder plötzlich auftretende PHP-Dateien in Upload-Verzeichnissen. Auch ein stark verändertes Verhalten der Website oder gesperrter Mailversand kann auf eine Kompromittierung hindeuten.

Q: Kann eine alte Sicherung das Problem vollständig lösen?

Nicht immer. Oft wird Schadcode bereits deutlich vor dem sichtbaren Ausbruch eingeschleust. Wenn das verwendete Backup nicht wirklich sauber ist, kann die eigentliche Backdoor erhalten bleiben und der Hack später erneut auftreten. Deshalb sollte vor einer Wiederherstellung möglichst genau geprüft werden, wann der Einbruch begonnen hat.

Q: Wie läuft die Bereinigung einer gehackten Joomla-Seite typischerweise ab?

In der Regel werden zunächst Website und Zugänge abgesichert, anschließend Sicherungen erstellt und der Einbruch analysiert. Danach werden Schadcode, Backdoors und manipulierte Dateien entfernt, Schwachstellen geschlossen, Passwörter geändert und Joomla sowie Erweiterungen auf einen sicheren Stand gebracht. Abschließend erfolgt die zusätzliche Absicherung gegen erneute Angriffe.

Q: Welche aktuellen Sicherheitslücken spielen bei Joomla-Hacks eine Rolle?

Neben veralteten Installationen sind auch Sicherheitslücken in Erweiterungen, Templates oder Frameworks ein typisches Einfallstor. Entscheidend ist dabei: Selbst wenn die Lücke inzwischen durch ein Update geschlossen wurde, muss eine bereits kompromittierte Website trotzdem noch auf eingeschleuste Dateien, Backdoors und Spam-Reste geprüft werden.

Q: Wie schnell kann eine gehackte Joomla-Seite wieder bereinigt werden?

Das hängt vom Umfang des Angriffs, vom Zustand der Website und von der Verfügbarkeit sauberer Sicherungen ab. Kleinere Fälle lassen sich oft zügig beheben, komplexere Kompromittierungen mit mehreren Einfallstoren oder stark manipulierten Dateien benötigen deutlich mehr Analyse. Wichtig ist vor allem, nicht nur Symptome zu beseitigen, sondern die Ursache sauber zu schließen.

Q: Was kostet die Bereinigung einer gehackten Joomla-Seite?

Die Kosten hängen vom Aufwand und vom technischen Zustand der Installation ab. Wenn bereits Schadcode, Spam-Reste, veraltete Erweiterungen oder eine ungeklärte Einbruchstelle vorliegen, ist der Aufwand höher als bei einem klar eingrenzbaren Einzelfall. Maßgeblich ist nicht nur die Entfernung des Schadcodes, sondern auch die nachhaltige Absicherung der Seite.

24h Soforthilfe - schnelle Hilfe und bewährtes Vorgehen bei gehackter Website

Ist Ihre Joomla-Seite gehackt, kommt es auf sofortiges und sauberes Handeln an. Häufig zeigen sich gehackte Joomla-Websites durch Weiterleitungen, Spam im Google-Index, fremde Dateien, unbekannte Administratoren oder Warnungen des Hosters. Wichtig ist: Ein bloßes Update reicht oft nicht aus, wenn bereits Schadcode oder eine Backdoor eingeschleust wurde.

Typische Anzeichen dafür, dass eine Joomla-Seite gehackt wurde

Weiterleitungen auf fremde oder unseriöse Seiten
SEO-Spam oder merkwürdige URLs im Google-Index (Japanese Keyword Hack)
Warnung vom Hoster wegen Malware oder Spam-Versand
unbekannte Administratoren oder plötzlich installierte Erweiterungen
PHP-Dateien in /images/, /tmp/, /cache/ oder /logs/
verdächtige Dateien im Bereich /administrator/cache/
die Website wird plötzlich langsam, instabil oder gesperrt

Joomla gehackt durch Astroid Framework – aktuelle Angriffswelle (CVE-2026-21628)

Aktuell werden verstärkt Joomla-Websites über eine kritische Schwachstelle im Astroid Framework angegriffen. Betroffen sind die Versionen 2.0.0 bis 3.3.10 - ein Update auf mindestens Version 3.3.12 ist zwingend erforderlich. Typische Spuren eines erfolgreichen Angriffs über diese Lücke sind:

die Plugin BLPayload, JCachePro oder ähnlich benannte, unbekannte Erweiterungen
verdächtige PHP-Dateien in /administrator/cache/, /images/ oder /tmp/
Dateien, die als Bilder oder SVGs getarnt sind, aber PHP-Schadcode enthalten
SEO-Spam-Seiten im Google-Index, die für Besucher unsichtbar sind

Wichtig: Ein reines Update schließt die Lücke für neue Angriffe, beseitigt aber keinen bereits eingeschleusten Schadcode oder Backdoors. Wurde Ihre Joomla-Seite über das Astroid Framework gehackt, ist eine vollständige Bereinigung mit anschließender Absicherung notwendig.

→ Astroid Framework Sicherheitslücke

Joomla gehackt? Diese Schritte sollten Sie jetzt durchführen

Schritt 1: Webseite deaktivieren - Dateisystem einfrieren
Wenn eine Kompromittierung zweifelsfrei feststeht und Ihr Hoster noch keine Sperrung ausgelöst hat, ist die Deaktivierung der gehackten Website zur Vermeidung weiterer Schäden dringend zu empfehlen. In der Joomla Konfiguration den Offline-Modus zu aktivieren, reicht nicht aus. Eingeschleuste Schaddateien in den Tiefen der Joomla Verzeichnisse, die üblicherweise bei einem Hack hinterlassen werden (Spam Scripts, Backdoors, Web Shells und andere Malware), wären weiterhin direkt aufrufbar.
Um den Zugriff effektiv zu unterbinden, gibt es zwei Möglichkeiten:

.htaccess Passwortschutz (example.org/xssen.php)
Umbenennung/Umleitung des Basisverzeichnisses (Wartungsseite einrichten)

Nach Änderung der FTP Zugänge ist das Dateisystem vor weiteren äußeren Einflüssen geschützt und es kann mit der Schadensanalyse begonnen werden.

Schritt 2: Sicherungen herunterladen - Einbruch analysieren - Lücke finden

Lokalen Echtzeit Virenschutz temporär deaktivieren
Sonst könnte schon der FTP Download aufgrund eines Virus-Alarms fehlschlagen
Herunterladen des infizierten Filesystems unter Beibehaltung der Timestamps
(Option im FTP Programm)
Schneller: Per SSH, Web Control Panel oder Akeeba Backup eine Sicherung als ZIP Archiv erstellen und herunterladen. Beim lokalen Entpacken mit WinRAR oder 7-Zip bleiben die Zeitstempel erhalten.
Kürzlich veränderte Dateien inspizieren
Malware Logs des Hosters durchgehen
Lokaler Scan der Daten mit guter Anti-Virus-Software
Joomla Root Verzeichnis prüfen
- Benötigt werden i.d.R. nur index.php, configuration.php, .htaccess & robots.txt

Von jedem Schadcode Fund den Timestamp (Datei Änderungszeitpunkt) notieren.
Achtung! Dieser kann auch verfälscht sein und unauffällig den übrigen Dateien im jeweiligen Verzeichnis angepasst worden sein. Auch die Timestamps der Verzeichnisse sollten beachtet werden.
Basierend darauf:

Analyse der Webserver Access Logs
- Auffällige POST Einträge
- Typische Angriffsmuster

Ein kleines Tool und weitere Tipps zur Auswertung finden Sie hier.
Lässt sich der Zeitpunkt des Hacks genau eingrenzen? Backup vorhanden?

Schritt 3a: Backup wiederherstellen

Wenn Sie sich sicher sind, dass eine saubere Sicherung von vor dem Hack existiert und die Angleichung an den aktuellen Stand kein allzu großer Aufwand ist, kann das eine Möglichkeit sein, das Malware Problem nachhaltig in den Griff zu bekommen. Die Wiederherstellung sollte zugangsgeschützt stattfinden, bis alles vollständig aktualisiert und abgesichert ist.
Achtung: Oft wird bereits lange bevor sich ein Hack bemerkbar macht unauffällig Schadcode eingeschleust (schlummernde Backdoors).
Über diese würde der Webspace immer wieder erneut gehackt werden.

Schritt 3b: Dateisystem bereinigen
Experts only

Verifizierung der Core Dateien (z.B. per WinMerge)
- Insb. non-core Dateien in (/administrator)/libraries sollten überprüft werden
/images, /media und sonst. Upload Verzeichnisse nach Schadcodes (*.php) durchforsten
/cache, /tmp, /logs inspizieren - anschließend leeren (index.html nicht löschen)
/bin, /cli, /language, /includes untersuchen (*.php) - alle recht übersichtlich
Template Dateien (index.php) auf <script Injections prüfen
.htaccess Dateien kontrollieren

Potenziell jedes der bisher nicht behandelten Verzeichnisse kann Schadcode enthalten.

Die Tiefen der /components, /modules, /layouts & /plugins Verzeichnisse sind besonders tückische Verstecke. Mit viel Erfahrung, aktuellen Erkennungsmustern und gutem Spürsinn lassen sich auch diese Dateien ausfindig machen.

Schritt 4: Lücke schließen - Passwörter ändern - Joomla rundum aktualisieren

Um zu vermeiden, dass Ihre Joomla Webseite erneut gehackt wird, sollten regelmäßig Updates durchgeführt werden. Nur so lässt sich das größtmögliche Maß an Sicherheit erhalten.

Joomla! 5+ Sicherheitscheck

Für nicht gehackte Seiten
Updates, Spamschutz & Absicherung

149 € inkl. MwSt. [ Jetzt buchen ]

Joomla Wartungsvertrag

1 Jahr technische Betreuung
Backups, Updates & Absicherung

ab 35 € inkl. MwSt./Monat [ Details ]

Häufige Fragen zu gehackten Joomla-Seiten

Was sollte ich tun, wenn meine Joomla-Seite gehackt wurde?

Wenn Ihre Joomla-Seite gehackt wurde, sollte sie möglichst schnell vor weiterem externen Zugriff geschützt werden. Der Joomla Offline-Modus allein reicht dafür meist nicht aus, da eingeschleuste Schadcode-Dateien oft weiterhin direkt aufrufbar bleiben. Danach sollten Sicherungen erstellt, verdächtige Dateien geprüft, Logs ausgewertet und die Einbruchstelle ermittelt werden.

Reicht ein Joomla-Update nach einem Hack aus?

Nein. Ein Update kann eine bekannte Sicherheitslücke schließen, entfernt aber keinen bereits eingeschleusten Schadcode. Wenn sich bereits Backdoors, Spam-Skripte, Webshells oder manipulierte Dateien auf dem Webspace befinden, muss die Installation zusätzlich gezielt bereinigt und anschließend abgesichert werden.

Woran erkenne ich, dass meine Joomla-Website gehackt wurde?

Typische Anzeichen sind unerwartete Weiterleitungen, Spam-Seiten im Google-Index, Warnungen vom Hoster, unbekannte Administratoren, fremde Dateien oder plötzlich auftretende PHP-Dateien in Upload-Verzeichnissen. Auch ein stark verändertes Verhalten der Website oder gesperrter Mailversand kann auf eine Kompromittierung hindeuten.

Kann eine alte Sicherung das Problem vollständig lösen?

Nicht immer. Oft wird Schadcode bereits deutlich vor dem sichtbaren Ausbruch eingeschleust. Wenn das verwendete Backup nicht wirklich sauber ist, kann die eigentliche Backdoor erhalten bleiben und der Hack später erneut auftreten. Deshalb sollte vor einer Wiederherstellung möglichst genau geprüft werden, wann der Einbruch begonnen hat.

Wie läuft die Bereinigung einer gehackten Joomla-Seite typischerweise ab?

In der Regel werden zunächst Website und Zugänge abgesichert, anschließend Sicherungen erstellt und der Einbruch analysiert. Danach werden Schadcode, Backdoors und manipulierte Dateien entfernt, Schwachstellen geschlossen, Passwörter geändert und Joomla sowie Erweiterungen auf einen sicheren Stand gebracht. Abschließend erfolgt die zusätzliche Absicherung gegen erneute Angriffe.

Welche aktuellen Sicherheitslücken spielen bei Joomla-Hacks eine Rolle?

Neben veralteten Installationen sind auch Sicherheitslücken in Erweiterungen, Templates oder Frameworks ein typisches Einfallstor. Entscheidend ist dabei: Selbst wenn die Lücke inzwischen durch ein Update geschlossen wurde, muss eine bereits kompromittierte Website trotzdem noch auf eingeschleuste Dateien, Backdoors und Spam-Reste geprüft werden.

Wie schnell kann eine gehackte Joomla-Seite wieder bereinigt werden?

Das hängt vom Umfang des Angriffs, vom Zustand der Website und von der Verfügbarkeit sauberer Sicherungen ab. Kleinere Fälle lassen sich oft zügig beheben, komplexere Kompromittierungen mit mehreren Einfallstoren oder stark manipulierten Dateien benötigen deutlich mehr Analyse. Wichtig ist vor allem, nicht nur Symptome zu beseitigen, sondern die Ursache sauber zu schließen.

Was kostet die Bereinigung einer gehackten Joomla-Seite?

Die Kosten hängen vom Aufwand und vom technischen Zustand der Installation ab. Wenn bereits Schadcode, Spam-Reste, veraltete Erweiterungen oder eine ungeklärte Einbruchstelle vorliegen, ist der Aufwand höher als bei einem klar eingrenzbaren Einzelfall. Maßgeblich ist nicht nur die Entfernung des Schadcodes, sondern auch die nachhaltige Absicherung der Seite.

Details: Zuletzt aktualisiert: 21. März 2026

Wir erledigen das für Sie!

Bereinigung einer gehackten Joomla Site
Fixpreis: ab 299 € 249 €*

Analyse der Einbruchstelle
Updates inklusive (ab J! 3.x)
24h Service
Erweiterte Absicherung
Ausführlicher Abschlussbericht
6 Monate Garantie (verlängerbar)

→ Angebotsanfrage - Joomla gehackt

30 % Rabatt für Vereine und Privatpersonen

Hilfreiche Tools

xsSen .htaccess Generator
Verzeichnisschutz

Akeeba Backup
Backup & Restore

Access Log Analyse ToolAktive Backdoors & Spam Scripts finden

Notepad++
Rekursives Suchen & Ersetzen

WinMerge
Verzeichnisse & Dateien vergleichen

Warum einen Profi beauftragen?

Wir bereinigen gehackte Joomla-Websites nicht nur oberflächlich, sondern prüfen auch Einbruchstelle, Schadcode, verdächtige Benutzer, manipulierte Dateien und typische Spam-Rückstände im Index. Gerade bei aktuellen Angriffen über Erweiterungen oder Templates reicht es meist nicht, nur „schnell ein Update einzuspielen“.

Warum ein altes Backup nicht immer die Lösung ist

Viele gehackte Joomla-Seiten waren bereits Tage oder Wochen vor der sichtbaren Auffälligkeit kompromittiert. Wird einfach irgendein älteres Backup zurückgespielt, kann die eigentliche Backdoor unbemerkt erhalten bleiben. Deshalb sollte vor einer Wiederherstellung anhand einer Log-Analyse immer geprüft werden, wann der Einbruch vermutlich begonnen hat und ob die Sicherung wirklich sauber ist.

Joomla! gehackt?