Referrer-Policy in Joomla konfigurieren
Referrer-Policy in Joomla aktivieren — über das Built-in HTTP Headers Plugin (seit Joomla 4.0) oder .htaccess-Fallback. Mit vollständiger Verifizierung und Joomla-spezifischen Troubleshooting-Tipps.
Referrer-Policy in Joomla
Referrer-Policy Referrer-Policy kontrolliert, welche Referrer-Informationen bei Navigation und Ressourcen-Anfragen gesendet werden — und schützt so interne URLs und sensible Query-Parameter vor Datenlecks.. Mit 10 von 166 Punkten im Wolf-Agents Web Security Check ist dieser Header ein wichtiger Faktor für die Gesamtbewertung Ihrer Joomla-Installation. Ohne korrekte Konfiguration verlieren Sie wertvolle Punkte, die den Unterschied zwischen einer guten und einer mittelmäßigen Security-Bewertung ausmachen können.
In Joomla setzen Sie Referrer-Policy über das Built-in HTTP Headers Plugin (System → Plugins → System - HTTP Headers) unter dem HTTP Headers Tab als neuen Header-Eintrag. Das Plugin funktioniert auf jedem Hosting — inklusive Shared Hosting ohne SSH-Zugriff oder Server-Konfigurationszugang. Die Alternative ist die .htaccess-Methode als Apache-Fallback, die Sie nutzen können, wenn das Plugin aus technischen Gründen nicht verfügbar ist. Bei beiden Methoden gilt: Nach jeder Änderung den Joomla-Cache leeren.
Der Wolf-Agents Web Security Check analysiert die Referrer-Policy-Konfiguration Ihrer Joomla-Installation und zeigt exakt, ob der Header korrekt gesetzt ist, welcher Wert verwendet wird und ob es Verbesserungspotenzial gibt. Über das Web Scan Monitoring werden Sie automatisch per E-Mail benachrichtigt, wenn sich die Konfiguration nach einem Joomla-Update, Extension-Installation oder Server-Migration unbeabsichtigt ändert.
Referrer-Policy-Implementierung in Joomla
Die Konfiguration über das Built-in HTTP Headers Plugin ist der empfohlene Weg — eine vollständige GUI im Joomla-Backend unter System → Plugins → System - HTTP Headers, keine Code-Änderungen nötig und keine Server-Konfiguration erforderlich. Alle Einstellungen werden sofort nach dem Speichern wirksam. Die .htaccess-Methode dient als Fallback für Apache-Setups, in denen das Plugin nicht genutzt werden kann. Nutzen Sie niemals beide Methoden gleichzeitig — doppelte Header führen zu unvorhersehbarem Browser-Verhalten.
# HTTP Headers Plugin → Tab: HTTP Headers
# (Built-in seit Joomla 4.0)
Neuer Header hinzufügen:
HTTP Header: Referrer-Policy
Header Wert: strict-origin-when-cross-origin
# → Speichern → System → Cache leeren# .htaccess — Referrer-Policy Fallback
<IfModule mod_headers.c>
Header always set Referrer-Policy "strict-origin-when-cross-origin"
</IfModule>Nach Änderungen am HTTP Headers Plugin oder der .htaccess: php cli/joomla.php cache:clean ausführen oder im Backend unter System → Cache leeren. Drittanbieter-Cache-Extensions wie JotCache oder LiteSpeed Cache können veraltete Header zwischenspeichern.
Verifizierung
Nach der Konfiguration im HTTP Headers Plugin oder der .htaccess leeren Sie den
Joomla-Cache über php cli/joomla.php cache:clean oder im Backend unter
System → Cache leeren. Prüfen Sie den Header anschließend per curl auf
verschiedenen Seitentypen — Startseite, Beiträge, Kontaktformulare, Kategorie-Seiten
und den Admin-Bereich unter /administrator. Wichtig: Einige Header werden
nur über HTTPS gesendet — testen Sie niemals über eine HTTP-URL. Prüfen Sie auch,
ob ein CDN oder Reverse-Proxy (Cloudflare, Varnish) den Header eventuell entfernt
oder überschreibt. Nutzen Sie den Wolf-Agents
Web Security Check für eine vollständige Analyse aller 16 Header-Kategorien
mit konkreter Punktbewertung.
# 1. Joomla-Cache leeren
php cli/joomla.php cache:clean
# 2. Header prüfen
curl -sI https://ihre-domain.de | grep -i referrer-policy
# Erwartete Ausgabe:
# referrer-policy: strict-origin-when-cross-origin
# 3. Auf verschiedenen Seitentypen testen
curl -sI https://ihre-domain.de/beispiel-beitrag | grep -i referrer-policy
# 4. Admin-Bereich testen
curl -sI https://ihre-domain.de/administrator | grep -i referrer-policyHäufige Fehler bei Referrer-Policy in Joomla
HTTP Headers Plugin deaktiviert — kein Referrer-Policy-Header
Das Plugin muss unter System → Plugins aktiviert sein. Ohne aktives Plugin wird kein Referrer-Policy-Header gesetzt. Browser nutzen dann den Standard-Wert, der je nach Browser variiert.
no-referrer bricht Affiliate-Tracking und Analytics
no-referrer entfernt alle Referrer-Informationen. Das bricht Affiliate-Links, Analytics-Tracking und manche OAuth-Flows. Nutzen Sie strict-origin-when-cross-origin als datenschutzfreundlichen Kompromiss.
Core-Update setzt Plugin-Einstellungen zurück
Bei Joomla-Updates können Plugin-Einstellungen zurückgesetzt werden. Dokumentieren Sie den konfigurierten Wert und prüfen Sie nach jedem Update den HTTP Headers Tab im Plugin.
Doppelter Header durch .htaccess und Plugin gleichzeitig
Wenn sowohl das HTTP Headers Plugin als auch die .htaccess den Referrer-Policy-Header setzen, wird er doppelt gesendet. Browser nehmen dann den letzten Wert. Nutzen Sie nur einen der beiden Wege.
Compliance-Relevanz
Referrer-Policy erfüllt konkrete Anforderungen aus mehreren Compliance-Frameworks, die für Unternehmen in der EU verbindlich sind. Fehlende oder falsch konfigurierte Header werden bei Sicherheits-Audits, Penetrationstests und automatisierten Compliance-Scans als Schwachstelle gewertet. Die korrekte Konfiguration über das Joomla HTTP Headers Plugin dokumentiert Ihre technischen Maßnahmen und stärkt Ihre Position bei NIS2-Audits.
Wie steht Ihre Domain bei Referrer-Policy?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.