security.txt in Joomla konfigurieren
security.txt in Joomla aktivieren — über das Built-in HTTP Headers Plugin (seit Joomla 4.0) oder .htaccess-Fallback. Mit vollständiger Verifizierung und Joomla-spezifischen Troubleshooting-Tipps.
security.txt in Joomla
security.txt ist eine standardisierte Kontaktdatei (RFC 9116) für Sicherheitsforscher, damit Schwachstellen verantwortungsvoll gemeldet werden können. Mit 2 von 166 Punkten im Wolf-Agents Web Security Check ist dieser Header ein wichtiger Faktor für die Gesamtbewertung Ihrer Joomla-Installation. Ohne korrekte Konfiguration verlieren Sie wertvolle Punkte, die den Unterschied zwischen einer guten und einer mittelmäßigen Security-Bewertung ausmachen können.
security.txt ist keine Header-Konfiguration, sondern eine statische Textdatei unter .well-known/security.txt. In Joomla legen Sie diese Datei direkt im Web-Root an. Das Plugin funktioniert auf jedem Hosting — inklusive Shared Hosting ohne SSH-Zugriff oder Server-Konfigurationszugang. Die Alternative ist die .htaccess-Methode als Apache-Fallback, die Sie nutzen können, wenn das Plugin aus technischen Gründen nicht verfügbar ist. Bei beiden Methoden gilt: Nach jeder Änderung den Joomla-Cache leeren.
Der Wolf-Agents Web Security Check analysiert die security.txt-Konfiguration Ihrer Joomla-Installation und zeigt exakt, ob der Header korrekt gesetzt ist, welcher Wert verwendet wird und ob es Verbesserungspotenzial gibt. Über das Web Scan Monitoring werden Sie automatisch per E-Mail benachrichtigt, wenn sich die Konfiguration nach einem Joomla-Update, Extension-Installation oder Server-Migration unbeabsichtigt ändert.
security.txt-Implementierung in Joomla
security.txt ist keine Header-Konfiguration, sondern eine statische Textdatei unter .well-known/security.txt. In Joomla legen Sie diese Datei direkt im Web-Root an. Die Konfiguration über das Built-in HTTP Headers Plugin ist der empfohlene Weg — eine vollständige GUI im Joomla-Backend unter System → Plugins → System - HTTP Headers, keine Code-Änderungen nötig und keine Server-Konfiguration erforderlich. Alle Einstellungen werden sofort nach dem Speichern wirksam. Die .htaccess-Methode dient als Fallback für Apache-Setups, in denen das Plugin nicht genutzt werden kann. Nutzen Sie niemals beide Methoden gleichzeitig — doppelte Header führen zu unvorhersehbarem Browser-Verhalten.
# Datei anlegen: .well-known/security.txt
# (im Joomla Web-Root Verzeichnis)
Contact: mailto:security@ihre-domain.de
Expires: 2027-03-28T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt
Policy: https://ihre-domain.de/security-policy
# Optional: PGP-Schlüssel für verschlüsselte Meldungen
# Encryption: https://ihre-domain.de/.well-known/pgp-key.txt# .htaccess — .well-known von Joomla-Routing ausnehmen
# VOR den Joomla-Rewrite-Regeln einfügen:
<IfModule mod_rewrite.c>
RewriteRule ^.well-known/ - [L]
</IfModule>
# Stellt sicher, dass .well-known/ direkt ausgeliefert wird
# und nicht von Joomla als Beitrag interpretiert wirdNach Änderungen am HTTP Headers Plugin oder der .htaccess: php cli/joomla.php cache:clean ausführen oder im Backend unter System → Cache leeren. Drittanbieter-Cache-Extensions wie JotCache oder LiteSpeed Cache können veraltete Header zwischenspeichern.
Verifizierung
Nach der Konfiguration im HTTP Headers Plugin oder der .htaccess leeren Sie den
Joomla-Cache über php cli/joomla.php cache:clean oder im Backend unter
System → Cache leeren. Prüfen Sie den Header anschließend per curl auf
verschiedenen Seitentypen — Startseite, Beiträge, Kontaktformulare, Kategorie-Seiten
und den Admin-Bereich unter /administrator. Wichtig: Einige Header werden
nur über HTTPS gesendet — testen Sie niemals über eine HTTP-URL. Prüfen Sie auch,
ob ein CDN oder Reverse-Proxy (Cloudflare, Varnish) den Header eventuell entfernt
oder überschreibt. Nutzen Sie den Wolf-Agents
Web Security Check für eine vollständige Analyse aller 16 Header-Kategorien
mit konkreter Punktbewertung.
# 1. security.txt abrufen
curl -s https://ihre-domain.de/.well-known/security.txt
# Erwartete Ausgabe:
# Contact: mailto:security@ihre-domain.de
# Expires: 2027-03-28T00:00:00.000Z
# 2. HTTP-Statuscode prüfen (sollte 200 sein)
curl -sI https://ihre-domain.de/.well-known/security.txt | head -1
# 3. Wolf-Agents Web Security Check prüft automatisch
# → https://wolf-agents.com/tools/web-security-checkHäufige Fehler bei security.txt in Joomla
Joomla SEF-URLs leiten .well-known-Pfad um
Joomla SEF-URLs können den .well-known-Pfad als Beitrag interpretieren und umleiten. Fügen Sie in der .htaccess vor den Joomla-Rewrite-Regeln hinzu: RewriteRule ^.well-known/ - [L]
Expires-Datum ist abgelaufen
RFC 9116 erfordert ein gültiges Expires-Feld. Browser und Scanner markieren abgelaufene security.txt als ungültig. Setzen Sie das Datum mindestens 1 Jahr in die Zukunft und erneuern Sie es rechtzeitig.
Datei liegt im falschen Verzeichnis
Die Datei muss unter /.well-known/security.txt erreichbar sein (nicht unter /security.txt). Erstellen Sie das Verzeichnis .well-known im Joomla-Web-Root.
Contact-Feld fehlt oder ist ungültig
Das Contact-Feld ist Pflicht und muss eine gültige mailto:-URL oder HTTPS-URL enthalten. Ohne gültiges Contact-Feld ist die gesamte security.txt ungültig.
Compliance-Relevanz
security.txt erfüllt konkrete Anforderungen aus mehreren Compliance-Frameworks, die für Unternehmen in der EU verbindlich sind. Fehlende oder falsch konfigurierte Header werden bei Sicherheits-Audits, Penetrationstests und automatisierten Compliance-Scans als Schwachstelle gewertet. Die korrekte Konfiguration über das Joomla HTTP Headers Plugin dokumentiert Ihre technischen Maßnahmen und stärkt Ihre Position bei NIS2-Audits.
Wie steht Ihre Domain bei security.txt?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.