Joomla — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header in Joomla. Built-in HTTP Headers Plugin mit GUI-Konfiguration und .htaccess-Fallback — von HSTS per Checkbox bis CSP mit Nonces.
Security Headers in Joomla — das HTTP Headers Plugin
Joomla bietet seit Version 4.0 einen enormen Vorteil gegenüber vielen anderen CMS:
Das System - HTTP Headers Plugin ist im Core enthalten und bietet eine vollständige
GUI-Konfiguration für Security Headers. Unter System → Plugins → System - HTTP Headers
finden Sie dedizierte Felder für CSP, HSTS, X-Frame-Options, Referrer-Policy, Permissions-Policy,
COOP und COEP.
Das bedeutet: Die meisten Security Headers lassen sich ohne Code-Änderungen und
ohne Server-Zugriff konfigurieren — ideal für Shared Hosting. Als Fallback oder Ergänzung
funktioniert die .htaccess auf Apache-Servern. Für Cookie-Konfiguration nutzen
Sie configuration.php.
Wichtig: Nach jeder Plugin-Änderung sollten Sie den Cache leeren:
php cli/joomla.php cache:clean oder im Backend unter System → Cache leeren.
Der Wolf-Agents Web Security Check prüft 166 Punkte
und zeigt Ihnen sofort, welche Header fehlen.
Joomla-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit Joomla-spezifischen Konfigurationen für das HTTP Headers Plugin und .htaccess. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Zwei Konfigurationswege: Built-in HTTP Headers Plugin (seit Joomla 4) und .htaccess-Fallback.
Content Security Policy (CSP)
XSS-Schutz über das HTTP Headers Plugin mit CSP-Tab — GUI-basierte Konfiguration ohne Code.
HTTP Strict Transport Security
HTTPS erzwingen per HTTP Headers Plugin mit HSTS-Checkbox oder .htaccess-Konfiguration.
Sichere Cookie-Konfiguration
Session-Cookies in configuration.php und PHP-Konfiguration absichern: Secure, HttpOnly, SameSite.
Permissions Policy
Browser-APIs einschränken über HTTP Headers Plugin — Kamera, Mikrofon, Geolocation sperren.
Clickjacking-Schutz
X-Frame-Options direkt im HTTP Headers Plugin mit dediziertem Dropdown konfigurieren.
Referrer-Policy
Referrer-Informationen kontrollieren per HTTP Headers Plugin — Dropdown-Auswahl im Backend.
X-Content-Type-Options
MIME-Sniffing verhindern per HTTP Headers Plugin — eine Checkbox-Konfiguration.
Cross-Origin Headers
CORP, COEP und COOP über HTTP Headers Plugin — mit Template-Kompatibilitätsprüfung.
Subresource Integrity
Hash-Prüfung externer Scripts in Joomla-Templates — Cassiopeia und Custom Templates.
security.txt
Kontaktdatei unter .well-known/ — direkt im Joomla-Root-Verzeichnis.
TLS & Zertifikate
TLS auf Server-Ebene plus Force HTTPS in der Joomla Global Configuration.
Cache-Control
Sicherheitsrelevante Cache-Direktiven per HTTP Headers Plugin und Joomla Cache-System.
Reporting API
Report-To und Reporting-Endpoints per HTTP Headers Plugin für automatische Berichte.
Clear-Site-Data
Browser-Daten beim Logout löschen per Custom Plugin auf der user.logout-Route.
Erweiterte Header
Origin-Agent-Cluster, X-DNS-Prefetch-Control und weitere Header per HTTP Headers Plugin.
In 3 Schritten zur sicheren Joomla-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
HTTP Headers Plugin aktivieren
Öffnen Sie System → Plugins → System - HTTP Headers und aktivieren Sie das Plugin. Konfigurieren Sie HSTS, X-Frame-Options und Referrer-Policy per Checkbox — ohne eine Zeile Code.
CSP über den CSP-Tab
Die Content Security Policy konfigurieren Sie im HTTP Headers Plugin unter dem CSP-Tab. Starten Sie im Report-Only-Modus und ergänzen Sie Quellen für JCE Editor, Template-Assets und externe Services.
Nicht Joomla? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Was ist das HTTP Headers Plugin in Joomla?
Das System - HTTP Headers Plugin ist seit Joomla 4.0 im Core enthalten. Es bietet eine GUI unter System → Plugins → System - HTTP Headers mit dedizierten Feldern für CSP, HSTS, X-Frame-Options, Referrer-Policy, Permissions-Policy, COOP und COEP. Das ist ein enormer Vorteil — die meisten Security Headers lassen sich ohne Code-Änderungen konfigurieren.
Wie konfiguriere ich CSP mit dem JCE Editor?
Der JCE Editor nutzt Inline-Styles und kann externe Ressourcen laden. Im HTTP Headers Plugin fügen Sie unter dem CSP-Tab die nötigen Direktiven hinzu: 'unsafe-inline' für style-src (wegen Inline-Styles) und die JCE-CDN-Domain für script-src, falls JCE externe Scripts lädt. Testen Sie immer zuerst im Report-Only-Modus.
Ab welcher Joomla-Version funktioniert das HTTP Headers Plugin?
Das Plugin ist seit Joomla 4.0 im Core enthalten. Für Joomla 3.x gibt es das Plugin als separate Installation über das JED (Joomla Extensions Directory). Alle unsere Anleitungen sind für Joomla 4+ geschrieben. Die .htaccess-Methode funktioniert versionsunabhängig.
Kann ich Security Headers auf Shared Hosting mit Joomla setzen?
Ja. Das HTTP Headers Plugin funktioniert auf jedem Hosting — auch Shared Hosting ohne Server-Zugriff. Es setzt die Header über PHP, nicht über den Webserver. Als Fallback nutzen Sie die .htaccess mit mod_headers. Beachten Sie, dass Joomla Core-Updates die .htaccess überschreiben können.
Wie verhalten sich RSFirewall und das HTTP Headers Plugin?
RSFirewall kann eigene Security Headers setzen, die mit dem HTTP Headers Plugin kollidieren. Aktivieren Sie die Header-Konfiguration nur in einem der beiden Tools — nicht in beiden gleichzeitig. Prüfen Sie nach der Konfiguration per curl, ob die Header korrekt und nicht doppelt gesetzt werden.