🚨 Notfall · Soforthilfe

Joomla gehackt –
was jetzt zu tun ist.

Die häufigsten Anzeichen: Schadcode in Dateien, Spam-Links im Footer, plötzliche Weiterleitungen auf dubiose Seiten oder Browser-Warnungen wie »Diese Website kann Ihren Computer beschädigen«. Was du sofort tun solltest, was du keinesfalls tun solltest, und wie eine professionelle Bereinigung abläuft.

Erste Sofortmaßnahmen – die ersten 30 Minuten

Bei einem aktiven Hack gibt es zwei Ziele: weitere Schäden verhindern und Beweise sichern. Beides muss schnell passieren, sollte aber nicht in Panik enden.

1. Site offline nehmen oder Wartungsmodus aktivieren

Solange die Site online ist, kann der Schadcode weiter aktiv sein – Spam-Links verteilen, Besucher infizieren, Suchmaschinen-Ranking schädigen. Schnellster Weg: Wartungsmodus-Komponente aktivieren oder über .htaccess alle Anfragen außer der eigenen IP blockieren.

2. Passwörter ändern – aber von einem sauberen Gerät

Joomla-Admin, FTP, Hosting-Account, Datenbank, eingesetzte E-Mail-Adressen: alle Passwörter müssen geändert werden. Wichtig: nicht vom potenziell infizierten Computer, der ggf. Keylogger hat. Anderes Gerät verwenden, idealerweise mit Passwort-Manager.

3. Hoster informieren

Manche Hoster sehen Sicherheitsvorfälle, bevor du es tust – entweder am Server-Verhalten oder über externe Beschwerden. Eine kurze Info an den Hosting-Support kann verhindern, dass dein Account aus Sicherheitsgründen gesperrt wird, während du die Reparatur einleitest.

4. Logs sichern

Bevor irgendetwas bereinigt oder gelöscht wird: Server-Access-Logs sichern, Joomla-Datei-Liste mit Zeitstempeln dokumentieren, ggf. einen Snapshot des gehackten Zustands für die spätere Forensik machen. Ohne diese Spuren wird die Ursachenanalyse schwierig.

Was du keinesfalls tun solltest

  • Nicht einfach „aus Backup zurückspielen" und weitermachen.Wenn die Sicherheitslücke nicht geschlossen ist, wird die Site innerhalb von Stunden oder Tagen wieder gehackt – oft schlimmer als beim ersten Mal.
  • Nicht alle Joomla-Dateien löschen und neu installieren.Damit gehen oft Konfigurationen, Custom-Code und Beweise verloren. Bereinigung ist sauberer.
  • Nicht Komponenten-Updates einspielen ohne Diagnose.Wenn das Update der Einfallsweg war, kann ein weiteres Update das Problem verschlimmern.
  • Nicht ohne Plan an die Datenbank.Schadcode in der DB ist deutlich schwieriger zu finden als in Dateien. Halbherzige DB-Bereinigung lässt versteckte Backdoors zurück.

Wie wir bei einem Hack vorgehen

Phase 1: Bestandsaufnahme (1–2 Stunden)

Wir sichten Logs, vergleichen Datei-Hashes mit der Joomla-Core-Referenz, scannen administrator nach bekannten Malware-Signaturen, prüfen .htaccess, configuration.php und versteckte Dateien (oft Hex-codiert oder in unauffälligen Verzeichnissen). Ergebnis: Liste aller infizierten Dateien plus wahrscheinliche Einfalls-Hypothese.

Phase 2: Bereinigung (2–6 Stunden)

Saubere Joomla-Core-Dateien einspielen, infizierte Komponenten- und Template-Dateien entweder durch saubere Versionen ersetzen oder bei kompromittierten Komponenten komplett deinstallieren. Datenbank durchsuchen nach injiziertem Code (oft in jos_extensions, jos_users, jos_content). Versteckte Admin-Accounts entfernen.

Phase 3: Sicherheitslücke schließen (1–3 Stunden)

Sobald die Site sauber ist: Die Schwachstelle, die zum Hack geführt hat, muss weg. Häufige Ursachen: veraltete Komponente mit bekannter Lücke, schwaches Passwort, unsicheres Hosting-Setup, fehlendes SSL, kompromittierter FTP-Zugang. Maßnahmen: Updates, Two-Factor, neue Zugangsdaten, ggf. Hoster-Wechsel.

Phase 4: Hardening und Monitoring (1–2 Stunden)

Site mit zusätzlichen Schutzmaßnahmen härten: Admin Tools oder RSFirewall einrichten, Login-URL ändern, IP-basiertes Limiting konfigurieren, File-Integrity-Monitoring aktivieren. Suchen Console und ggf. Google Safe Browsing über das Whitelisting informieren, falls die Site auf Malware-Listen gelandet war.

Was eine Bereinigung kostet

Wir arbeiten bei Hack-Bereinigungen auf Stundenbasis (200 € netto/Std.). Realistische Aufwandsbänder:

  • Standard-Hack ohne Datenbank-Schaden:4–8 Stunden, also 800–1.600 € netto.
  • Komplexer Hack mit DB-Schaden:8–16 Stunden, also 1.600–3.200 € netto.
  • Schwerer Fall mit verteilter Backdoor-Architektur:20+ Stunden, oft sinnvoller: komplette Migration auf neue, saubere Installation.

Bei aktiven Wartungsmandaten ist die Hack-Bereinigung im Standardfall durch das monatliche Pauschalkontingent abgedeckt – das ist einer der zentralen Werte einer laufenden Wartung.

Wie sich Hacks zu 90 % verhindern lassen

Aus den von uns bearbeiteten Hack-Fällen lassen sich klare Muster ableiten. Vier Maßnahmen verhindern den Großteil aller Vorfälle:

  • Aktuelle Versionen.Über 70 % der Hacks nutzen bekannte Lücken in veralteten Komponenten. Wer Updates spätestens 14 Tage nach Release einspielt, schließt diese Risiken praktisch komplett.
  • Starke Passwörter und Two-Factor.Brute-Force-Angriffe auf Login-URLs sind die zweite häufige Einfallspforte. Mit 2FA wird Brute-Force praktisch unmöglich.
  • Erweiterungs-Hygiene.Nur installierte Komponenten, die aktiv genutzt werden. Veraltete oder verlassene Komponenten gehören gelöscht, nicht nur deaktiviert.
  • Sauberes Hosting.Billighosting unter 5 €/Monat hat oft kompromittierte Nachbar-Sites auf demselben Server. Eine Cross-Site-Infektion ist dann nur eine Frage der Zeit.

Wir setzen alle vier Punkte in jedem Wartungspaket standardmäßig um. Mehr Hintergrund: Sicherheit & Updates.

Bei akuter Lage – sofort melden

Wenn deine Site gerade gehackt ist und du nicht weißt, was du tun sollst: Telefon ist schneller als Mail. Hotline 0800 188 7 100 – kostenfrei, Mo–Fr. Bei wirklichen Notfällen außerhalb der Geschäftszeiten läuft der 24/7-IT-Notdienst notdienst.seo-manager.info.

FAQ

Häufige Fragen

Wie erkenne ich, dass meine Joomla-Site gehackt wurde?
Häufigste Anzeichen: Schadcode-Warnungen im Browser, plötzliche Weiterleitungen, Spam-Links im Footer (oft auf Glücksspiel oder Pharma-Sites), unbekannte Admin-Accounts, ungewöhnliche Zugriffe in den Logs, Ranking-Einbruch in Search Console mit Hinweis »Sicherheitsprobleme«. Manchmal merkt man auch nichts – bis ein Kunde anruft oder Google die Site abstraft.
Wie schnell könnt ihr nach einem Hack reagieren?
Bei aktiver Wartung: in der Regel innerhalb weniger Stunden. Bei Stundenbasis-Aufträgen: innerhalb eines Werktages, bei akuten Notfällen außerhalb der Geschäftszeiten über den 24/7-IT-Notdienst. Erste Lage-Einschätzung in 30 Minuten, dann konkreter Plan.
Was kostet eine Hack-Bereinigung?
Bei einem Standard-Hack 4–8 Stunden Aufwand, also 800–1.600 € netto auf Stundenbasis. Komplexere Fälle gehen bis 3.200 €. Bei aktiver Wartung ist die Bereinigung im monatlichen Paket abgedeckt – einer der wichtigsten Wert-Argumente für laufende Wartung gegenüber reinem Notfall-Fixing.
Kann ich die Site nicht einfach selbst aus Backup wiederherstellen?
Wenn die Sicherheitslücke nicht geschlossen wurde, wird die Site innerhalb von Stunden oder Tagen wieder gehackt – oft schlimmer als beim ersten Mal. Backup zurückspielen ist ein Schritt, aber nicht der erste und nicht der einzige. Erst Lücke schließen, dann sauber wiederherstellen, dann härten.
Müsst ihr Datenschutzbehörden informieren?
Bei einem Hack mit Datenleck (z. B. Kundendaten, Passwörter) bist du als Betreiber gegebenenfalls meldepflichtig nach Art. 33 DSGVO – innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde. Wir können bei der Einschätzung helfen, ob ein meldepflichtiger Vorfall vorliegt, ersetzen aber keine Datenschutz-Anwältin. Im Zweifel: Anwalt fragen.
Weiterlesen

Verwandte Artikel

🔄

Updates ohne Risiko

Wie eine saubere Update-Routine Hacks zu 90 % verhindert.
💾

Backup-Strategie

Recovery ist nur so gut wie das Backup. So machen wir es.
🔒

Sicherheit & Updates

Hub mit allen Sicherheits-Templaten rund um Joomla.
📈 Erstgespräch kostenfrei

Akut gehackt? Wir helfen sofort.

Ruf uns an: 0800 188 7 100. Wir verschaffen uns innerhalb von 30 Minuten ein Lagebild und starten direkt mit der Bereinigung. Klare Aufwands-Kommunikation, keine versteckten Posten.

→ Kostenloser Site-Check

unverbindlich · DSGVO-konform · seit 2012