Schutzschild⬢ 6.1.2
👤 Benutzermenü
Interaktive Demo – klick dich durch. Es wird nichts gespeichert, gesendet oder ausgeführt.Interaktive Demo – es wird nichts gespeichert oder ausgeführt.↗ HTProtect herunterladenDEEN
v2.4.13 · htprotect.org · Doku
v2.4.13 · htprotect.org · Doku

Schutzschild – Haupt-.htaccess

💾 Zu den .htaccess-Sicherungen

Wichtigste Einstellungen

Erweiterte Einstellungen anzeigen

Die empfohlenen Einstellungen sind bereits aktiv (per „Jetzt absichern“ auf der Übersicht). Hier kannst du alles im Detail feinjustieren – bei Unsicherheit einfach so lassen.

Grundlagen & Server

Automatisch aus Joomlas Basis-URL erkannt und synchron gehalten – muss (und kann) nicht manuell gesetzt werden. Läuft die Seite in einem Unterverzeichnis, steht hier der erkannte Pfad.

Die Schnittstelle /api (Joomla 4+) wird im Bereich Exploit-Schild eingestellt (durchleiten / sperren).

Kanonische Adresse

HTTPS erzwingen und www-Modus stehen oben unter „Wichtigste Einstellungen“.

Antwort-Header

Wirken server-weit (auch für statische Dateien) und ersetzen doppelte – ergänzen Joomlas „HTTP Headers“-Plugin (CSP/nginx), ohne Konflikt.

Anfrage-Filter

Exploit-Schild

Wehrt bekannte Joomla-Angriffe (JCE, Novarain/Tassos, Astroid, com_ajax-LFI ...) und generische Angriffsklassen ab – zweischichtig aus einer Signaturliste: die .htaccess blockt GET-Angriffe schon vor PHP, die Echtzeit-Firewall fängt zusätzlich POST-Angriffe und nutzt neue Signaturen sofort. Dieser Schalter steuert beide.

Ein/Aus steht oben unter „Wichtigste Einstellungen“. Hier die Feinheiten:

Eine komplette /api-Sperre hätte den Joomla-Core-Leak CVE-2023-23752 (Auslesen der Konfiguration inkl. Datenbank-Zugangsdaten) von vornherein verhindert. Nur sperren, wenn keine Erweiterung die Joomla-Web-Services nutzt.

Signaturen einzeln verwalten (17)

Die Echtzeit-WAF blockt „alle“-Muster auch für eingeloggte/neu registrierte Nutzer (kein legitimer Aufruf existiert); „nur Gäste“-Muster könnten legitim genutzt werden und betreffen daher nur nicht eingeloggte Besucher. Super-User werden nie blockiert. Query-String-Signaturen lassen sich im Pfad-Test nicht simulieren, pfad-basierte schon.

Upload-Ordner-Härtung

Legt zusätzlich in Upload-/System-Ordnern (images, media, tmp, cache ...) eine eigene Mini-.htaccess ab, die PHP-Ausführung dort sperrt. Das wirkt auch dann noch, wenn ein Angreifer die Haupt-.htaccess löscht – und gegen unbekannte künftige Upload-Lücken.

Ein/Aus steht oben unter „Wichtigste Einstellungen“. Wird beim Schreiben automatisch angewendet.

Ordner, die unter einer PHP-Freigabe liegen, werden automatisch ausgelassen. Aktueller Status unten nach dem Speichern.

Dateischild

Die Joomla-Update-Endpunkte (extract.php/restore.php von com_joomlaupdate) sind fest freigegeben und müssen hier nicht stehen – Core-Updates funktionieren immer.

Stärker als die Freigaben darüber: hebt für diese Pfade auch Verzeichnis-Sperren und Exploit-Signaturen auf (nicht aber die Query-String-Injektionsfilter). Nur für nachweislich harmlose, selbst geprüfte Pfade verwenden. Der Akeeba-Panopticon-Connector ist ab Werk enthalten.

Auslieferung & Caching

Eigene Regeln

Diese Regeln gehören dauerhaft zur Konfiguration und werden bei jedem Schreiben wieder in die Datei eingebettet – manuelle Änderungen direkt in der .htaccess gehen dagegen beim nächsten Schreiben verloren.

.htaccess extern verwalten

Schutz wirkt auf Apache- und LiteSpeed-Servern (mod_rewrite). Vor jedem Schreiben wird automatisch gesichert; ein Selbsttest mit Auto-Rollback fängt Server-Unverträglichkeiten ab. Spenden