HTProtect – Dokumentation
Alles Wichtige zu HTProtect – einfach erklärt, ohne Fachchinesisch. Für die meisten läuft es am Ende auf einen einzigen Klick hinaus.
Was ist HTProtect?
HTProtect ist dein „Server-Schild" für Joomla: Es härtet die zentrale Konfigurationsdatei (die .htaccess), sichert den Admin-Bereich mit einem zusätzlichen Passwort ab, sucht nach Schadcode und hält deine Erweiterungen aktuell. Es läuft auf Joomla 2.5 bis 6 und sendet keinerlei Daten nach außen – keine Telemetrie.
Übersicht
Das ist die Startseite von HTProtect mit der Sicherheits-Ampel: Grün heißt alles gut, Gelb ist ein Hinweis, Rot bedeutet Handlungsbedarf. Der große Knopf „Jetzt absichern" erledigt in einem Klick alles Wichtige. Gelbe oder rote Punkte kannst du anklicken – sie bringen dich direkt zur passenden Lösung.
Ganz nebenbei prüft ein unauffälliger Wächter etwa alle 6 Stunden auf neue Admin-Konten, heimlich geänderte Passwörter, Verunstaltungen deiner Seite (Defacement) und neue Angriffsmuster. Per E-Mail meldet er sich nur, wenn wirklich etwas ist – also kein Spam.
Backend-Passwortschutz
Hier legst du eine zweite Passwort-Abfrage vor dein Joomla-Backend (die Adresse mit /administrator). Angreifer und Bots landen dann gar nicht erst auf der Login-Seite – das schützt sogar vor Lücken, die noch niemand kennt.
- Benutzername und Passwort festlegen
- Schutz aktivieren – fertig
Aussperren kann dich das nicht: HTProtect testet sich selbst und schaltet automatisch zurück, falls etwas nicht passt. Einen bereits vorhandenen Schutz kann es übernehmen.
Schutzschild
Das Herzstück: eine gehärtete .htaccess nach dem Grundsatz „alles verboten außer dem Nötigen". Sie blockt Exploit-Angriffe, verhindert, dass in Upload-Ordnern (z. B. images/) heimlich Programme ausgeführt werden, versteckt sensible Dateien, setzt Schutz-Header und erzwingt eine verschlüsselte Verbindung (HTTPS).
Du musst nur „Jetzt absichern" drücken – die empfohlenen Einstellungen sind schon aktiv. Alles Weitere liegt eingeklappt unter „Erweiterte Einstellungen" (für Profis; im Zweifel einfach so lassen).
Site-Scan
Der Scan durchsucht deine ganze Website nach Schadcode, eingeschleusten Dateien und versteckten Hintertüren (sogenannten Webshells) – und kann Funde direkt entfernen. Er läuft nur, wenn du ihn startest, nie von allein, und belastet deinen Server nicht dauerhaft.
Sehr große Seiten scannt er in Häppchen, damit nichts durch ein Zeitlimit abbricht; ein erneuter Scan prüft dann nur noch, was sich geändert hat. Zusätzlich kann er testen, ob deine verlinkten Dateien und Downloads erreichbar sind.
Sicherungen & Updates
Vor jeder Änderung an der .htaccess legt HTProtect automatisch eine Sicherung an – du kommst also jederzeit mit einem Klick zum vorherigen Stand zurück.
Auf Wunsch aktualisiert HTProtect auch deine Joomla-Erweiterungen automatisch, inklusive Sicherung von Dateien und Datenbank; geht bei einem Update etwas schief, wird es von selbst rückgängig gemacht (pro Erweiterung ein- und ausschaltbar). Auch der Assistent, der HTProtect bei Bedarf wieder spurlos entfernt, ist hier zu finden.
Hilfe & Support
Hier erreichst du den Support (auf Wunsch mit hilfreichen Diagnose-Daten), den Live-Chat, diese Dokumentation und die Kaffeekasse.
Möchtest du HTProtect wieder loswerden, bietet dir ein Assistent beim Deinstallieren an, die Schutzdateien sauber mitzuentfernen und die ursprüngliche .htaccess wiederherzustellen. Zum Datenschutz: HTProtect sendet keine Daten nach außen.
- Joomla-.htaccess absichern mit HTProtectHintergrund-Artikel
Unterstützer dieser Seite
htprotect.org ist ein kostenloses, herstellerunabhängiges Informationsangebot. Unterstützt wird es von:

Joomla-Hoster aus Deutschland mit aktivem Community-Support – entdeckte den ersten Angriff auf die JCE-Sicherheitslücke.
fc-hosting.deSpezialisiert auf Bereinigung, Wartung und Absicherung von Joomla- und WordPress-Websites.
website-bereinigung.deDieses Projekt unterstützen
Du betreibst einen Hosting- oder Joomla-Dienst und möchtest htprotect.org fördern – und hier als Unterstützer sichtbar werden? Jede Unterstützung hilft, Betroffene schneller zu warnen und schneller zu schützen.