Jupp, sowas kommt oftmals vor, also dass man vorinstallierte vorkonfigurierte Apps beim Hoster nutzen kann, aber da ist das dann oftmals eine "eingeschränkte" Version, die quasi schreibgeschützt ist, aber die "guten" Hoster deaktivieren dann normalerweise auch die interne Update-Funktion.
Der Hoster muß dann bei sich das Update erstmal "verifizieren", seine "Erweiterungen" einbauen, das Update bei sich einspielen und dann an die Kunden verteilen.
Da sind dann erstmal die Core-Files gesperrt und Themes/Plugins entweder komplett gesperrt, oder zumindestens auf eine eingeschränkte vorinstallierte Auswahl begrenzt, die man nur de-/aktivieren kann.

Manchmal kommt es auch vor, dass solche "Apps" direkt auf den Webspace des Kunden kopiert/installiert werden und er dann "vollen" Zugriff auf seine persönliche Installation hat, die vom Provider nur vorkonfiguriert wurde (Pfade, DB erstellt und Zugangsdaten eingerichtet),
aber auch da würde ich IMMER mir das direkt vom Hersteller holen und selber installieren.

"Billighoster" verwenden meistens Variante 1, wo sie den Zugriff einschränken und manchmal auch eigene "Erweiterungen" integrieren.



Hast du auf das 1&1-Jommla 100%igen Zugriff? (klingt nach "Nein")
- alle Dateien im FTP sichtbar und beschreibbar
- und darfst du z.B. beliebige eigene Templates oder Plugins einspielen?

Hast du ein eigenes FTP/PHP/DB?
Mach im Joomla ein Backup, schmeiß den Schrott von 1&1 weg (man kann fast wetten die bauen da auch ihre "Werbung" ein),
lad dir das selber runter https://www.joomla.de/joomla
und spiel dort das Backup wieder ein.


Mein eigenes Wordpress ist absichtlich auch 'ne Eigeninstallation
- Nachteil: du mußst dich selber um Updates und Sicherheit kümmern
- Vorteil: du kannst über alles selber entscheiden

Bei Sicherheitslecks könnte der Hoster dann auf dich zu kommen, aber wenn jemand dich hackt und die dann von da auf das System des Hosters oder anderer Kunden kommt, dann hat der Hoster andere Probleme, als das "kleine" Leck in deiner Software.