WebSicht

Kostenloser SSL und Sicherheits Check

SSL Check: prüfe HTTPS und die Sicherheit deiner Website

Fehlende Security Header und offen liegende Dateien sind unsichtbare Risiken. Prüfe die Sicherheits Konfiguration deiner Website in Sekunden.

Sofort-Ergebnis · ohne Anmeldung · keine Kreditkarte

Das prüft der Sicherheits Check

Was der kostenlose Check abdeckt

  • HTTPS und Weiterleitung

    Wird die Seite verschlüsselt ausgeliefert und leitet http sauber auf https um? Ohne HTTPS drohen Vertrauens und SEO Nachteile.

  • HSTS

    Erzwingt der Server HTTPS über den Strict Transport Security Header und schützt so vor Downgrade Angriffen?

  • Security Header

    Content Security Policy, X Frame Options, X Content Type Options, Referrer Policy und Permissions Policy gegen gängige Angriffe.

  • Offen liegende Dateien

    Sind sensible Pfade wie .env oder .git öffentlich erreichbar? Solche Dateien können Zugangsdaten oder Quellcode preisgeben.

  • Email Authentifizierung

    SPF und DMARC im DNS schützen davor, dass Dritte in deinem Namen gefälschte Mails versenden.

HTTPS ist heute Pflicht, aber längst nicht alles. Ob eine Website sicher ausgeliefert wird, entscheidet sich auch an den Security Headern, die der Server mitschickt. Fehlen sie, ist die Seite anfälliger für Angriffe wie Cross Site Scripting oder Clickjacking. Browser zeigen unsichere Seiten inzwischen deutlich an, und Google wertet HTTPS als Rankingsignal.

Unser Sicherheits Check prüft die HTTPS Auslieferung, die wichtigsten Security Header und ob sensible Dateien versehentlich öffentlich erreichbar sind. Zusätzlich schauen wir auf die Email Authentifizierung über SPF und DMARC, denn ein ungeschützter Absender ist ein häufig übersehenes Sicherheitsrisiko. Alles ohne Zugriff auf deinen Server, allein aus dem, was die Seite nach außen preisgibt.

Häufige Sicherheits Fehler auf Websites

  • Kein HSTS

    Ohne HSTS kann ein Angreifer die erste Verbindung auf unverschlüsseltes http umleiten. Der Header schließt diese Lücke.

  • Fehlende Content Security Policy

    Ohne CSP kann eingeschleuster Code leichter ausgeführt werden. Sie ist die wirksamste Bremse gegen Cross Site Scripting.

  • Offen liegende .env oder .git

    Ein vergessener Ordner im Web Root gibt Konfiguration und Quellcode preis. Solche Pfade müssen gesperrt sein.

  • Kein DMARC Eintrag

    Ohne DMARC können Dritte gefälschte Mails in deinem Namen versenden. Das schadet Zustellbarkeit und Ruf.

Anleitung

So sicherst du deine Website ab

  1. 01
    HTTPS erzwingen

    Leite jeden http Aufruf dauerhaft auf https um und aktiviere HSTS mit ausreichend langer Laufzeit und includeSubDomains.

  2. 02
    Security Header setzen

    Ergänze Content Security Policy, X Frame Options, X Content Type Options und eine Referrer Policy in der Server Konfiguration.

  3. 03
    Sensible Pfade sperren

    Stelle sicher, dass .env, .git und Backups nicht über das Web erreichbar sind, und entferne sie aus dem öffentlichen Verzeichnis.

  4. 04
    Email absichern

    Hinterlege SPF und einen DMARC Eintrag im DNS, damit niemand in deinem Namen Mails fälschen kann.

FAQ

Häufige Fragen zum SSL und Sicherheit

Noch etwas offen? Schreib uns an [email protected].

Ist der SSL Check kostenlos?

Ja. Der Sicherheits Schnellcheck ist ohne Anmeldung kostenlos und prüft HTTPS, die Security Header und offen liegende Dateien. Die vollständige 360° Analyse mit dem Gesamtscore und dem White Label Report ist im kostenlosen Konto mit drei Analysen pro Monat enthalten.

Prüft der Check mein SSL Zertifikat?

Der Check prüft, ob deine Seite über HTTPS verschlüsselt ausgeliefert wird und HTTPS korrekt erzwungen wird. Der Fokus liegt auf der sicheren Auslieferung und den Security Headern, die im Alltag die größeren Risiken bergen als das Zertifikat selbst.

Was sind Security Header?

Security Header sind Anweisungen, die der Server mit jeder Seite mitschickt. Sie steuern zum Beispiel, welche Skripte laufen dürfen, ob die Seite in einen Frame eingebettet werden darf und wie mit Referrer Daten umgegangen wird. Sie schützen vor gängigen Angriffen.

Warum prüft ihr auch SPF und DMARC?

Weil ein ungeschützter Email Absender ein reales Sicherheitsrisiko ist. Ohne SPF und DMARC können Dritte Mails in deinem Namen versenden, was zu Phishing und schlechter Zustellbarkeit führt. Beides gehört zur Sicherheits Konfiguration einer Domain.

Brauche ich Zugriff auf den Server?

Nein. Der Check nutzt nur, was deine Website und dein DNS nach außen preisgeben. Du brauchst nur die Adresse, kein Snippet und keinen Server Zugang.