Sicherheit
SSL-Zertifikate, anfällige Bibliotheken, Sicherheitsheader und Ihre Besucher schützen.
Website-Sicherheit ist sowohl eine technische Notwendigkeit als auch eine gesetzliche Pflicht. Unter DSGVO Artikel 32 müssen Unternehmen 'geeignete technische Maßnahmen' umsetzen, um personenbezogene Daten zu schützen. Ein abgelaufenes SSL-Zertifikat, veraltete WordPress-Plugins oder fehlende Sicherheitsheader können die Daten Ihrer Besucher gefährden und Ihr Unternehmen Bußgeldern aussetzen. Datenpannen müssen innerhalb von 72 Stunden bei der zuständigen Datenschutzbehörde gemeldet werden.
Wichtige Fakten
- •DSGVO Artikel 32 verpflichtet zu Verschlüsselung von personenbezogenen Daten beim Transport — SSL/TLS ist nicht optional
- •46 % aller Websites haben mindestens eine ernsthafte Schwachstelle (Acunetix 2024)
- •WordPress-Plugins sind für 97 % der WordPress-Sicherheitslücken verantwortlich
- •Fehlende Sicherheitsheader wie Content-Security-Policy machen Sites anfällig für XSS-Angriffe
- •Datenpannen müssen innerhalb von 72 Stunden bei der Datenschutzbehörde gemeldet werden
Was wir prüfen
- ✓Gültigkeit und Konfiguration des SSL/TLS-Zertifikats
- ✓Sicherheitsheader (CSP, HSTS, X-Frame-Options usw.)
- ✓Bekannte anfällige JavaScript-Bibliotheken
- ✓Mixed Content (HTTP-Ressourcen auf HTTPS-Seiten)
- ✓SPF-, DKIM- und DMARC-E-Mail-Authentifizierungseinträge
Website-Sicherheit: gute vs. schlechte Beispiele
Abgelaufenes oder fehlendes SSL-Zertifikat
Besucher sehen eine 'Nicht sicher'-Warnung in ihrem Browser, weil das SSL-Zertifikat abgelaufen oder nie installiert wurde. DSGVO Artikel 32 verlangt Verschlüsselung personenbezogener Daten beim Transport.
Gültiges SSL mit automatischer Erneuerung
Ein gültiges SSL/TLS-Zertifikat (z. B. Let's Encrypt) mit eingerichteter automatischer Erneuerung. Der Browser zeigt ein Schloss-Symbol. Der HSTS-Header stellt sicher, dass Browser immer über HTTPS verbinden.
Veraltetes WordPress mit bekannten Schwachstellen
WordPress 5.x betreiben oder Plugins mit bekannten Sicherheitslücken, für die CVE-Meldungen veröffentlicht wurden. Angreifer scannen automatisch danach. Eine ausgenutzte Schwachstelle, die Kundendaten preisgibt, führt zur Meldepflicht innerhalb von 72 Stunden.
Regelmäßige Updates und Patch-Management
WordPress-Core, Themes und Plugins innerhalb von 48 Stunden nach Sicherheitsreleases aktualisiert. Automatische Updates für Minor-Versionen aktiviert. Ungenutzte Plugins vollständig entfernt statt nur deaktiviert.
Keine Sicherheitsheader konfiguriert
Fehlende Content-Security-Policy, X-Frame-Options und HSTS-Header. Ohne diese ist Ihre Website anfällig für Cross-Site-Scripting (XSS), Clickjacking und Protocol-Downgrade-Angriffe.
Sicherheitsheader korrekt konfiguriert
Content-Security-Policy blockiert Inline-Skripte und begrenzt Ressourcen-Ursprünge. X-Frame-Options verhindert Clickjacking. HSTS mit langer max-age und includeSubDomains. Referrer-Policy auf strict-origin-when-cross-origin gesetzt.
Mixed Content auf HTTPS-Seiten
Eine HTTPS-Website, die Bilder, Skripte oder Stylesheets über HTTP lädt. Browser markieren das als unsicher und können die Ressourcen vollständig blockieren.
Alle Ressourcen über HTTPS geladen
Jedes Bild, jedes Skript, Stylesheet und jede Schriftart über HTTPS geladen. Keine Mixed-Content-Warnungen. Externe Ressourcen auf HTTPS-Unterstützung geprüft, bevor sie eingebettet werden.
Abgelaufenes oder fehlendes SSL-Zertifikat
Besucher sehen eine 'Nicht sicher'-Warnung in ihrem Browser, weil das SSL-Zertifikat abgelaufen oder nie installiert wurde. DSGVO Artikel 32 verlangt Verschlüsselung personenbezogener Daten beim Transport.
Veraltetes WordPress mit bekannten Schwachstellen
WordPress 5.x betreiben oder Plugins mit bekannten Sicherheitslücken, für die CVE-Meldungen veröffentlicht wurden. Angreifer scannen automatisch danach. Eine ausgenutzte Schwachstelle, die Kundendaten preisgibt, führt zur Meldepflicht innerhalb von 72 Stunden.
Keine Sicherheitsheader konfiguriert
Fehlende Content-Security-Policy, X-Frame-Options und HSTS-Header. Ohne diese ist Ihre Website anfällig für Cross-Site-Scripting (XSS), Clickjacking und Protocol-Downgrade-Angriffe.
Mixed Content auf HTTPS-Seiten
Eine HTTPS-Website, die Bilder, Skripte oder Stylesheets über HTTP lädt. Browser markieren das als unsicher und können die Ressourcen vollständig blockieren.
Gültiges SSL mit automatischer Erneuerung
Ein gültiges SSL/TLS-Zertifikat (z. B. Let's Encrypt) mit eingerichteter automatischer Erneuerung. Der Browser zeigt ein Schloss-Symbol. Der HSTS-Header stellt sicher, dass Browser immer über HTTPS verbinden.
Regelmäßige Updates und Patch-Management
WordPress-Core, Themes und Plugins innerhalb von 48 Stunden nach Sicherheitsreleases aktualisiert. Automatische Updates für Minor-Versionen aktiviert. Ungenutzte Plugins vollständig entfernt statt nur deaktiviert.
Sicherheitsheader korrekt konfiguriert
Content-Security-Policy blockiert Inline-Skripte und begrenzt Ressourcen-Ursprünge. X-Frame-Options verhindert Clickjacking. HSTS mit langer max-age und includeSubDomains. Referrer-Policy auf strict-origin-when-cross-origin gesetzt.
Alle Ressourcen über HTTPS geladen
Jedes Bild, jedes Skript, Stylesheet und jede Schriftart über HTTPS geladen. Keine Mixed-Content-Warnungen. Externe Ressourcen auf HTTPS-Unterstützung geprüft, bevor sie eingebettet werden.
Verwandte Leitfäden
Ihre Website jetzt prüfen
Scannen Sie Ihre Website auf Sicherheit-Probleme und 30+ weitere Prüfungen.
Website kostenlos scannen