Was wir scannen
Scanthra führt eine freundliche, passive Prüfung deiner Website durch. Wir loggen uns nie ein, erzwingen keinen Zugang und belasten deinen Server nicht. Hier ist genau, was wir uns ansehen — in verständlicher Sprache.
Die Grundlagen — ist deine Website richtig gesichert?
🔒 HTTP-Header für Sicherheit
Wir prüfen, ob deine Website dem Browser sagt, wie er sich sicher verhalten soll: HSTS (HTTPS-Erzwingung), CSP (Content Security Policy — blockiert eingefügte Skripte), X-Frame-Options (verhindert Clickjacking), X-Content-Type-Options, Referrer-Policy und Permissions-Policy. Fehlende HTTP-Header sind eine häufige Quelle kleiner Datenlecks, die sich summieren.
🔐 TLS/SSL (Verschlüsselung)-Zertifikat & Verschlüsselung
Ist dein Zertifikat gültig, wer hat es ausgestellt, wann läuft es ab, und unterstützt es modernes TLS? Ein abgelaufenes Zertifikat bremst den Umsatz für einen Tag. Ein schwaches Protokoll gefährdet deine Besucher.
🍪 Cookie-Flags
Wir prüfen deine Cookies — sind sie mit Secure, HttpOnly und einem sinnvollen SameSite-Wert markiert? Ohne diese Flags können Login-Sitzungen über öffentliches WLAN geleakt oder von bösartigen Skripten gestohlen werden.
Verborgene Dinge, die du nicht veröffentlichen wolltest
📁 Offengelegte Dateien
Backup-Dateien, .env-Dateien, .git-Ordner, Datenbank-Dumps,
vergessene Admin-Bereiche — wir prüfen eine kuratierte Liste bekannter Pfade,
die nicht öffentlich zugänglich sein sollten.
🚪 Login- & Admin-Seiten
Wir notieren, wo sich dein Admin-Login befindet (/wp-admin,
/administrator usw.), damit du entscheiden kannst, ob er
per IP eingeschränkt oder hinter einem zweiten Faktor gesichert werden sollte.
🤖 robots.txt & .well-known
Manchmal verrät robots.txt die Namen von Ordnern, die du
nicht indiziert haben möchtest. Dein .well-known-Verzeichnis
könnte mehr preisgeben, als du denkst.
Womit deine Website gebaut ist
🧱 CMS (Content-Management-System) & Versionen
Wenn du WordPress, Joomla, Drupal, Shopify oder PrestaShop verwendest, erkennen wir es und lesen die öffentlichen Versionsmerkmale aus. Veraltete CMS-Versionen sind die häufigste Ursache für gehackte Websites kleiner Unternehmen.
🔍 Tech-Fingerprinting
Wir erkennen Server-Software (nginx, Apache), Programmiersprache (PHP, Node) und gängige Frontend-Bibliotheken — ausschließlich anhand von HTTP-Headern und HTML, das bereits öffentlich ist.
📚 Passiver CVE (öffentliche Schwachstellendatenbank)-Abgleich
Wenn wir eine bestimmte Version einer bekannten Komponente erkennen, gleichen wir sie mit einer lokalen Kopie der öffentlichen Schwachstellendatenbank (NVD) ab. Kein Exploit, kein Abtasten — nur „Hey, diese Version hat ein bekanntes Problem; hier ist das notwendige Update."
E-Mail-Sicherheit — der Ruf deiner Domain
📧 SPF / DKIM / DMARC (E-Mail-Schutz)
Wenn deine Domain kein SPF / DKIM / DMARC hat, kann jeder E-Mails fälschen, die scheinbar von dir kommen — deine Bank, dein Kunde, dein Lieferant. Wir prüfen, ob diese DNS-Einträge existieren und korrekt aussehen. Fehlendes DMARC ist eine Hauptursache für Zustellbarkeitsprobleme und Phishing-Angriffe.
Was wir bewusst nicht tun
- Kein Port-Scanning, kein
nmap— wir prüfen nie, was keine Webseite ist. - Keine Login-Versuche, kein Brute-Force, kein Erraten von Passwörtern.
- Keine aktive Ausnutzung, keine Payload-Injektion, kein Fuzzing.
- Kein Traffic-Flooding — wir senden insgesamt vielleicht 30 höfliche Anfragen.
Mit anderen Worten: nichts, worüber sich dein Hosting-Anbieter beschweren könnte. Ein Scanthra-Scan sieht genauso aus wie ein neugieriger Besucher, der einige öffentliche Seiten liest.