audit. BETA 100% Free Forever

Kostenloser Webseiten-Audit

Eine URL.
Ein Audit.
Konkrete Tipps.

Tippe eine Webadresse ein. Der Server prüft in 10 Sekunden Security, SEO, Cookies, DSGVO-Tracker, DNS, TLS, Performance und Barrierefreiheit. Du bekommst keine grünen Daumen, sondern für jeden Fund eine kurze Erklärung und einen Fix, der zu deiner Plattform passt: Server, Cloudflare, WordPress, Shopify oder Wix.

frei & bleibt frei kein Login nichts gespeichert kein Tracking
Direkt testen: github.com spiegel.de amazon.de kicker.de zeit.de

Warum das zählt

Maschinen sehen deine Seite anders als du.

Browser, Suchmaschinen und Mailserver achten auf andere Dinge als ein Mensch. Auf unsichtbare Header, auf die Reihenfolge der Tags, auf Cookie-Flags, auf DNS-Einträge, auf Cert-Details. Stimmt da was nicht, fliegst du aus dem Index, landen Mails im Spam, oder ein Angreifer findet einen offenen Weg. Sichtbar ist davon nichts.

Der Audit liest mit den Augen dieser Maschinen und übersetzt jeden Befund: was ist es, warum ist es ein Problem, wie fixt du es bei dir. Keine Note, keine Punktzahl-Magie, nur konkrete Hinweise.

~99 %
Standard-Angriffe werden vom Browser geblockt, sobald die richtigen Security-Header gesetzt sind. Fehlen sie, ist der Schutz aus.
200 ms
spart eine Seite typischerweise durch Brotli-Compression und richtige Cache-Header. Bei Core Web Vitals macht das den Unterschied.
~ 1.500 €
kostet eine Abmahnung wegen ohne Consent geladener Google Fonts oder Pixel-Tracker. Tritt in DE seit 2022 regelmäßig auf.

Drei Schritte

Kein Login. Keine Daten. Kein Drumherum.

  1. I

    URL eingeben

    Adresse einer öffentlich erreichbaren Webseite eintippen. Das war's. Keine Mail, keine Registrierung, kein Cookie-Banner. Auch keine Pre-Roll-Werbung. Hier ist nichts hinter einer Lead-Maschine versteckt.

  2. II

    Server prüft

    Der Audit holt die Seite, ihre Kontextdateien (robots.txt, Sitemap, OG-Image), führt DNS-Lookups, TLS-Tests und einen kurzen Sample-Crawl durch. Dauert rund 10 Sekunden. Gleiche URL beim zweiten Aufruf kommt aus dem 5-Minuten-Cache.

  3. III

    Tipps lesen

    Jeder Fund kommt mit Erklärung und Fix-Snippet, abgestimmt auf deine Umgebung: nginx, Apache, Cloudflare, WordPress, Shopify, Wix oder Squarespace. Kein Premium, kein Upsell, keine Verkaufsanrufe.

Für wen

Egal ob du Code schreibst oder nicht.

Devs vor dem Deploy

Schneller Sanity-Check: passen alle Header, sind Schemas valid, redirects konsistent. Snippets zum Reinkopieren in nginx, Apache, PHP-Code, Express oder Cloudflare-Rules.

Shop- und Site-Betreiber

Du arbeitest mit Shopify, WordPress, Wix oder Squarespace. Der Audit sagt dir konkret, in welchem Plugin oder Admin-Menü du den Befund fixt. Kein Server-Zugriff nötig.

SEOs

Indexierungs-Konflikte, Meta-Tag-Längen, OG-Validierung, Title-vs-H1-Abweichung, robots.txt und Sitemap-Health. Auf einer Seite, ohne Tool-Hopping.

Datenschutz

20+ Tracker-Skripte erkannt, Google Fonts geflaggt, Pixel sichtbar gemacht. Cookie-Flags pro Set-Cookie. Privacy-freundliche Alternativen direkt benannt.

Mail-Admins

SPF-Syntax, DKIM-Selektor-Probe, DMARC-Policy, MX-Pruefung in einem Rutsch. Plus Blacklist-Check der Server-IP gegen die fünf wichtigsten RBLs.

Selbsthoster

Eigene Domain checken, ohne Login. Cert-Restlaufzeit, Subdomain-Enum aus Cert-Logs, Mixed-Content-Findings, DNS-Status. Frei zugänglich.

Was geprüft wird

Sechs Bereiche. Eine ganze Reihe Checks.

Pro Bereich gibt es mehrere Einzel-Checks. Statt einer Note bekommst du pro Fund eine kurze Erklärung und einen Fix, abgestimmt auf das, womit du arbeitest.

SEC

Security & Härtung

Der Browser schützt nur, wenn der Server ihm sagt wie. Ohne die richtigen Header kann ein eingeschleustes Skript Cookies abgreifen, ein fremder iframe Klicks abfangen oder MIME-Sniffing-Tricks führen Schadcode aus. Der Audit prüft die acht wichtigsten Header und ein paar Begleiter.

  • HSTS, CSP, X-Frame-Options, X-Content-Type-Options
  • Referrer-Policy, Permissions-Policy, COOP, CORP
  • Server-Header und X-Powered-By auf Versions-Leaks
  • Mixed-Content (HTTP-Resourcen auf HTTPS-Seite)
  • Cookie-Flags pro Set-Cookie: Secure, HttpOnly, SameSite
SEO

SEO & Auffindbarkeit

Title und Description in passender Länge, Canonical sauber gesetzt, robots.txt nicht zu streng. Klingt banal, geht in der Praxis oft schief - vor allem wenn Plugin-Defaults und CMS-Einstellungen sich gegenseitig überschreiben.

  • Title (30-60 Zeichen), Meta Description (120-160)
  • Canonical, Viewport, Charset, html lang, Meta-Robots
  • Title-vs-H1-Coherence (gemeinsame Schlüsselwörter)
  • Indexierungs-Konflikte (noindex + Canonical zu anderer URL)
  • robots.txt + sitemap.xml inkl. Sub-Sitemap-Erkennung
  • Heading-Hierarchie und Anzahl h1-Tags
DSG

DSGVO & Tracker

Google Fonts ohne Consent? In Deutschland seit 2022 abmahnfähig. Meta Pixel, Hotjar, Google Analytics dürfen erst nach aktiver Einwilligung laden. Der Audit findet 20+ gängige Tracker und sagt für jeden, ob Consent nötig ist und ob es eine privacy-freundliche Alternative gibt.

  • 20+ Tracker-Skripte (GA4, GTM, Meta Pixel, Hotjar, Clarity, …)
  • YouTube/Vimeo/Instagram-Embeds, Google reCAPTCHA, Google Maps
  • Drittanbieter-Fonts (Google Fonts) - Hinweis auf Self-Hosting
  • Cookie-Set-Analyse mit Flag-Bewertung
  • Privacy-freundliche Alternativen pro erkanntem Tracker
PRF

Performance & Caching

Schnellere Seiten haben es bei Google leichter und sparen Bandbreite. Brotli-Compression nimmt bis zu 80 % vom Text-Gewicht. Cache-Header machen wiederkehrende Besuche quasi sofort. Resource Hints sagen dem Browser, welche Drittanbieter-Hosts er vorab kontaktieren soll.

  • TTFB, Total-Time, Response-Size, HTTP-Version (1.1 / 2 / 3)
  • Compression: Brotli vs. gzip, Vary: Accept-Encoding
  • Cache-Control, ETag, Last-Modified
  • Resource Hints (preconnect, preload, dns-prefetch)
  • Bilder: width/height (CLS-Vermeidung), loading=lazy
DNS

TLS, DNS & Mail-Reputation

Was steht eigentlich in deinem DNS, was im TLS-Cert, in welchen Blacklists steht die Server-IP? Plus eine Liste aller Subdomains, die je ein Zertifikat bekommen haben. Das ist deine öffentlich sichtbare Angriffsfläche, ob du das jetzt weißt oder nicht.

  • TLS-Cert-Issuer, Restlaufzeit, Subject Alternative Names
  • DNS-Records: A, AAAA, MX, NS, CAA
  • SPF-Syntax + DKIM-Selector-Rate (default, mail, google, k1, …)
  • DMARC-Policy-Validierung
  • RBL-Check: Spamhaus, Spamcop, Barracuda, UCEProtect, CBL
  • Subdomain-Enumeration via crt.sh Cert-Transparency-Logs
A11Y

Barrierefreiheit & Social

Seit Juni 2025 ist Barrierefreiheit für viele Anbieter Pflicht (EAA). Sie macht die Seite aber auch für alle anderen besser. Daneben gehen die Social-Tags, die entscheiden ob deine Links auf Facebook, LinkedIn oder WhatsApp wie ordentliche Vorschauen oder als nackter URL-Text auftauchen.

  • Bilder: Alt-Texte vorhanden, leer (=dekorativ) oder fehlend
  • Form-Inputs ohne Label, Skip-Link für Tastatur-Nutzer
  • Heading-Hierarchie ohne Sprünge (h2 → h4 = Fehler)
  • Open Graph: Title, Description, Image, URL, Type, Locale
  • Twitter Card: card-Type, Title, Description, Image
  • OG-Image-Validierung (1200×630 px ideal, < 8 MB Pflicht)
  • JSON-LD strukturierte Daten mit Typ-Erkennung

Methodik & Schutz

Wie der Audit läuft, und wie er sich vor Missbrauch wehrt.

Hier ist offen gelegt, was im Hintergrund passiert. Der Audit läuft auf einem eigenen vServer in Deutschland (Strato), Eingaben werden gegen SSRF gepinnt, Bot-Abwehr in mehreren Schichten. Alles serverseitig: kein Client-side-Tracking, keine externen Skripte auf dieser Seite.

1Sicherer Fetch

Die eingegebene URL wird zuerst aufgelöst, und das Ergebnis muss eine öffentliche IP sein. Interne Bereiche (RFC1918, Loopback, Link-Local) werden abgelehnt. Danach pinnt der Audit die IP via CURLOPT_RESOLVE, damit niemand mittendrin umlenkt. Timeouts: 10s gesamt, 5s Connect, max. 2 MB Body, max. 5 Redirects.

2Rate-Limit pro IP

Maximal 5 Audits/Min und 30 Audits/h pro Besucher. Wer das überschreitet, bekommt eine klare Fehlermeldung. Identische URLs liefern 5 Minuten lang aus dem Cache, statt jedes Mal frisch zu fetchen.

3Honeypot

Im Formular hängt ein unsichtbares Feld email_confirm. Bots füllen sowas reflexartig aus, Menschen sehen es nicht. Ist es ausgefüllt, wird die Anfrage stillschweigend verworfen.

4Timing-Check

Beim Laden setzt das Formular einen versteckten Timestamp. Wird in unter 2 Sekunden abgeschickt, ist das ein Bot. Menschen brauchen länger zum Tippen, Skripte feuern oft sofort.

5Server-Härtung

fail2ban gegen SSH-Brute-Force, ufw mit Default-Deny, sysctl-Kernel-Hardening, SSH nur per Key. PHP-FPM hat exec, shell_exec und system abgeschaltet. Security-Updates laufen automatisch ein.

6Stateless

Keine Datenbank, kein Login, kein Cookie. Was du eingibst, liegt 5 Minuten im Server-Cache und ist danach weg. Kein Tracking, kein Pixel, kein Newsletter-Popup. Bleibt so.

Warum kostenlos

Frei. Bleibt frei.

Kein Login, keine Bezahlschranke, kein versteckter Pro-Tarif. Was du hier siehst, ist alles, was es gibt.

Das Ganze läuft auf einem eigenen vServer und wird privat finanziert. Eingaben bleiben 5 Minuten im Cache, danach sind sie weg. Kein Tracking, kein Cookie-Banner, kein Newsletter-Popup.

Falls sich daran je etwas ändert, wird das vorher klar gesagt. Was bisher frei war, bleibt frei.

Loslegen?

URL rein, Audit starten. Zehn Sekunden.