SSL/TLS, Security Headers, Cookie-Sicherheit, aktive Sicherheitsproben und CVE-Checks — alles in einem automatisierten Scan mit strukturiertem Bericht.
Diese Checks laufen bei jedem Scan — ab dem kostenlosen Free-Plan.
TLS 1.0–1.3 Protokollversion, Zertifikats-Ablaufdatum, HSTS-Header, autorisiertes Zertifikat
Content-Security-Policy, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
Secure-Flag, HttpOnly-Flag, SameSite-Attribut, Tracking-Cookies vor Consent
API-Keys, Passwörter und Tokens im Quellcode; hardcodierte Zugangsdaten in JS-Dateien
Subresource Integrity für externe Skripte; verhindert CDN-basierte Supply-Chain-Angriffe
HTTP-Ressourcen auf HTTPS-Seiten; Browser-Warnungen und Sicherheitsrisiken
Prüfung aller Server-IPs (IPv4 & IPv6) gegen 6 Blocklisten: Spamhaus, CBL, SpamCop, Barracuda, SORBS, abuse.ch
Missbrauchs-Score, Meldungshistorie und ISP-Einordnung. Erkennt kompromittierte Server und Malware-IPs.
URIBL und Spamhaus DBL: Prüfung ob die Domain in URI-Blocklisten eingetragen ist
Gezielte, passive Probes — ab Professional-Plan. Kein aggressives Fuzzing, nur gezielte Einzeltests.
Diese Probes sind bewusst nicht-destruktiv und senden gezielte Einzeltests (keine Brute-Force). Sie testen, ob Ihre Website grundlegende Angriffsvektoren abwehrt.
Testet ob Eingaben ungefiltert reflektiert werden; häufigster Angriffsvektor in Webapps
Basis-SQLi-Probe auf Formularfelder und URL-Parameter; erkennt ungeschützte DB-Abfragen
MongoDB/Redis-spezifische Injection-Muster; oft in modernen Webapps übersehen
Prüft ob Weiterleitungen auf externe Domains möglich sind; Phishing-Vektor
Admin-Panels, .env-Dateien, Backup-Dateien, xmlrpc.php; häufig vergessene Einfallstore
PUT, DELETE, TRACE, CONNECT; oft unnötig aktiviert auf Webservern
Verwaiste DNS-Einträge die auf nicht mehr existierende Dienste zeigen
Unsichere CORS-Policies die Cross-Origin-Requests erlauben
GraphQL Introspection offen, Swagger/OpenAPI-Endpunkte exponiert
urbanaudits erkennt automatisch das verwendete Content-Management-System Ihrer Website — darunter WordPress, Drupal, Joomla, TYPO3, Shopify, Contao und viele weitere. Anschließend werden erkannte Versionen direkt mit unserer täglich aktualisierten CVE-Datenbank abgeglichen, um bekannte Schwachstellen sofort sichtbar zu machen.
CMS-Versionen im Quellcode sind ein häufiger Angriffspunkt. Laut Sucuri werden 94 % aller gehackten WordPress-Sites durch veraltete Plugins und Core-Versionen kompromittiert.
Umfassende Prüfung der DNS-Konfiguration, E-Mail-Authentifizierung und IP-Reputation. Erkennt kompromittierte Server, Blocklisten-Einträge und falsch konfigurierte E-Mail-Infrastruktur.
Kompromittierte Server sind oft selbst das Problem. WordPress-Installationen mit Malware versenden Spam und landen auf Blocklisten — das schadet der gesamten Domain-Reputation und Zustellbarkeit aller E-Mails.
Ja. Sie führen einen Scan auf Ihrer eigenen Website oder im Auftrag eines Kunden durch. Durch die Nutzung von urbanaudits bestätigen Sie, dass Sie die Berechtigung besitzen, die geprüfte Domain zu scannen. Unsere aktiven Probes sind bewusst nicht-destruktiv, senden keine Brute-Force-Anfragen und entsprechen dem, was ein normaler Browser-Besuch auslöst — ergänzt um gezielte Einzeltests auf bekannte Angriffsvektoren.
Nein. Unsere Scans sind auf minimale Last ausgelegt und senden nur so viele Anfragen wie nötig. Ein vollständiger Security-Scan ist in der Regel in unter 60 Sekunden abgeschlossen und erzeugt keine messbare Zusatzlast auf Ihrem Server.
Ein manueller Penetrationstest ist aufwändig, teuer und einmalig. urbanaudits ist ein automatisierter, kontinuierlicher Scan, der in Sekunden läuft und regelmäßig wiederholt werden kann. Wir decken die häufigsten Schwachstellenklassen ab und liefern strukturierte Berichte — sind aber kein Ersatz für einen tiefgehenden, manuellen Pentest bei sicherheitskritischen Systemen.
Unsere CVE-Datenbank wird täglich mit Einträgen aus dem NVD (National Vulnerability Database) und weiteren Quellen synchronisiert. Neue kritische Schwachstellen — insbesondere für WordPress-Plugins und verbreitete CMS — werden in der Regel innerhalb von 24 Stunden erfasst.
Der Bericht enthält: eine Übersichts-Scorecard (A–F), eine priorisierte Liste aller gefundenen Probleme nach Schweregrad (kritisch, hoch, mittel, niedrig), konkrete Handlungsempfehlungen und — im Professional-Plan — eine KI-gestützte Zusammenfassung sowie einen PDF-Download zum Weitergeben an Kunden oder Entwickler.