SecurityScan
Sicherheits-Monitoring für Ihre Webseite

Erkennt verwundbare CMS-, Plugin- und Framework-Versionen, bevor Angreifer es tun

SecurityScan analysiert Ihre Webseite anhand von HTTP-Headern, Cookies und geladenen Skripten, erkennt automatisch das eingesetzte System und führt anschließend spezialisierte, nicht-destruktive Tiefen-Scans durch – inklusive Abgleich gegen die NVD- und OSV-CVE-Datenbanken. Sie erhalten regelmäßige Reports per E-Mail mit klaren Handlungsempfehlungen.

Jetzt starten Zur WebsiteSuite

In vier Schritten zum sicheren Web

Vollautomatisch, ohne dass Sie etwas an Ihrer Webseite ändern müssen

Domain anlegen

Sie tragen Ihre Domain ein und wählen, wie wir Ihre Berechtigung prüfen sollen: per E-Mail an info@, webmaster@ oder hostmaster@, per DNS-TXT-Eintrag oder über eine .well-known-Datei.

Berechtigung bestätigen

Bestätigung per Klick im verschickten E-Mail-Link bzw. automatischer Prüfung des DNS-Eintrags oder der hinterlegten Datei. Das verhindert zuverlässig, dass jemand fremde Webseiten ohne Erlaubnis scannen kann.

Fingerprint & Tiefenscan

Erkennt CMS, Frameworks, JavaScript-Bibliotheken, TLS-Konfiguration, Sicherheits-Header und Cookies. Bei erkannten Systemen folgen spezialisierte, passive Scans via wpscan, MageScan, droopescan, joomscan, typo3scan & testssl.sh.

Report per E-Mail

Sie erhalten einen verständlichen PDF-Report mit allen Funden, CVSS-Bewertung, betroffenen Komponenten und konkreten Handlungsempfehlungen – wahlweise im Anhang oder als Link ins Dashboard.

Was SecurityScan erkennt

Fingerprinting

CMS-Erkennung ohne Login

Aus HTTP-Headern (X-Powered-By, X-Generator), typischen Cookie-Namen (wordpress_, frontend, XSRF-TOKEN), JS-Bundles wie wp-emoji-release.min.js?ver=… oder Mage.Cookies, Meta-Tags und der robots.txt ergibt sich ein präziser Fingerprint Ihres Systems – inklusive Versionsnummer.

  • ✓ WordPress, WooCommerce & Plugins
  • ✓ Magento 1, Magento 2, Adobe Commerce
  • ✓ TYPO3, Drupal, Joomla, Shopware, Contao
  • ✓ JS-Libraries (jQuery, React, Vue …) mit Version
  • ✓ TLS-/HSTS-/CSP-/Cookie-Konfiguration
// Auszug aus Fingerprint
cms: 'wordpress'
cms_version: '6.4.1'
php_via_header: '8.1.27'
tls_protocol: 'TLS 1.3'
hsts: 'missing'
xfo: 'missing'
// folgt: wpscan-Tiefenscan
wpscan --enumerate vp,vt,u
→ CVE-Match gegen NVD + OSV
CVE-Abgleich

Bekannte Lücken finden, bevor sie ausgenutzt werden

Erkannte Komponenten und Versionen werden täglich gegen lokale Snapshots der National Vulnerability Database (NVD) und OSV.dev abgeglichen. Sie erfahren, welche Sicherheitslücken Ihr System aktuell betreffen – inklusive CVSS-Score, Beschreibung und Hinweis auf die Fix-Version.

  • ✓ CVE-ID + CVSS-3.1-Score
  • ✓ Konkretes Update-Ziel (z. B. „WordPress ≥ 6.4.3")
  • ✓ Nur „Open"-Befunde im Report – Acknowledged & Fixed werden ausgeblendet
  • ✓ Diff zwischen Scans: nur neue Findings im Mail-Report
Beispiel-Befund
Auszug aus dem Report
Severity: critical
CVE: CVE-2024-12345
CVSS: 9.8
Komponente: WordPress Core 6.4.1
Authentifizierter SQL-Injection-Vektor in der Kommentar-API. Empfehlung: Update auf WordPress 6.4.3 oder neuer.

Niemals destruktiv

SecurityScan ist explizit darauf ausgelegt, Zielsysteme nicht zu beschädigen

🛑

Kein Brute-Force

Keine Login-Versuche, keine Passwort-Listen, keine Captcha-Umgehung. Die WordPress-Tiefenscans laufen ohne --passwords.

🚫

Keine Payloads

Keine SQL-Injection-, XSS- oder Command-Injection-Tests. Wir lesen Header, Cookies und Skripte – mehr nicht.

🐢

Geringe Last

Maximal 2 Anfragen pro Sekunde, eine Domain gleichzeitig. Ihr Webserver merkt davon praktisch nichts.

🤖

Robots.txt-konform

Wir respektieren robots.txt (außer dem /.well-known-Pfad) und verwenden einen klar erkennbaren User-Agent.

🕒

Geplantes Scan-Fenster

Standardmäßig nachts (02:00–05:00 Uhr lokale Zeit). So fallen Ihre Lastspitzen nicht mit unseren Scans zusammen.

📨

Pflicht-Verifizierung

Ohne nachgewiesene Berechtigung (Mail / DNS / Datei) startet kein einziger Scan. Vollständiges Audit-Log aller Verifizierungsversuche.

Faire, transparente Preise

Pro überwachter Domain abgerechnet – ohne überraschende Add-on-Kosten

Standard-Tarif

5,00 € / Monat / Domain

+ 0,10 € pro Scan – keine Mindestlaufzeit

  • Wöchentlicher automatischer Scan inklusive (4 Scans = 0,40 €)
  • On-Demand-Scans jederzeit möglich (je 0,10 €)
  • Mail-Report mit PDF-Anhang oder Dashboard-Link – pro Domain wählbar
  • Severity-Filter: nur kritisch / hoch / mittel / niedrig wahlweise per Mail
  • Tägliche Aktualisierung der CVE-Datenbank (NVD + OSV)
  • Beliebig viele Domains pro Konto, einzeln deaktivierbar
Jetzt registrieren & erste Domain scannen

Häufige Fragen

Kann ich auch fremde Domains scannen?

Nein. Pro Domain muss zwingend ein Berechtigungsnachweis erbracht werden – per Mail an info@/webmaster@/hostmaster@ der Domain, per DNS-TXT-Eintrag oder per .well-known-Datei. Erst danach beginnen Scans.

Wird mein Server durch die Scans belastet?

Praktisch nicht. SecurityScan arbeitet ausschließlich passiv mit max. 2 Anfragen pro Sekunde und führt keinerlei Brute-Force-, Injection- oder Lasttests durch.

Was passiert, wenn ein kritischer Befund auftaucht?

Sie bekommen sofort eine Mail – sofern der Schweregrad über Ihrem persönlichen Schwellwert liegt (Standard: ab „medium"). Im Dashboard können Sie Befunde als „behoben", „akzeptiert" oder „Falsch-Positiv" markieren.

Kann ich kündigen?

Ja, jederzeit zum Monatsende über das Modul-Management. Bereits durchgeführte Scans werden mit dem letzten Monat noch abgerechnet, danach fallen keine weiteren Kosten an.

Sicherheitslücken finden, bevor andere es tun

5 €/Monat pro Domain + 10 ct pro Scan – ohne Mindestlaufzeit

Jetzt kostenlos registrieren