Security audit.
A structured review of configuration, code, users, hosting, and process, with a prioritised fix list.
Nimmt Anfragen an
Audit vs. Pentest
Structured review.
Ein Audit misst deine Seite an einer Checkliste bekannter Best Practices. Es findet, was offensichtlich nicht stimmt: veraltete Plugins, schwache Passwörter, fehlende 2FA, exponierte Debug-Endpoints, Hosting auf Shared Infrastructure ohne saubere Isolation.
It's a great fit for: annual reviews, insurer requirements, due diligence before an acquisition, and "we built this two years ago and never looked back" sites.
Wann das passt
- Du willst eine strukturierte Einschätzung der Gesamt-Sicherheitslage deiner Seite.
- Ein Versicherer oder Kunde verlangt eine jährliche Prüfung.
- Du hast eine Seite geerbt und musst ihren Zustand kennen, bevor du sie anfasst.
- Du erwägst, eine WordPress-Seite zu kaufen oder zu verkaufen, und willst Due Diligence.
Die Checkliste
Sieben Schichten, durchgängig.
WordPress-Malware.
Version, Update-Kanal, modifizierte Core-Dateien, entfallene Features, veraltete Muster im aktiven Einsatz.
Plugin-Landschaft
Jedes installierte Plugin geprüft auf: Versionsaktualität, bekannte CVEs, Maintainer-Aktivität, Eigentümerwechsel und ob du es wirklich brauchst.
Theme-Code
Active theme reviewed for unsafe template patterns, inline scripts, third-party dependencies, and any code added "just for now" two years ago.
Nutzer & Rollen
Admin-Konten, ruhende Nutzer, Rollenzuweisungen, Passwort-Richtlinie, 2FA-Verbreitung, Session-Lifecycle und was jede Rolle tatsächlich kann.
Konfiguration
wp-config, Dateiberechtigungen, Secret-Rotation, XML-RPC, REST-API und Reduktion der Login-Oberfläche.
Hosting & TLS
Webserver-Konfiguration, PHP-Version, TLS-Konfiguration, Security-Header, DNS-Hygiene, Zertifikatsverwaltung, Isolation von Nachbarn im Shared Hosting.
Backups
Backup-Strategie (und ob sie tatsächlich wiederherstellt), Deploy-Prozess, wer worauf Zugriff hat, Incident-Response-Bereitschaft.
WooCommerce- oder Multisite-Schicht
Für Shops oder Netzwerke: Prüfung der Zahlungs-Oberfläche, Bestelldaten-Exposition, Kunden-Konto-Flow, Trennung Network- vs. Site-Admin.
So funktioniert es
Step by step.
- Schritt 1
Kickoff
Halbstündiges Gespräch. Scope-Bestätigung und Zugangsübergabe.
- Schritt 2
Walk-Through
Die sieben Schichten durcharbeiten. Befunde laufend protokolliert.
- Schritt 3
Entwurfs-Review
Zwischenstand mitten im Auftrag. Keine Überraschungen am Ende.
- Schritt 4
Bericht & Debriefing
Finaler schriftlicher Bericht und 30-minütiges Gespräch.
Ergebnis
The report.
Klartext, priorisiert und so strukturiert, dass Entwickler und Versicherer ihn ohne Übersetzer lesen können.
Bitte enthalten:
- Executive Summary (eine Seite, für nicht-technische Leser geeignet)
- Befunde nach Schweregrad, jeweils mit Reproduktionsschritten und empfohlener Behebung
- Triage von Plugin- und Theme-Schwachstellen
- A prioritised "this week / this month / this quarter" action list
- Konfigurations-Snapshots und empfohlene Änderungen
Häufig gefragt
Häufige Fragen.
Behebt ihr die Befunde oder wir?
Die Audit-Gebühr deckt Identifikation und Berichterstattung ab. Die Behebung ist ein separater Auftrag — wir können das übernehmen, oder du gibst den Bericht deinen Entwicklern. Die meisten Kunden machen einen Mix.
Fängt ein Audit alles ab, was ein Pentest fände?
Nein. Ein Audit erfasst Fehlkonfigurationen und bekannte Probleme. Ein Pentest erfasst die Bugs, von denen niemand wusste. Sie ergänzen sich — die meisten Kunden machen zuerst ein Audit und dann einen Pentest, wenn die Audit-Befunde erledigt sind.
Wie oft sollten wir eines machen?
Für eine stabile Seite: einmal jährlich. Nach einer größeren Änderung (neues Theme, großer Plugin-Wechsel, Migration, Übernahme): direkt danach. Nach einem Vorfall: als Teil der Bereinigung, nicht separat.
E-Mail [email protected] or use the contact form.