security.txt auf All-Inkl einrichten

Kontaktdatei für Sicherheitsforscher auf Ihrem All-Inkl Webhosting — .well-known-Verzeichnis per FTP erstellen und security.txt hochladen.

security.txt prüfen Plattform entdecken

All-Inkl · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

security.txt auf All-Inkl

security.txt (RFC 9116) ist eine standardisierte Kontaktdatei für Sicherheitsforscher. Sie teilt mit, an wen Sicherheitslücken gemeldet werden sollen. Ohne security.txt landen Meldungen oft in allgemeinen Kontaktformularen und gehen unter. Im Wolf-Agents Web Security Check bringt security.txt 2 von 166 Punkten.

Auf All-Inkl erstellen Sie das .well-known/-Verzeichnis per FTP oder im KAS-Dateimanager. Die Datei ist reiner Text — keine Server-Konfiguration nötig. In 10 Minuten ist alles erledigt.

Ausführliche Einführung in security.txt

security.txt auf All-Inkl erstellen

Erstellen Sie zuerst das Verzeichnis .well-known/ im Domain-Verzeichnis: /www/htdocs/[username]/[domain]/.well-known/. Per FTP-Client (z.B. FileZilla) oder über den KAS-Dateimanager. Legen Sie dann die Datei security.txt darin an.

# /www/htdocs/[username]/[domain]/.well-known/security.txt
Contact: mailto:security@ihre-domain.de
Expires: 2027-03-27T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt

# Optional: PGP-Schlüssel für verschlüsselte Meldungen
# Encryption: https://ihre-domain.de/.well-known/pgp-key.txt

# Optional: Hiring-Link für Security-Jobs
# Hiring: https://ihre-domain.de/karriere

Pflichtfelder beachten

Contact: und Expires: sind Pflichtfelder nach RFC 9116. Das Expires-Datum muss in der Zukunft liegen (maximal 1 Jahr empfohlen). Setzen Sie sich einen Kalender-Reminder, um die Datei rechtzeitig zu erneuern.

Verifizierung

Rufen Sie die security.txt direkt im Browser oder per curl ab.

# security.txt abrufen
curl https://ihre-domain.de/.well-known/security.txt

# Erwartete Ausgabe: Inhalt der security.txt
# Contact: mailto:security@ihre-domain.de
# Expires: 2027-03-27T00:00:00.000Z

Testen Sie auch den alternativen Pfad /security.txt (ohne .well-known). Einige Tools suchen dort. Bei All-Inkl können Sie einfach eine Kopie ins Hauptverzeichnis legen.

Häufige Fehler bei security.txt auf All-Inkl

.well-known per FTP erstellen — KAS zeigt Punkt-Dateien nicht

Der KAS-Dateimanager zeigt Verzeichnisse mit führendem Punkt standardmäßig nicht an. Erstellen Sie .well-known/ per FTP-Client (FileZilla, WinSCP). In FileZilla aktivieren Sie unter Server → Versteckte Dateien anzeigen erzwingen, damit .well-known nach der Erstellung sichtbar wird.

Expires-Datum abgelaufen

Ein abgelaufenes Expires:-Datum macht die security.txt laut RFC ungültig. Setzen Sie das Datum maximal 1 Jahr in die Zukunft und erneuern Sie es rechtzeitig.

CMS-Routing blockiert .well-known

WordPress und andere CMS leiten alle Anfragen über die .htaccess-Rewrite-Regeln um. Die Datei wird trotzdem direkt ausgeliefert, da Apache statische Dateien vor dem CMS-Routing bedient. Prüfen Sie im Zweifelsfall, ob die URL erreichbar ist.

Compliance-Relevanz

Eine security.txt signalisiert professionelles Vulnerability Management und wird von mehreren Frameworks empfohlen.

NIS2Art. 21(b) — Bewältigung von Sicherheitsvorfällen, koordinierte Schwachstellen-Offenlegung

BSIEmpfehlung für koordinierte Schwachstellen-Offenlegung (Coordinated Vulnerability Disclosure)

RFC 9116Internet-Standard für maschinenlesbare Sicherheitskontakt-Informationen

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify TYPO3 Hetzner Laravel Drupal IONOS Shopware Contao Strato Joomla PHP Spring Boot

Wie steht Ihre Domain bei security.txt?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo