security.txt für Apache einrichten

security.txt auf Apache bereitstellen: .htaccess-RewriteRule für .well-known-Zugriff, Content-Type Header korrekt setzen — funktioniert auch auf Shared Hosting.

security.txt prüfen Plattform entdecken
Apache · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 18. März 2026

security.txt auf Apache

Apache liefert statische Dateien direkt aus dem Webroot — die Hauptherausforderung bei der security.txt (RFC 9116) besteht darin, sicherzustellen, dass .well-known nicht durch bestehende Rewrite-Regeln blockiert wird. Eine RewriteRule mit dem [L]-Flag sorgt dafür, dass Requests an /.well-known/ sofort durchgelassen werden, bevor CMS-Rewrites greifen.

Diese Anleitung funktioniert auf jedem Apache-basierten Hosting, einschließlich Shared-Hosting-Paketen. In drei Schritten ist Ihre security.txt einsatzbereit. Der Wolf-Agents Web Security Check prüft security.txt automatisch als Teil der 166 Prüfpunkte — scannen Sie Ihre Domain, um die Erreichbarkeit zu verifizieren.

Ausführliche Einführung in security.txt

1 Schritt 1 von 3

security.txt erstellen

Erstellen Sie das Verzeichnis .well-known im Webroot und legen Sie die security.txt mit den Pflichtfeldern Contact und Expires an.

.well-known/security.txt 
Contact: mailto:security@ihre-domain.de
Expires: 2027-01-31T23:59:59.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt
2 Schritt 2 von 3

.htaccess konfigurieren

Stellen Sie sicher, dass .well-known nicht durch Rewrite-Regeln Ihres CMS oder Frameworks blockiert wird. Fügen Sie die RewriteRule vor den CMS-eigenen Regeln ein. Setzen Sie zusätzlich den Content-Type Header.

.htaccess RewriteRule 
# .well-known-Zugriff erlauben (VOR CMS-Regeln einfügen)
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^\.well-known/ - [L]
</IfModule>
.htaccess Content-Type 
# Korrekten Content-Type setzen
<Files "security.txt">
    Header set Content-Type "text/plain; charset=utf-8"
</Files>
Warum [L]-Flag?

Das [L]-Flag (Last) stoppt die Rewrite-Verarbeitung. Ohne dieses Flag koennten nachfolgende Regeln den Request umleiten — z.B. an index.php eines CMS.

3 Schritt 3 von 3

Ergebnis verifizieren

Prüfen Sie, ob die security.txt korrekt ausgeliefert wird. Der Status-Code muss 200 sein und der Content-Type text/plain.

Terminal 
# Header prüfen
curl -I https://ihre-domain.de/.well-known/security.txt

# Inhalt anzeigen
curl https://ihre-domain.de/.well-known/security.txt
Validieren Sie Ihre security.txt zusätzlich unter securitytxt.org — der offizielle Validator prüft alle Pflichtfelder und das Expires-Format.

Auch verfügbar für:

NginxWordPressNext.jsCloudflareExpressCaddy

Wie steht Ihre Domain bei security.txt?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Warum brauche ich eine RewriteRule für .well-known?

Viele CMS und Frameworks leiten alle Requests über index.php oder eine zentrale Datei um. Die RewriteRule mit [L]-Flag stellt sicher, dass Requests an /.well-known/ direkt an die statische Datei gehen und nicht vom CMS abgefangen werden.

Funktioniert die Anleitung auch auf Shared Hosting?

Ja. Die .htaccess-Konfiguration funktioniert auf jedem Apache-basierten Hosting mit mod_rewrite — auch auf Shared-Hosting-Paketen bei Anbietern wie All-Inkl, IONOS oder Strato.

Muss ich mod_headers aktivieren?

mod_headers wird nur für den expliziten Content-Type-Header benötigt. Die meisten Apache-Installationen liefern .txt-Dateien bereits automatisch als text/plain aus. Der Header ist eine zusätzliche Absicherung.