security.txt auf IONOS einrichten

Kontaktdatei für Sicherheitsforscher auf Ihrem IONOS Webhosting bereitstellen — per FTP oder Dateimanager unter .well-known/ hochladen.

security.txt prüfen Plattform entdecken

IONOS · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 27. März 2026

security.txt auf IONOS

security.txt (RFC 9116) ist eine standardisierte Kontaktdatei, über die Sicherheitsforscher Schwachstellen melden können. Die Datei liegt unter /.well-known/security.txt und enthält mindestens eine Kontaktadresse und ein Ablaufdatum. Der Beitrag ist 2 von 166 Punkten im Wolf-Agents Web Security Check.

Auf IONOS Shared Hosting erstellen Sie die Datei lokal und laden sie per FTP oder über den IONOS Dateimanager hoch. Erstellen Sie den Ordner .well-known im Webroot (/www/htdocs/) und legen Sie die Datei security.txt darin ab.

Der Wolf-Agents Web Security Check prüft automatisch, ob eine gültige security.txt unter /.well-known/security.txt erreichbar ist, ob die Pflichtfelder Contact und Expires vorhanden sind und ob das Ablaufdatum noch gültig ist. Diese Prüfung funktioniert auf allen IONOS-Tarifen — Shared Hosting, WordPress Hosting und vServer.

Ausführliche Einführung in security.txt

security.txt auf IONOS erstellen

Erstellen Sie die Datei mit den Pflichtfeldern Contact und Expires. Laden Sie sie in den Ordner .well-known/ im Webroot Ihres IONOS-Pakets hoch. Auf IONOS Shared Hosting liegt der Webroot unter /www/htdocs/ — erstellen Sie dort den Ordner .well-known und legen Sie die Datei security.txt darin ab.

security.txt

# .well-known/security.txt
Contact: mailto:security@ihre-domain.de
Expires: 2027-03-27T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt
Policy: https://ihre-domain.de/security-policy

.htaccess — Zugriff erlauben

# .htaccess — Zugriff auf .well-known erlauben
# (nur nötig, wenn .well-known von einem CMS blockiert wird)
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^.well-known/ - [L]
</IfModule>

Expires-Datum aktuell halten

Das Expires-Feld ist seit RFC 9116 Pflicht. Setzen Sie das Datum maximal 1 Jahr in die Zukunft und erneuern Sie es regelmäßig.

Verifizierung

Prüfen Sie, ob die Datei öffentlich erreichbar ist. Die Antwort muss den Inhalt der security.txt zeigen — nicht eine IONOS-Fehlerseite oder eine CMS-404-Seite.

Tipp: Prüfen Sie auch den HTTP-Statuscode mit curl -sI https://ihre-domain.de/.well-known/security.txt. Die Antwort muss 200 OK sein — ein 301 oder 404 deutet auf ein Konfigurationsproblem hin.

# security.txt prüfen
curl https://ihre-domain.de/.well-known/security.txt

# Erwartete Ausgabe: Inhalt der security.txt-Datei
# Contact: mailto:security@ihre-domain.de
# Expires: 2027-03-27T00:00:00.000Z

Häufige Fehler bei security.txt auf IONOS

Die häufigsten Probleme auf IONOS betreffen die Erreichbarkeit der Datei und die korrekte Verzeichnisstruktur im Webroot. Besonders bei CMS-Installationen wie WordPress kann der .well-known-Ordner blockiert werden. Prüfen Sie die Erreichbarkeit immer mit curl von einem externen Rechner.

.well-known-Ordner wird von CMS blockiert

WordPress und andere CMS können Anfragen an .well-known/ abfangen und einen 404 zurückgeben. Ergänzen Sie die RewriteRule-Ausnahme in der .htaccess.

Ordner mit Punkt nicht sichtbar im FTP

Der Ordner .well-known beginnt mit einem Punkt und ist in FTP-Clients standardmäßig versteckt. Aktivieren Sie die Anzeige versteckter Dateien (FileZilla: Server > Versteckte Dateien anzeigen).

Expires-Datum abgelaufen

Eine abgelaufene security.txt ist ungültig. Richten Sie eine jährliche Erinnerung ein, um das Datum zu aktualisieren. Der Wolf-Agents Scanner warnt automatisch bei abgelaufenen Dateien.

Datei im falschen Verzeichnis hochgeladen

Die Datei muss unter /www/htdocs/.well-known/security.txt liegen. Ein häufiger Fehler ist das Hochladen in ein Unterverzeichnis wie /www/htdocs/website/.well-known/. Prüfen Sie den Webroot Ihres IONOS-Pakets im Control Panel.

Compliance-Relevanz

security.txt erleichtert die koordinierte Offenlegung von Sicherheitslücken und bietet Sicherheitsforschern einen standardisierten Kontaktweg. Die Datei ist in wenigen Minuten erstellt und erfordert keine technischen Vorkenntnisse.

NIS2Art. 21(e) — Richtlinien für die koordinierte Offenlegung von Schwachstellen

BSIBSI-Empfehlung — Responsible Disclosure Policy bereitstellen

ISO 27001A.6.1.3 — Kontakt zu Behörden und Sicherheitsforschern

Zusammenfassung

security.txt ist eine einfache Textdatei, die Sie in wenigen Minuten erstellen und auf Ihrem IONOS Webhosting bereitstellen können. Erstellen Sie den Ordner .well-known unter /www/htdocs/, laden Sie die Datei per FTP hoch und prüfen Sie die Erreichbarkeit mit curl. Erneuern Sie das Expires-Datum jährlich.

Der Wolf-Agents Scanner prüft automatisch, ob Ihre security.txt erreichbar und gültig ist. Mit dem kontinuierlichen Monitoring werden Sie benachrichtigt, wenn das Ablaufdatum naht — so bleibt die Datei immer aktuell.

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify TYPO3 Hetzner Laravel Drupal All-Inkl Shopware Contao Strato Joomla PHP Spring Boot

Wie steht Ihre Domain bei security.txt?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo