security.txt für LiteSpeed konfigurieren

Schritt-für-Schritt-Anleitung: security.txt nach RFC 9116 auf LiteSpeed einrichten — Datei anlegen, RewriteRule-Ausnahmen und Verifizierung.

security.txt prüfen Plattform entdecken
LiteSpeed · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 29. März 2026

security.txt auf LiteSpeed

security.txt (RFC 9116) ist eine standardisierte Kontaktdatei unter /.well-known/security.txt. Sicherheitsforscher nutzen diese Datei, um Schwachstellen verantwortungsvoll zu melden (Responsible Disclosure). Ohne security.txt landen Reports oft bei der falschen Stelle oder gehen komplett verloren — eine vertane Chance, kritische Sicherheitslecks früh zu erfahren.

Auf LiteSpeed beachten Sie zwei Besonderheiten: RewriteRules in der .htaccess können den .well-known-Pfad umschreiben (Framework-Router), und LiteSpeed cached .htaccess-Dateien. Stellen Sie eine RewriteRule-Ausnahme sicher und führen Sie einen Graceful Restart durch. Der Wolf-Agents Web Security Check prüft die Existenz und bewertet sie mit 2 von 166 Punkten.

Ausführliche Einführung in security.txt

1 Schritt 1 von 3

security.txt erstellen

Erstellen Sie die Datei unter .well-known/security.txt im Document Root. Die Pflichtfelder sind Contact: und Expires: (RFC 9116). Verwenden Sie eine Mailto-Adresse für den Contact und setzen Sie das Expires-Datum maximal ein Jahr in die Zukunft.

.well-known/security.txt RFC 9116 
# .well-known/security.txt — RFC 9116
Contact: mailto:security@ihre-domain.de
Expires: 2027-03-29T00:00:00.000Z
Preferred-Languages: de, en
Canonical: https://ihre-domain.de/.well-known/security.txt
Policy: https://ihre-domain.de/security-policy

# Optional: PGP-Schlüssel
Encryption: https://ihre-domain.de/.well-known/pgp-key.txt

# Optional: Hiring-Link für Security-Researcher
# Hiring: https://ihre-domain.de/jobs
2 Schritt 2 von 3

RewriteRule-Ausnahme in .htaccess

Wenn Ihre .htaccess alle Requests umleitet (Framework-Router wie WordPress, Laravel, Shopware), müssen Sie .well-known/ explizit ausschließen. Setzen Sie die RewriteRule-Ausnahme vor allen anderen RewriteRules. Auf LiteSpeed müssen Sie nach der Änderung einen Graceful Restart durchführen.

.htaccess RewriteRule 
# .htaccess — RewriteRule-Ausnahme für .well-known
<IfModule mod_rewrite.c>
    RewriteEngine On

    # .well-known NICHT umschreiben (wichtig für security.txt)
    RewriteRule ^.well-known/ - [L]

    # Restliche RewriteRules hier...
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule ^(.*)$ index.php [L]
</IfModule>

# Content-Type für .txt-Dateien sicherstellen
<IfModule mod_headers.c>
    <FilesMatch "security\.txt$">
        Header always set Content-Type "text/plain; charset=utf-8"
    </FilesMatch>
</IfModule>
3 Alternative: vhconf.conf

Virtual-Host-Konfiguration

Auf eigenen Servern können Sie den .well-known-Pfad in der vhconf.conf als eigenen Context konfigurieren. Die Web Admin Console (Port 7080) bietet das gleiche unter Virtual Hosts > [vhost] > Context. Dies ist die zuverlässigste Methode, da sie unabhängig von .htaccess-Regeln funktioniert.

vhconf.conf Eigener Server 
# /usr/local/lsws/conf/vhosts/example/vhconf.conf
# Context für .well-known/ sicherstellen

context /.well-known/ {
  type                    NULL
  location                $DOC_ROOT/.well-known/

  extraHeaders {
    Header always set Content-Type "text/plain; charset=utf-8"
    Header always set X-Content-Type-Options "nosniff"
  }
}

# Web Admin Console Pfad:
# Server Config > Virtual Hosts > [vhost] > Context
# URI: /.well-known/ > Accessible: Yes
Expires-Datum nicht vergessen

RFC 9116 fordert ein gültiges Expires:-Datum. Setzen Sie einen Kalender-Reminder, um die Datei jaehrlich zu aktualisieren. Ein abgelaufenes Expires-Datum signalisiert Sicherheitsforschern, dass die Datei möglicherweise nicht mehr gepflegt wird.

Konfiguration testen und verifizieren

Prüfen Sie, ob die Datei über HTTPS erreichbar ist und den korrekten Content-Type liefert. Stellen Sie sicher, dass kein Redirect stattfindet — die Datei muss direkt unter dem .well-known-Pfad ausgeliefert werden. Der Wolf-Agents Web Security Check verifiziert die security.txt automatisch.

Terminal Verifizierung 
# 1. Graceful Restart (falls .htaccess geändert)
/usr/local/lsws/bin/lswsctrl restart

# 2. security.txt Header prüfen
curl -sI https://ihre-domain.de/.well-known/security.txt

# Erwartete Ausgabe:
# HTTP/2 200
# content-type: text/plain; charset=utf-8

# 3. Inhalt prüfen
curl -s https://ihre-domain.de/.well-known/security.txt
# Sollte Contact:, Expires: und Canonical: zeigen

# 4. Redirect-Verhalten prüfen (darf kein Redirect sein)
curl -sI https://ihre-domain.de/.well-known/security.txt | grep -i location
# (Keine Ausgabe erwartet — kein Redirect)

Häufige Fehler bei security.txt auf LiteSpeed

Diese LiteSpeed-spezifischen Fehler treten bei der security.txt-Konfiguration am häufigsten auf.

RewriteRule leitet .well-known um

Framework-RewriteRules leiten alle Requests auf index.php um. Ohne Ausnahme wird security.txt nicht gefunden. Fügen Sie RewriteRule ^\.well-known/ - [L] als erste RewriteRule ein.

.htaccess cached — Ausnahme nicht aktiv

LiteSpeed cached .htaccess. Nach Änderungen an RewriteRules ist ein Graceful Restart nötig: /usr/local/lsws/bin/lswsctrl restart

Expires-Datum abgelaufen

RFC 9116 fordert ein gültiges Expires-Datum. Ein abgelaufenes Datum macht die Datei formal ungültig. Setzen Sie einen jaehrlichen Reminder zur Aktualisierung.

Falscher Content-Type

security.txt muss als text/plain; charset=utf-8 ausgeliefert werden. LiteSpeed setzt dies normalerweise automatisch für .txt-Dateien. Prüfen Sie mit curl -sI zur Sicherheit.

LSCache cached veraltete Version

Wenn LSCache aktiv ist, kann eine veraltete Version der security.txt ausgeliefert werden. Leeren Sie nach Änderungen den LSCache für den .well-known-Pfad.

Plesk/cPanel blockiert .well-known

Einige cPanel/Plesk-Konfigurationen blockieren den Zugriff auf versteckte Verzeichnisse (Punkt-Prefix). Prüfen Sie die Hosting-Panel-Einstellungen für den .well-known-Pfad.

Compliance-Relevanz

ISO 27001 (A.5.1.1) fordert dokumentierte Kontaktinformationen für Sicherheitsvorfaelle — security.txt ist der maschinenlesbare Standard dafür. NIS2 (Art. 23) verlangt Prozesse für die Meldung von Sicherheitsvorfaellen. BSI IT-Grundschutz empfiehlt eine Anlaufstelle für Sicherheitsmeldungen. DSGVO (Art. 33) erfordert schnelle Reaktion auf Datenschutzverletzungen — security.txt beschleunigt die Meldekette. Der Wolf-Agents Web Security Check bewertet security.txt mit bis zu 2 Punkten.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei security.txt?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo

Häufig gestellte Fragen

Wo lege ich security.txt auf LiteSpeed ab?

Unter .well-known/security.txt im Document Root. Der vollständige Pfad: /var/www/html/.well-known/security.txt (oder Ihr Document Root). RFC 9116 definiert diesen Pfad als Standard.

Muss ich RewriteRules für .well-known anpassen?

Ja, wenn Ihre .htaccess alle Requests auf ein Framework umleitet (z.B. WordPress, Laravel). Fügen Sie eine RewriteRule-Ausnahme hinzu, damit .well-known/ nicht umgeschrieben wird.

Cached LiteSpeed die security.txt?

Ja, wenn LSCache aktiv ist. Da security.txt selten geändert wird, ist das kein Problem. Nach einer Änderung leeren Sie LSCache oder setzen einen kurzen Cache-TTL für .well-known/.

Brauche ich eine PGP-Signatur?

RFC 9116 empfiehlt eine PGP-Signatur, sie ist aber nicht Pflicht. Für maximale Authentizität signieren Sie die Datei mit Ihrem PGP-Schlüssel und verlinken den öffentlichen Schlüssel im Encryption-Feld.