security.txt für TYPO3 konfigurieren
security.txt für TYPO3 einrichten: Datei unter .well-known/ mit RewriteRule-Ausnahme für TYPO3s .htaccess-Routing.
security.txt in TYPO3
security.txt (RFC 9116) ist eine standardisierte Kontaktdatei für Sicherheitsforscher unter /.well-known/security.txt. Der Header ist mit 2 von 166 Punkten im Wolf-Agents Web Security Check bewertet. In TYPO3 müssen Sie eine RewriteRule-Ausnahme in der .htaccess anlegen, da TYPO3 standardmäßig alle Anfragen an index.php weiterleitet.
security.txt in TYPO3 konfigurieren
Konfigurieren Sie den Header per TypoScript oder in der PSR-15 Middleware aus dem Architektur-Kapitel.
# public/.well-known/security.txt
Contact: mailto:security@ihre-domain.de
Expires: 2027-12-31T23:59:59.000Z
Preferred-Languages: de, en
# .htaccess — VOR der TYPO3-Haupt-RewriteRule
<IfModule mod_rewrite.c>
RewriteEngine On
# .well-known-Dateien direkt ausliefern
RewriteRule ^.well-known/ - [L]
</IfModule>Header verifizieren
Leeren Sie den TYPO3-Cache und prüfen Sie den Header.
# Cache leeren und Header prüfen
vendor/bin/typo3 cache:flush
curl -s https://ihre-domain.de/.well-known/security.txtHäufige Fehler
404 statt security.txt
Ohne die RewriteRule-Ausnahme fängt TYPO3 die Anfrage ab und liefert eine 404-Seite. Die RewriteRule muss VOR dem Standard-TYPO3-Rewrite stehen.
Expires abgelaufen
Das Expires-Feld muss in der Zukunft liegen. Setzen Sie einen Reminder, um die Datei vor Ablauf zu aktualisieren. Ein abgelaufenes Expires-Datum wird vom Wolf-Agents Web Security Check als Warnung gemeldet.
Compliance-Relevanz
security.txt ist Teil der ISO 29147 (Vulnerability Disclosure) und wird von NIS2 als koordinierter Offenlegungsprozess empfohlen. Der Wolf-Agents Web Security Check prüft Vorhandensein, gültige Felder und Expires-Datum.
Wie steht Ihre Domain bei security.txt?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.