10 neue Audit-Tests: Sicherheit, Datenschutz, SEO & Barrierefreiheit
Orilyt steigt von 47 auf 57 Tests — mit besonderem Fokus auf Google Fonts und Datenschutz.
- Orilyt führt jetzt 57 automatisierte Tests durch — 10 mehr als zuvor, die kritische blinde Flecken abdecken
- Google Fonts-Laden wird jetzt sowohl für DSGVO-Konformität als auch für Performance-Auswirkungen markiert
- Neue Tests umfassen 4 Kategorien: Sicherheit, SEO, Recht/Datenschutz und Benutzererfahrung
Als wir Orilyt starteten, führte die Audit-Engine 47 Tests durch. Das war bereits umfassend — Performance, Sicherheit, SEO, UX und rechtliche Compliance waren abgedeckt.
Aber das Web entwickelt sich schnell. Neue Datenschutzvorschriften, neue Angriffsvektoren, neue Best Practices. Bei 47 zu bleiben bedeutete, Lücken zu lassen, die Kunden bemerken würden.
Heute führt Orilyt 57 Tests durch. Hier sind die 10 neuen Prüfungen, die wir hinzugefügt haben — und warum jede einzelne wichtig ist.
Die 10 neuen Tests im Überblick
Prüft auf öffentlich zugängliche Dateien, die niemals exponiert sein sollten: .env, .git/config, wp-config-Backups, Datenbank-Dumps, Debug-Logs. Eine einzige exponierte Datei kann Zugangsdaten, API-Schlüssel oder Datenbankpasswörter preisgeben.
Überprüft, ob Cookies mit Secure-, HttpOnly- und SameSite-Flags gesetzt sind. Fehlende Flags machen Benutzer anfällig für Session-Hijacking, XSS-basierten Diebstahl und Cross-Site Request Forgery.
Erkennt fehlende oder falsch konfigurierte Canonical-Tags, die Suchmaschinen dazu bringen, mehrere Versionen derselben Seite zu indexieren. Doppelte Inhalte verwässern Ranking-Signale und verschwenden Crawl-Budget.
Scannt nach Drittanbieter-Trackern, die vor der Einwilligung laden: Google Analytics, Facebook Pixel, Werbeskripte. Tracker ohne Einwilligung zu laden verstößt gegen die DSGVO und kann Bußgelder von bis zu 4 % des Jahresumsatzes nach sich ziehen.
Überprüft, ob HTTP-Anfragen korrekt zu HTTPS weitergeleitet werden. Eine fehlende Weiterleitung bedeutet, dass einige Besucher die Seite über eine unverschlüsselte Verbindung aufrufen und Daten im Transit exponieren.
Erkennt, ob die Website Schriftarten vom Google-CDN (fonts.googleapis.com) lädt, wobei Besucher-IP-Adressen ohne Einwilligung an Google übertragen werden. Misst auch die Performance-Auswirkungen des Remote-Schriftartenladens.
Prüft wesentliche WCAG-Konformität: lang-Attribut auf HTML, Skip-Navigation-Links, Formular-Labels, ARIA-Landmarks und Fokus-Indikatoren. Dies sind die Mindestanforderungen für Benutzer mit Behinderungen.
Validiert, dass eine XML-Sitemap existiert und in robots.txt referenziert wird, dass robots.txt nicht versehentlich wichtige Seiten blockiert und dass die Sitemap gültige URLs enthält.
Prüft, ob externe Skripte und Stylesheets Integrity-Attribute verwenden. Ohne SRI könnte ein kompromittiertes CDN schädlichen Code in Ihre Website einschleusen, ohne erkannt zu werden.
Erkennt, ob ein Cookie-Consent-Banner oder eine CMP (Consent Management Platform) implementiert ist. Ohne eine solche ist jede Website, die Cookies oder Tracker verwendet, nicht konform mit DSGVO, ePrivacy und ähnlichen Vorschriften.
Fokus: Warum Google Fonts ein Datenschutz- und Performance-Problem ist
Von den 10 neuen Tests verdient #53 besondere Aufmerksamkeit. Google Fonts wird auf über 50 Millionen Websites verwendet. Die meisten Entwickler halten es für harmlos — nur ein Stylesheet-Link. Aber es gibt zwei ernsthafte Probleme.
Das Datenschutzproblem
Wenn ein Besucher eine Seite lädt, die Google Fonts über das CDN nutzt, sendet sein Browser eine Anfrage an fonts.googleapis.com. Diese Anfrage enthält seine IP-Adresse, den User Agent, den Referrer und andere Metadaten.
Seitdem wurden tausende ähnliche Beschwerden in ganz Europa eingereicht. Das Urteil ist eindeutig: Das Laden jeglicher Ressource von Googles Servern ohne Einwilligung ist eine Datenübermittlung an einen Dritten.
Das Performance-Problem
Remote-Schriftartenladen fügt DNS-Auflösungen, TLS-Handshakes und Render-blockierende Anfragen hinzu. Auf mobilen Verbindungen kann dies den First Contentful Paint um 200-500 ms verzögern.
Selbst-gehostete Schriftarten eliminieren diese externen Anfragen und geben Ihnen die Kontrolle über Caching, Subsetting und font-display-Strategie.
Wie Sie es beheben
Die Lösung ist einfach: Laden Sie die Schriftdateien herunter, hosten Sie sie auf Ihrem eigenen Server und referenzieren Sie sie mit lokalen @font-face-Deklarationen. Tools wie google-webfonts-helper machen das einfach.
Orilyts Test #53 erkennt die Nutzung des Google Fonts CDN und markiert es mit einer Datenschutzwarnung und einer Performance-Empfehlung.
Was das für Freelancer und Agenturen bedeutet
- Wenn Sie Kunden-Websites auditieren, geben Ihnen diese 10 neuen Tests mehr Argumente. Datenschutzprobleme wie Google Fonts oder fehlende Consent-Banner sind konkrete, umsetzbare Befunde, die Kunden sofort verstehen.
- Sicherheitslücken wie exponierte .env-Dateien oder fehlende Cookie-Flags sind nicht theoretisch — es sind reale Schwachstellen, die heute ausgenutzt werden können.
- Und SEO-Probleme wie doppelte Inhalte oder falsch konfigurierte Sitemaps wirken sich direkt auf das Suchranking aus — etwas, das jeden Kunden interessiert.
- Mit 57 Tests deckt ein Orilyt-Audit jetzt mehr ab als die meisten manuellen Checklisten. Das bedeutet weniger Zeit beim Auditieren, mehr Zeit beim Beraten.
Von 47 auf 57: Jeder Test hat einen Grund
Wir haben diese Tests nicht der Zahl wegen hinzugefügt. Jeder einzelne adressiert eine reale Lücke, die wir beim Auditieren hunderter Websites identifiziert haben.
Datenschutz ist nicht mehr optional. Sicherheitsgrundlagen werden immer noch verfehlt. SEO-Grundlagen sind auf Produktionsseiten immer noch kaputt. Und Barrierefreiheit ist immer noch ein Nachgedanke.
Diese 10 Tests helfen Ihnen, das zu erkennen, was andere übersehen — und es so zu präsentieren, dass Ihre Kunden handeln können.