Audit-Referenz

Alle Audit-Checks — erklärt

Alle 116 Checks die Pantra auf deiner Site laufen lässt, mit was sie messen, warum sie wichtig sind und wie du sie fixt. Für Lovable, Cursor, Bolt, v0, Replit, Windsurf, Claude Code und Base44.

Audit auf meiner Site laufen lassen So funktioniert's →

SEO

21 Checks

Meta Title

Prüft ob jede Seite einen einzigartigen, keyword-relevanten <title>-Tag zwischen 10-60 Zeichen hat.

Meta Description

Prüft ob jede Seite eine einzigartige Meta-Description zwischen 50-160 Zeichen hat.

H1-Tag

Prüft ob jede Seite genau einen H1-Tag mit dem Hauptkeyword hat.

Heading-Hierarchie

Prüft Heading-Reihenfolge — H1 → H2 → H3 ohne Sprünge.

Canonical-Tag

Prüft ob die kanonische URL korrekt gesetzt ist und auf die bevorzugte Version zeigt.

Meta Robots

Prüft auf unbeabsichtigte noindex- oder nofollow-Direktiven.

Open-Graph-Tags

Prüft auf og:title, og:description, og:image und og:url im <head>.

Twitter Cards

Prüft twitter:card, twitter:title, twitter:description und twitter:image Tags.

Hreflang-Tags

Prüft hreflang-Tags auf mehrsprachigen Sites auf Korrektheit und Reziprozität.

Sitemap.xml

Prüft ob sitemap.xml im Root existiert, valides XML ist und indexierbare URLs listet.

robots.txt

Prüft robots.txt auf korrekte Syntax und ob Such- und AI-Crawler erlaubt sind.

Sitemap Lastmod

Prüft ob Sitemap-URLs einen <lastmod>-Zeitstempel haben der echte Änderungen reflektiert.

Keine noindex-URLs in Sitemap

Prüft dass Sitemap-URLs nicht noindex sind.

Keine Redirects in Sitemap

Prüft dass Sitemap-URLs direkt 200 zurückgeben, nicht per 301 oder 302.

Seiten-Wortanzahl

Prüft Content-Dichte pro Seite — dünne Seiten (unter 300 Wörter) ranken schlecht.

Interne Verlinkung

Prüft Anzahl und Verteilung interner Links — zu wenige schaden dem Crawl, zu viele verwässern Link-Equity.

Externe Zitate

Prüft ausgehende Links zu autoritativen Quellen — Qualitätssignal und AI-Zitations-Hilfe.

Frage-Headings

Prüft Frage-Style H2/H3-Headings — verbessert AI-Zitate und Featured-Snippet-Chancen.

Duplicate Content

Prüft auf Duplicate-Content zwischen URLs — ein stiller Ranking-Killer.

Bild-Alt-Text

Prüft ob jedes Content-Bild einen sinnvollen Alt-Text hat.

Core Web Vitals

SEO-Sicht auf Core Web Vitals — LCP, CLS, INP sind Ranking-Signale auf Mobile.

Sicherheit

28 Checks

HTTPS aktiv

Prüft ob die Site über HTTPS ausliefert und HTTP auf HTTPS redirected.

TLS-Version

Prüft dass der Server TLS 1.2 oder höher nutzt — ältere Versionen sind kaputt.

Mixed Content

Prüft HTTP-Ressourcen auf HTTPS-Seiten — Browser blockieren oder warnen.

SSL-Zertifikat

Prüft dass das SSL-Zertifikat gültig, nicht abgelaufen und nicht bald ablaufend ist.

HSTS-Header

Prüft Strict-Transport-Security-Header — blockiert HTTPS-Downgrade-Angriffe.

Content-Security-Policy

Prüft CSP-Header der Script-Quellen einschränkt — wichtiger XSS-Schutz.

X-Content-Type-Options

Prüft X-Content-Type-Options: nosniff — verhindert MIME-Sniffing-Angriffe.

X-Frame-Options

Prüft X-Frame-Options — blockiert iframe-Embedding gegen Clickjacking.

Referrer-Policy

Prüft Referrer-Policy — steuert wie viel Referrer-Info zu anderen Sites leakt.

Permissions-Policy

Prüft Permissions-Policy — schränkt Browser-Features ein (Kamera, Mikro usw.).

Server-Header versteckt

Prüft dass der Server-Response-Header keine Versions-Info leakt.

Exponierte API-Keys

Prüft das Client-JS-Bundle auf exponierte Secrets (Stripe, OpenAI, Supabase-Service-Keys usw.).

Supabase Row Level Security

Prüft ob Supabase-Tabellen RLS aktiv haben mit Policies.

SPF-Record

Prüft DNS auf SPF-Record — verhindert dass andere Mails als deine Domain senden.

DMARC-Record

Prüft DNS auf DMARC-Record — sagt Empfängern was mit gespooften Mails zu tun ist.

CAA-Record

Prüft DNS auf CAA-Record — beschränkt welche CAs Certs für deine Domain ausstellen dürfen.

Cookie-Security-Flags

Prüft dass Session- und Auth-Cookies Secure, HttpOnly und SameSite-Flags setzen.

Subresource Integrity

Prüft dass Third-Party-Scripts SRI-Hashes nutzen gegen Manipulation.

Formular-Sicherheit

Prüft Formulare auf HTTPS-Action, CSRF-Tokens und Autocomplete-Attribute.

X-Powered-By versteckt

Prüft dass X-Powered-By-Header keinen Framework-Stack leakt.

Directory Listing

Prüft exponierte Directory-Listings auf gängigen Paths (/.git, /.env, /admin usw.).

Source Maps

Prüft exponierte Source-Maps die den Original-Source-Code freigeben.

Inline-Scripts

Prüft Inline-<script>-Blöcke die Strict-CSP brechen und XSS einladen.

Open Redirects

Prüft URL-Parameter die auf beliebige externe Domains redirecten — Phishing-Helfer.

Iframe-Sandboxing

Prüft eingebettete Iframes auf sandbox-Attribut mit Einschränkungen.

Deprecated/Unsichere APIs

Prüft Nutzung deprecated/unsicherer JS-APIs (eval, document.write, innerHTML).

Externer-Link-Schutz

Prüft externe Links mit target="_blank" auf rel="noopener".

Information Disclosure

Prüft Error-Pages, Stack-Traces und Debug-Output auf Info-Leaks.

AI-Suche (GEO)

5 Checks

AI-Crawler erlaubt

Prüft dass GPTBot, ClaudeBot, PerplexityBot und Google-Extended nicht in robots.txt blockiert sind.

JSON-LD Structured Data

Prüft JSON-LD Structured Data im <head> — Pflicht für Rich Results und AI-Zitate.

Server-Side Rendering

Prüft ob Haupt-Content im initialen HTML rendert, nicht erst nach JavaScript.

llms.txt-Datei

Prüft auf /llms.txt — AI-spezifischer Guide zum Site-Content.

Statische Content-Dichte

Prüft wie viel echter Text im initialen HTML ohne JS-Ausführung steht.

Technik

28 Checks

SSR / Pre-Rendering

Prüft ob die Seite server-gerendert oder statisch pre-rendered ist.

HTTP-Statuscodes

Prüft korrekte Statuscodes — 200 für live, 404 für nicht vorhanden, 301 für verschoben.

Keine Client-Side-Redirects

Prüft dass Redirects server-seitig passieren, nicht per JavaScript.

Viewport-Meta-Tag

Prüft auf <meta name="viewport" content="width=device-width, initial-scale=1">.

HTML-lang-Attribut

Prüft dass <html> ein lang-Attribut hat das zur Seitensprache passt.

UTF-8-Charset

Prüft <meta charset="utf-8"> oben im <head>.

Keine Redirect-Ketten

Prüft dass Redirects direkt zum Ziel gehen — keine A→B→C-Ketten.

WWW-Konsistenz

Prüft dass nur www oder Apex kanonisch ist, das andere redirected.

Trailing-Slash-Konsistenz

Prüft konsistente Nutzung des Trailing Slash.

Kaputte interne Links

Prüft interne Links auf 404/500-Responses.

Custom 404-Seite

Prüft dass die 404-Seite gebrandet ist mit Navigation und Suche.

Canonical-URL-Match

Prüft dass die Canonical-URL zur aktuellen URL (oder bewusst anderer) passt.

Response-Kompression

Prüft HTML/CSS/JS-Responses mit gzip oder brotli Kompression.

Preconnect-Hinweise

Prüft <link rel="preconnect"> zu kritischen Third-Party-Origins.

Resource-Hints

Prüft dns-prefetch, preload und prefetch-Hints für Performance.

Favicon

Prüft Favicon am Site-Root und in <link rel="icon">.

HTML-Doctype

Prüft <!DOCTYPE html> am Dokument-Start.

Server Response Time (TTFB)

Prüft Time to First Byte — wie schnell dein Server antwortet.

HTML-Dokument-Grösse

Prüft ob initiales HTML unter 1 MB ist.

Inline CSS

Prüft Inline-<style>-Blöcke und style-Attribute — beeinflusst CSP und Caching.

Inline JavaScript

Prüft Inline-<script>-Blöcke — CSP und Caching betroffen.

X-Robots-Tag-Header

Prüft X-Robots-Tag-HTTP-Header auf unbeabsichtigte noindex-Direktiven.

HTTPS-Protokoll-Links

Prüft ob interne Links durchgehend https:// nutzen.

Text-zu-HTML-Ratio

Prüft Verhältnis Body-Text zu HTML-Markup — dünne oder code-lastige Seiten geflaggt.

Deprecated HTML-Elemente

Prüft deprecated HTML-Tags wie <center>, <font>, <marquee>.

Iframe-Nutzung

Prüft Iframe-Anzahl und Nutzung — zu viele schaden Performance.

Bild-Lazy-Loading

Prüft dass below-the-fold-Bilder loading="lazy" nutzen, above-the-fold nicht.

Render-blockierende Ressourcen

Prüft CSS/JS im <head> die First-Paint blockieren.

Structured Data

12 Checks

Valides JSON-LD

Prüft dass alle JSON-LD-Blöcke als valides JSON parsen und schema.org referenzieren.

Organization-Schema

Prüft Organization JSON-LD auf Homepage — Entity-Signal + Knowledge-Panel.

WebSite-Schema

Prüft WebSite JSON-LD mit SearchAction — aktiviert Sitelinks-Suchbox.

BreadcrumbList-Schema

Prüft BreadcrumbList JSON-LD auf Sub-Pages — ersetzt hässliche URLs im SERP durch saubere Breadcrumbs.

FAQPage-Schema

Prüft FAQPage-Schema auf Seiten mit sichtbaren FAQs — Rich Results + AI-Zitats-Boost.

WebApplication-Schema

Prüft WebApplication JSON-LD auf SaaS-App-Seiten.

Person-Schema

Prüft Person-Schema auf Author/Team/About-Seiten.

Article-Schema

Prüft Article-JSON-LD auf Blog-Posts und News-Seiten.

DefinedTerm-Schema

Prüft DefinedTerm-Schema auf Glossar-Seiten.

VideoObject-Schema

Prüft VideoObject-Schema auf Video-Embed-Seiten.

Product-Schema

Prüft Product-Schema auf E-Commerce-Produktseiten.

Keine deprecated Schema-Properties

Prüft deprecated schema.org-Properties die in Zukunft entfernt werden könnten.

Performance

12 Checks

LCP (Largest Contentful Paint)

Prüft Largest Contentful Paint — wie schnell der Haupt-Content erscheint. Ziel unter 2.5s.

CLS (Cumulative Layout Shift)

Prüft Cumulative Layout Shift — wie viel die Seite beim Laden springt. Ziel unter 0.1.

INP (Interaction to Next Paint)

Prüft Interaction to Next Paint — Reaktion auf Klicks/Taps. Ziel unter 200ms.

FCP (First Contentful Paint)

Prüft First Contentful Paint — wann erster Text/Bild erscheint. Ziel unter 1.8s.

TTFB (Time to First Byte)

Prüft Time to First Byte — Server-Response-Zeit. Ziel unter 600ms.

Text-Kompression

Prüft dass Text-Assets (HTML, CSS, JS) mit gzip oder brotli serviert werden.

Moderne Bildformate

Prüft Bilder werden als WebP oder AVIF serviert — 30-50% kleiner als JPEG/PNG.

Bild-Dimensions gesetzt

Prüft dass Bilder width/height-Attribute haben gegen CLS.

Below-the-fold Lazy Loading

Prüft below-the-fold Bilder und Iframes mit loading="lazy".

JavaScript-Payload-Grösse

Prüft Gesamt-JavaScript-Download — Ziel unter 300KB komprimiert.

Third-Party-Scripts

Prüft Anzahl und Impact von Third-Party-Scripts (Analytics, Chat, Ads).

Deferred Scripts

Prüft dass non-critical Scripts async oder defer nutzen.

Bilder

10 Checks

Alle Bilder mit Alt

Prüft dass jedes <img> ein alt-Attribut hat (leer oder beschreibend).

Beschreibender Alt-Text

Prüft dass Alt-Text sinnvoll ist — nicht "image", "photo" oder Dateiname.

OG-Bild vorhanden

Prüft dass jede Seite ein valides og:image für Social-Shares hat.

OG-Bild-Dimensions

Prüft dass og:image ≥ 1200×630 ist — optimal für alle Social-Plattformen.

OG-Bild self-hosted

Prüft dass og:image auf deiner Domain gehostet ist, nicht auf Third-Party-CDN.

Moderne Formate auf Content-Bildern

Prüft Content-Bilder nutzen WebP/AVIF, nicht legacy JPEG/PNG für Fotos.

Bild width + height gesetzt

Prüft dass jedes <img> explizite width und height hat.

Bild-Lazy-Loading

Prüft below-the-fold Bilder nutzen loading="lazy" — LCP-Bild aber NICHT.

Bild-Anzahl pro Seite

Prüft Gesamt-Bilder pro Seite — mehr als 30 = Performance-Warnung.

Kaputte Bilder

Prüft dass kein <img src> 404 oder 500 zurückgibt.