Update Februar 2026: Security Audit, Onpage Crawler & Bug-Fixes

Version 1.7.0 – Bug-Audit: 12 Bugs behoben

In einer systematischen Code-Prüfung des gesamten Projekts haben wir 12 Bugs behoben und 4 Verbesserungen umgesetzt. Einige davon waren kritisch.

Kritische Fixes

• Datenbank-Schema korrigiert: Ein Tabellennamen-Mismatch konnte dazu führen, dass die Google-Verbindung bei Neuinstallationen fehlschlug. Behoben.
• OAuth-Sicherheit verbessert: Die Google-Authentifizierung validiert jetzt den CSRF-Schutz zuverlässig bei jedem Callback.
• DSGVO-konforme Account-Löschung: Beim Löschen eines Accounts werden jetzt alle zugehörigen Daten aus 15+ Tabellen vollständig entfernt – sowohl bei Self-Service als auch bei Admin-Löschungen.

Crawler-Verbesserungen

• URL-Normalisierung überarbeitet: Ein von einem Kunden gemeldeter Bug, bei dem der Crawler fehlerhafte URL-Ketten erzeugte, wurde behoben. URLs werden jetzt korrekt normalisiert und ungültige URLs vor dem Crawling abgewiesen.
• Redirect-Ketten werden jetzt erkannt: Der Crawler meldet ab sofort Weiterleitungsketten mit mehr als einem Hop als Issue.
• PHP 8.2 Kompatibilität: Eine veraltete Encoding-Funktion wurde an mehreren Stellen durch eine moderne Variante ersetzt.
• Speichermanagement optimiert: Bei großen Crawls wird der Speicher nach jeder Seite explizit freigegeben.

Weitere Fixes

• Startseite zeigt jetzt das echte Dashboard statt hartcodierter Demo-Daten
• Nach dem Login wirst du zur ursprünglich angeforderten Seite weitergeleitet
• Division-by-Zero in der Preisberechnung behoben
• Fehlerhafte Tabellenreferenzen in der Account-Löschung korrigiert
• Produktions-Logging bereinigt

Verbesserungen

• Rate-Limiting zählt jetzt jeden Request korrekt
• Passwort-Validierung zentral vereinheitlicht (min. 8 Zeichen, Groß-/Kleinbuchstabe, Zahl)
• Account-Löschung als gemeinsame Funktion für Self-Service und Admin

---

Version 1.6.0 – Security Audit + Session-Fixes

Umfassendes Sicherheits-Audit des gesamten Projekts mit 19 Findings – alle behoben. Zusätzlich wurde das Session- und Remember-Me-System komplett überarbeitet.

Sicherheits-Audit (19 Findings behoben)

• 2 kritische Findings: SQL-Injection in einer API behoben, SSRF-Schutz im Crawler implementiert (Zugriffe auf interne Netzwerke und Cloud-Metadata-Endpoints werden blockiert)
• 5 hohe Findings: Rate-Limiting für Registrierung und Passwort-Reset, API Rate-Limiting Middleware, fehlende Session-Flags nach Registrierung, Debug-Modus in Produktion deaktiviert
• 7 mittlere Findings: Fehlermeldungen bereinigt (keine internen Details mehr sichtbar), CSRF-Schutz erweitert, Download-Schutz gegen Header-Injection, Cookies mit allen Sicherheits-Flags, Content-Security-Policy verschärft
• 5 niedrige Findings: CLI-Schutz für Hintergrund-Jobs, Zugangsdaten über Umgebungsvariablen, Installations-Sperre nach Einrichtung, verbesserte Fehler-Referenzen

Session-Management komplett überarbeitet

Das größte Problem: Nutzer wurden trotz aktiviertem „Angemeldet bleiben" nach kurzer Zeit ausgeloggt. Die Ursachen waren vielfältig – Session-Dateien wurden zu früh gelöscht, alte Session-IDs nach Erneuerung verworfen, und es gab widersprüchliche Cookie-Einstellungen.

Die Lösung: Ein komplett neues, tokenbasiertes Remember-Me-System mit automatischer Token-Rotation, 30 Tagen Gültigkeit und konsistenten Cookie-Einstellungen. Das automatische Ausloggen sollte damit der Vergangenheit angehören.

Neue Sicherheits-Features

• Allgemeines Rate-Limiting System (datenbankbasiert, konfigurierbare Zeitfenster)
• Zentrale Passwort-Validierung für alle Formulare
• API Rate-Limiting Middleware für alle Schnittstellen
• SSRF-Schutz mit DNS-Auflösung und IP-Bereichs-Filterung
• Request-IDs für Fehler-Korrelation im Support

---

Version 1.5.0 – Neuer Onpage SEO Crawler

Das größte Feature-Update seit dem Launch: Ein kompletter Onpage SEO Crawler mit über 40 Checks, PDF-Reporting und Background-Processing.

Crawl-Engine

• Serverseitiger Crawler mit Queue-System in der Datenbank
• Bis zu 1.000 Seiten pro Crawl
• Über 40 SEO-, Technik- und Content-Checks pro Seite
• robots.txt wird vollständig geparst und beachtet
• Intelligentes URL-Handling mit Normalisierung und Duplikat-Erkennung

Background-Processing

• Crawl läuft im Hintergrund – Browser kann geschlossen werden
• Globale Queue mit FIFO-Reihenfolge
• Live-Fortschrittsanzeige mit Queue-Position
• Lockfile-Mechanismus verhindert parallele Crawls

Analyse & Reporting

• Ergebnisseite mit Filter, Sortierung und Suche
• Kategorien: SEO, Technik, Content, Bilder, Links
• Severity-Level: Kritisch, Warnung, Info
• PDF-Reports zum Download und Teilen

Mehr Details zum Crawler findest du in unserem Einführungsartikel zum Onpage Crawler.

---

Version 1.4.0 – Mobile-Fixes & SCI-Verbesserungen

• Android Dropdown-Kompatibilität: Property-Auswahl funktioniert jetzt mit nativem Select auf Mobilgeräten
• Burger-Menü funktioniert zuverlässig auf allen mobilen Browsern
• SCI Index: Erweiterte Analysezeiträume (bis zu 3 Jahre und „Alle Daten")
• Daten-Info Widget im Dashboard zeigt gespeicherte Tage und Datensätze
• Letzte Property bleibt nach Logout gespeichert

---

Version 1.2.0 – Website Launch

• 34 HTML-Seiten: Features, Dokumentation, Blog, Rechtliches
• Responsive Design mit SEO-optimierter Struktur
• Clean URLs ohne Redirects
• W3C-validiertes HTML für alle Seiten
• AGB, Impressum und Datenschutz

---

Version 1.0.0 – Launch

• Unbegrenzte Datenspeicherung aus Google Search Console
• Täglicher Sync (Klicks, Impressions, CTR, Position)
• Historischer Import aller 16 Monate von Google
• Multi-Property Management
• SCI Index mit 6 gewichteten Faktoren
• URL Inspection & One-Click Indexierung via Google API
• Bulk-Indexierung
• Automatische Alerts
• REST-API (ab Agency-Plan)