Contact
← Alle tools SITE AUDIT

Plak een URL, krijg een complete röntgenfoto

30+ checks over performance, security headers, SSL/TLS en WordPress-kwetsbaarheden — live voortgang, concrete fix-suggesties met code-snippets, volledig anoniem (we slaan alleen geanonimiseerde scores op voor ranking, geen URL-historie, geen IP).

3 verse scans per dag per IP · cache 24u (recente scans direct beschikbaar) · ~10-15 sec per verse scan

WAT IK SCAN

Eén HTTP-request en een TLS-handshake leveren verrassend veel info op — mits je weet waar je naar zoekt. Ik scan zeven dimensies, samen ruim 70 individuele checks.

Performance

TTFB, pagina-grootte, gzip/brotli, browser-caching, HTTP/2 en HTTP/3, CDN-detectie, render-blocking CSS/JS, image-optimization, lazy-loading, DOM-grootte, redirect-keten.

Security headers

HSTS met max-age + preload, Content-Security-Policy, X-Frame-Options, nosniff, Referrer-Policy, Permissions-Policy, COOP, server info-leak, X-Powered-By, HTTPS-redirect.

SSL / TLS

Certificaat-geldigheid + dagen tot expiry, CA, SAN-records, signature-algoritme (zwakke SHA-1 detectie), key-sterkte (RSA én ECDSA correct), TLS-versie, cipher-suite, secure-flag op cookies.

WordPress

Versie + open CVE's via WPScan, generator-leak, xmlrpc.php, install.php, readme.html, user enumeration, REST-users-endpoint, backup-files, debug.log, theme + plugins met per-stuk CVE-check.

DNS & e-mail

A & AAAA, MX, SPF (recursief, all-mechanism), DMARC met policy-rating, nameservers met redundantie, CAA-records, DNSBL/blacklist op het IP.

Privacy & tracking

Cookies bij eerste bezoek (zonder consent), 12 tracker-patterns (GA4, GTM, FB Pixel, Hotjar, Plausible, etc.), third-party domeinen, privacy-policy link, cookie-consent-banner.

SEO basis

Title-lengte (30-65), meta-description (120-160), exact één H1, canonical, Open Graph compleetheid, Schema.org JSON-LD, robots.txt + sitemap.xml.

WANNEER GEBRUIK JE 'M

Vier momenten waarop ik 'm zelf inzet voor klanten — en waarop 't voor jou de moeite waard is.

01

Vóór go-live van een nieuwe site

Laatste compleetheids-check — staat HSTS aan, zijn security-headers gezet, kloppen SPF/DKIM/DMARC, is debug-info uit? Voorkomt dat je een week na launch achter alarms moet aanrennen.

02

Maandelijkse hygiëne

Plugins krijgen updates met nieuwe CVE's, certificates verlopen, headers raken na config-wijzigingen weg. Eén scan per maand vangt regressie vroeg af.

03

Direct na een hosting-migratie

De nieuwe server heeft niet automatisch dezelfde headers, redirects en SPF-records als de oude. Een scan binnen het uur na DNS-switch laat zien wat verloren ging.

04

Voor je een prospect benadert

Wil je weten waar de zwakke plekken zitten van een potentiële klant voor je een gesprek aangaat? Eén URL geeft je een volledig diagnostisch rapport om concreet over te praten.

WAT DE SCORES BETEKENEN

Per sectie krijg je een letter-grade A+ tot F. De totaalscore is een gewogen gemiddelde — security en performance wegen het zwaarst, SEO en privacy iets minder. Concreet:

A+ 95-100

Industry-leading. Vrijwel niets te verbeteren binnen redelijke kosten.

A / A- 80-94

Solide. Een paar low-hanging fruits, maar geen kritieke gaten.

B+ / B / B- 56-79

Acceptabel maar ruimte voor verbetering. Vaak ontbrekende security-headers of suboptimale performance-config.

C+ / C / C- 30-55

Aandacht nodig. Meerdere medium- of high-severity issues die binnen een paar uur werk verholpen kunnen worden.

D / F < 30

Kritiek. Vaak combinatie van geen HTTPS, ontbrekende security-headers, blootliggende WP-files of een verlopen SSL-certificaat. Direct actie vereist.

WAT IK NIET DOE

Eerlijk over scope — geen actieve attacks, geen intrusieve scans. Jouw site krijgt één HTTP-request en een TLS-handshake. Verder niets.

Geen credentials nodig

Alles via publieke endpoints — homepage HTTP-request, TLS-handshake, DNS-queries. Geen FTP, geen wp-admin, geen database-login.

Geen brute-force pogingen

Een check als "is wp-login.php bereikbaar" doet één HEAD-request — geen wachtwoord-pogingen, geen flooding.

Geen full-site crawl

Ik analyseer één pagina — meestal de homepage. Sub-pages, admin-panels en interne paden raak ik niet aan.

Geen vulnerability-exploitation

Plugin-versies match ik tegen WPScan-DB om bekende CVE's te tonen. Maar ik probeer ze niet te misbruiken — jouw server merkt er niets van.

Geen JavaScript-rendering

Analyse op de raw HTML zoals de server uitlevert. Single-page apps (Vue/React/Angular) krijgen een beperktere analyse omdat content client-side wordt gerenderd.

Geen URL of IP bewaard

Ik sla alleen de geanonimiseerde score op voor de percentile-ranking. Het volledige rapport blijft 24 uur in cache — daarna automatisch weg.

VEELGESTELDE VRAGEN

Wat ik vaak gevraagd krijg over deze tool — antwoorden die ik anders één voor één in mail zou typen.

Hoe vaak kan ik scannen?

Drie verse scans per dag per IP. Maar: als een URL de afgelopen 24 uur al gescand is — door jou of door iemand anders — krijg je direct het cached resultaat. Cache-hits tellen niet voor je dagelijkse limiet, dus dezelfde URL opnieuw scannen kan onbeperkt.

Worden mijn scan-resultaten met derden gedeeld?

Nee. Ik bewaar alleen de geanonimiseerde totaalscore (zonder URL of IP) voor de percentile-ranking. Het volledige rapport blijft 24 uur in cache, daarna automatisch verwijderd. Geen verkoop, geen tracking, geen analytics-pixels.

Werkt 't ook op niet-WordPress sites?

Ja. Performance, security headers, SSL/TLS, DNS, privacy en SEO worden voor elke site gecontroleerd. De WordPress-sectie wordt automatisch overgeslagen als ik geen WP-fingerprint detecteer — je krijgt dan een neutrale info-melding in die sectie.

Welke CVE-database gebruik je voor WordPress-checks?

De WPScan Vulnerability Database — beheerd door Automattic, alleen openbaar gepubliceerde CVE's, geen zero-days. Versie-matches op basis van plugin-versies die ik via asset-paden detecteer.

Mijn WP-versie wordt niet gedetecteerd. Goed of slecht?

Goed. Het betekent dat je generator-meta-tag verborgen is, wat best-practice is. WordPress wordt nog gedetecteerd via andere signalen (asset-paden, REST-API), maar zonder versie kan ik geen specifieke CVE-check doen voor de core. Tool meldt dit positief.

Waarom soms een lagere score dan PageSpeed of Mozilla Observatory?

Ik combineer meerdere dimensies in één score; gespecialiseerde tools meten één aspect. Mozilla Observatory kijkt alleen naar security-headers, PageSpeed alleen naar performance. Mijn score weegt alle dimensies mee — dat geeft een eerlijker totaalplaatje.

Kan ik het rapport delen of als PDF exporteren?

PDF-export en deelbare rapport-URLs (zoals /tools/audit/r/abc123) staan op de roadmap voor de volgende versie. Voor nu kun je de scan-pagina screenshotten of de browser zelf laten printen.

Wat als een fix-suggestie mijn site sloopt?

Test fix-snippets altijd op een staging-omgeving eerst. Een te strenge CSP kan legitieme scripts blokkeren, een verkeerde HSTS sluit bezoekers buiten. De voorgestelde fixes zijn defaults die op de meeste sites werken — niet elk site-context is hetzelfde. Twijfel je? Stuur me een bericht, diagnose vooraf altijd kosteloos.

GERELATEERDE TOOLS

Voor wie alleen één aspect wil checken zonder de complete audit, of voor diepere analyse op een specifiek vlak.

Security Headers Analyzer

Diepere analyse van alleen de security-headers, met Mozilla-style A+ tot F grading.

SSL-certificaat checker

Volledig certificaat-detail: chain, alternative names, expiry-countdown, signature-algoritme.

SPF / DKIM / DMARC checker

Complete validatie van mail-authenticatie inclusief recursieve SPF-checks en DKIM-selector-detectie.

WordPress beveiligen — 10 stappen

Hoe je een WordPress-site systematisch hardent. Past mooi bij de WordPress-sectie van deze audit.

WordPress-CVE-checks via de WPScan Vulnerability Database. SSL-handshake via PHP's OpenSSL-extensie, DNS-queries via dns_get_record(). Geen externe diensten voor performance-checks — alle metingen vanaf mijn eigen server.