Spring naar inhoud
Start gratis scan
Openbaar rapportKeurmerk geldig tot 8 juli 2027

solarfast.nl

Bezoek solarfast.nl ↗

Snelheid
96
Veiligheid
79
Mobiel
100
Toegankelijkheid
100
Gemiddelde score
94/ 100
Beter dan 62% van de 13 gescande sites
✓ WebYes gekeurd

Gekeurd op 9 juli 2026 · 8 pagina's gecontroleerd · 6 verbeterpunten gevonden

Score door de tijd

Elke keuring en herkeuring telt: dit is het verloop van de gemiddelde score per scandag.

keurmerkgrens (80)
8 juli 20269 juli 2026

Volledige audit

Onderdeel van het WebYes-keurmerk: naast de vier pijlers keuren we ook SEO, structured data, content, links, privacy en AI-vindbaarheid. Deze extra categorieën tellen niet mee in de keurmerkscore.

Privacy
96
Spam-signalen
97
Techniek
98
Content
99
Kwaliteitsindruk
99
SEO on-page
100
Links
100
Structured data
100
AI-vindbaarheid (GEO)
100
URL-structuur
100
Social
100
Juridisch
100

Bevindingen (12)

  • WaarschuwingVeiligheid

    Sensitive path reachable: /admin/ (HTTP 200, 15930 bytes).

    Block the path at the reverse proxy (deny .git/.env/etc.), remove the file from the deploy artifact, and rotate any secrets that may have been exposed.

    Zo los je het op

    Er is een gevoelig pad publiek bereikbaar (zoals een .env-bestand, .git-map of adminpaneel). Blokkeer het pad op serverniveau of haal het bestand offline, en ververs eventueel uitgelekte sleutels.

    Lees meer in de kennisbank: Security headers →

  • WaarschuwingVeiligheid

    CSP allows `'unsafe-inline'` without a nonce or hash — this effectively disables script-src protection against XSS.

    Generate a per-response nonce in your server-rendered pages and emit `script-src 'nonce-<nonce>' 'strict-dynamic'`. Inline `<script nonce='...'>` tags then load while attacker-injected ones don't.

    Zo los je het op

    Geef inline scripts een nonce of hash in je CSP in plaats van ze via 'unsafe-inline' toe te staan. De meeste frameworks (waaronder Next.js) kunnen nonces per request genereren.

    Lees meer in de kennisbank: Security headers →

  • WaarschuwingSpam-signalen

    Term "thuisbatterij" appears unusually often (9×, 7% of words).

    Rewrite for natural language — repeated exact-match phrases can trigger spam classifiers.

  • InfoSnelheid

    1 image(s) ≥800px wide without srcset or <picture> for responsive delivery.

    Use `srcset` with multiple resolutions or wrap images in `<picture>` with WebP/AVIF sources. In Next.js, use `next/image` which handles this automatically. Without responsive images, mobile users download desktop-sized assets.

    Zo los je het op

    Lever afbeeldingen in een modern formaat (WebP of AVIF), geschaald naar het formaat waarop ze getoond worden. Een fotodienst of buildstap (zoals next/image) regelt dit automatisch.

    Lees meer in de kennisbank: Core Web Vitals →

  • InfoVeiligheid

    No `/.well-known/security.txt` published.

    Publish a `security.txt` (RFC 9116) at `/.well-known/security.txt`. Even a one-line `Contact: mailto:[email protected]` plus an `Expires:` date is enough; it gives white-hat researchers somewhere to send reports instead of giving up.

    Zo los je het op

    Plaats een security.txt op /.well-known/security.txt met een contactadres voor beveiligingsmeldingen. Zo weten onderzoekers waar ze een lek kunnen melden.

    Lees meer in de kennisbank: Security headers →

  • InfoVeiligheid

    Missing `Cross-Origin-Embedder-Policy`. Cross-origin isolation lets you use SharedArrayBuffer and high-resolution timers safely.

    Send `Cross-Origin-Opener-Policy: same-origin` and `Cross-Origin-Embedder-Policy: require-corp`. Note this requires every embedded resource to send `Cross-Origin-Resource-Policy`.

    Zo los je het op

    Voeg Cross-Origin-Opener-Policy: same-origin toe (en waar mogelijk Cross-Origin-Embedder-Policy). Dit isoleert je site van vensters die door andere origins zijn geopend.

    Lees meer in de kennisbank: Security headers →

  • InfoVeiligheid

    No `Cross-Origin-Resource-Policy` header. Without it, side-channel attacks via Spectre-style speculative execution stay viable.

    Send `Cross-Origin-Resource-Policy: same-origin` for HTML responses, and `cross-origin` for assets you intentionally publish (e.g. fonts, JS bundles).

    Zo los je het op

    Voeg Cross-Origin-Resource-Policy: same-origin (of same-site) toe aan je responses, zodat andere sites je bestanden niet zomaar kunnen insluiten.

    Lees meer in de kennisbank: Security headers →

  • InfoContent

    Text-to-HTML ratio is 1.0% (target ≥ 2%).

    Very low ratios usually mean the hydration payload, inline RSC blob or a vendor script is bigger than the rendered prose. Inspect the largest scripts and externalise or split them.

  • InfoTechniek

    Crawl stopped at the max-pages limit (6); 68 sitemap URLs were not visited but might still be reachable.

    Re-run with `--max-pages 2000` (or higher) before trusting orphan-from-sitemap counts.

  • InfoTechniek

    No HTML sitemap link found on the homepage. Placing one in the footer is an industry best practice for UX and crawler/AI discovery.

    Add a link to a user-facing HTML sitemap (e.g. `/sitemap`, not `sitemap.xml`) inside the <footer>. An HTML sitemap acts as a structural overview for lost visitors and as a fallback discovery surface for search engines and AI crawlers.

  • InfoKwaliteitsindruk

    Homepage has no `<link rel="icon">` — browsers will request /favicon.ico which may 404.

    Add a custom favicon that reflects your brand. A missing favicon causes extra 404 log noise and looks unprofessional in browser tabs and bookmarks.

  • InfoPrivacy

    4 phone-shaped string(s) appear in main content. Examples: 020 250 46 70.

    If the phone numbers are intentional public contact info, ignore this finding. If they're personal numbers (employees, customer testimonials), redact or replace with a routing alias.

Volledige audit uitgevoerd op 9 juli 2026.

Meer uit het keurmerkregister

Andere websites met een actief WebYes-keurmerk. Elk rapport is openbaar en op dezelfde vier pijlers gekeurd.

webyes.nl✓ Gekeurd

Score 94 / 100 · bekijk het rapport →

duurzaamgefinancierd.nl✓ Gekeurd

Score 96 / 100 · bekijk het rapport →

e-bids.nl✓ Gekeurd

Score 96 / 100 · bekijk het rapport →

domeinflits.nl✓ Gekeurd

Score 90 / 100 · bekijk het rapport →

Scan je eigen websiteBekijk het keurmerkregister →Deel je score:LinkedInX
webyes

Het onafhankelijke keurmerk voor Nederlandse websites. Kalm, transparant, jaarlijks herkeurd.

Start gratis scan

Keurmerk

  • Start gratis scan
  • Hoe het werkt
  • Keurmerkregister
  • Prijzen
  • Veelgestelde vragen

Kennis

  • Kennisbank
  • Blog
  • Jaarrapport

Bedrijf

  • Over ons
  • Contact
  • Mijn account

Juridisch

  • Privacybeleid
  • Algemene voorwaarden
  • Cookies
© 2026 WebYesGebouwd in Nederland.

Jaarrapport in de maak. In de maak: het jaarrapport over de staat van het Nederlandse web. Lees meer →

webyes
WerkwijzePrijzenRegisterKennisbankOver ons
InloggenStart gratis scan