Das Internet ist belebter denn je, nicht nur durch menschliche Besucher, sondern auch durch eine wachsende Zahl automatisierter Bots, Crawler und KI-Tools, die Websites ständig nach Inhalten und Daten durchsuchen.

Während einige Bots hilfreich sind, wie z. B. Suchmaschinen-Crawler, die dabei helfen, deine Inhalte zu entdecken, können andere deine Traffic-Metriken schnell aufblähen, Analysen verfälschen und sogar unnötige Hosting-Überlastungen verursachen.

In diesem Leitfaden zeigen wir dir, wie du die kostenlosen Sicherheitstools von Cloudflare wie den Bot-Bekämpfungsmodus, JavaScript und Managed Challenges sowie andere Cloudflare-Einstellungen nutzen kannst, um unerwünschten Bot-Traffic zu reduzieren, deine WordPress-Website zu schützen und sicherzustellen, dass deine Hosting-Ressourcen für echte Besucher reserviert sind.

Einrichten von Cloudflare für den Bot-Schutz

Du brauchst kein Premium-Konto oder eine komplexe Konfiguration, um unerwünschten Bot-Traffic mit Cloudflare zu stoppen. Der kostenlose Cloudflare-Tarif bietet mehrere leistungsstarke Funktionen, die einen großen Unterschied machen können.

Im Folgenden erfährst du, wie du loslegen kannst.

Verbinde deine Website mit Cloudflare

Wenn du deine WordPress-Website bei Kinsta hostest, profitierst du bereits von der leistungsstarken Cloudflare-Integration, einschließlich der Leistung für Unternehmen und einem globalen CDN. Um Zugang zu den erweiterten Sicherheitstools zu erhalten, musst du jedoch dein eigenes Cloudflare-Konto einrichten.

Zum Glück ist dieser Vorgang schnell und unkompliziert. Wir bieten eine detaillierte, schrittweise Anleitung, die dich durch den gesamten Prozess führt, vom Hinzufügen deiner Domain bis zur Konfiguration von DNS-Einträgen und Nameservern. Folge diesem Leitfaden, um deine Website zu verbinden:

👉 So installierst und konfigurierst du Cloudflare auf deiner WordPress-Website

Sobald deine Domain mit Cloudflare verbunden und aktiv ist, kannst du Funktionen aktivieren, die deine Website vor unerwünschtem Bot- und Scraper-Verkehr schützen, ohne echte Besucher zu beeinträchtigen.

Aktiviere den Bot-Bekämpfungsmodus

Sobald deine Website mit Cloudflare verbunden ist, ist eine der schnellsten und effektivsten Möglichkeiten, unerwünschten automatisierten Traffic herauszufiltern, die Aktivierung des Bot-Fight-Modus.

Diese kostenlose Funktion von Cloudflare hilft dabei, bekannte Bots zu erkennen und abzuschwächen, die deine Website crawlen, scrapen oder überlasten, selbst wenn sie versuchen, sich als menschliche Besucher zu tarnen.

Um den Bot-Fight-Modus zu aktivieren, befolge diese Schritte:

  1. Gehe im Menü auf der linken Seite zu Sicherheit > Einstellungen.
  2. Wähle unter dem Abschnitt Filtern nach die Option Bot-Verkehr.
  3. Finde den Bot-Bekämpfungsmodus und schalte ihn ein.
Cloudflare-Dashboard mit den Konfigurationsoptionen für den Bot Fight Mode für mehr Sicherheit.
Das Dashboard von Cloudflare zeigt die Option Bot Fight Mode

Nach der Aktivierung kannst du die Ergebnisse in deinen MyKinsta-Analysen beobachten. Die Besucherzahlen beginnen zu sinken, da Cloudflare mehr nicht-menschliche Anfragen filtert, bevor sie deine Website erreichen.

Wenn du einen kostenpflichtigen Cloudflare-Tarif nutzt, hast du Zugriff auf den Super Bot-Kampfmodus, eine erweiterte Version des Bot-Kampfmodus mit mehr Flexibilität. Er baut auf derselben Technologie auf, lässt dich aber wählen, wie du mit verschiedenen Arten von Datenverkehr umgehen willst, und ermöglicht JavaScript-Erkennungen, um Headless-Browser, heimliche Scraper und anderen bösartigen Datenverkehr abzufangen.

Anstatt alle Crawler zu blockieren, kannst du das Tool zum Beispiel so konfigurieren, dass es nur „definitiv automatisierten Verkehr“ blockiert und „verifizierte Bots“ wie Suchmaschinen-Crawler zulässt:

Das Dashboard „Super Bot Fight Mode“ von Cloudflare zeigt Einstellungen und Analysen zum Schutz vor Bots an.
Der Super Bot Fight Mode von Cloudflare

JavaScript und verwaltete Herausforderungen einrichten

Auch wenn der Bot Fight Mode aktiv ist, können einige automatisierte Crawler oder KI-Tools durchschlüpfen, vor allem solche, die das normale Surfverhalten imitieren.

Mit den Sicherheitsregeln von Cloudflare kannst du einen zusätzlichen Schutz in Form von Challenges einrichten, die überprüfen, ob es sich bei den Besuchern um Menschen handelt, bevor sie Zugang gewähren.

Du kannst JS Challenges standortweit anwenden, aber für die meisten WordPress-Websites eignen sie sich am besten für gezielte Pfade wie z. B.:

  • /wp-login.php (WordPress-Anmeldeseite)
  • /xmlrpc.php (häufiges Bot-Ziel)
  • /wp-admin/ (Admin-Bereich)

So fügst du eine JavaScript- oder Managed Challenge-Regel hinzu:

  • Navigiere zu Sicherheit > Sicherheitsregeln.
  • Klicke auf Regel erstellen > Benutzerdefinierte Regeln.
  • Gib einen Regelnamen ein (z. B. JS Challenge für wp-login).
  • Konfiguriere unter Wenn eingehende Anfragen übereinstimmen:
    • Feld: URI-Pfad
    • Operator: enthält
    • Wert: /wp-login.php
Benutzerdefinierte Regeleinstellungen in Cloudflare zum Verwalten und Filtern von Webdatenverkehr.
Benutzerdefinierte Regel, die in Cloudflare eingerichtet wurde

Du kannst bei Bedarf weitere Bedingungen hinzufügen, indem du auf Ausdruck bearbeiten klickst und dann einen Ausdruck wie unten einfügst:

(http.host in {"example.com" "www.example.com"} and 
 starts_with(http.request.uri.path, "/wp-admin") and 
 not cf.client.bot and 
 not http.request.uri.path contains "/wp-admin/admin-ajax.php")

Das obige Beispiel zielt auf den Bereich /wp-admin, überspringt verifizierte Bots und schließt den von WordPress-Plugins verwendeten AJAX-Endpunkt aus.

Wähle unter Aktion ausführen eine der folgenden Möglichkeiten:

  • JavaScript Challenge – führt für jeden Besucher einen Browsertest durch.
  • Managed Challenge – lässt die KI von Cloudflare anhand des Verhaltens und der Risikostufe entscheiden, wann eine Challenge durchgeführt wird.

Klicke abschließend auf Bereitstellen, um die Regel zu aktivieren. Wenn du sie zuerst testen möchtest, wähle Als Entwurf speichern.

Überwache die Ergebnisse

Sobald du den Bot-Fight-Modus aktiviert oder deine eigenen Cloudflare-Regeln aufgestellt hast, ist es wichtig zu überprüfen, ob deine Änderungen funktionieren und ob der automatisierte Traffic, der deine Besuche aufgebläht hat, effektiv gefiltert wird.

Sowohl Cloudflare als auch MyKinsta bieten Analysetools an, mit denen du die Auswirkungen messen kannst. Hier erfährst du, wie du sie gemeinsam nutzen kannst.

Prüfe die Sicherheitsanalysen von Cloudflare

Gehe in deinem Cloudflare-Dashboard zu Sicherheit > Analysen > Bot-Analyse.

Das Cloudflare Bot Analytics-Dashboard zeigt Bot-Traffic-Statistiken und Aktivitätstrends an.
Cloudflare Bot-Analyse

Diese Ansicht bietet eine klare Aufschlüsselung, wie viel deines gesamten Website-Traffics von Menschen und wie viel von Bots generiert wird.

Cloudflare weist jeder eingehenden Anfrage auf der Grundlage von Mustern, maschinellem Lernen und Verhaltenssignalen einen Bot-Score zu. Diese Werte werden nach Traffic-Typen gruppiert, wie z. B.:

  • Automatisiert – Eindeutig nicht-menschliche Bots.
  • Wahrscheinlich automatisiert – Verdächtige, Bot-ähnliche Anfragen (z. B. Headless-Browser oder KI-Scraper).
  • Wahrscheinlich menschlich – Normale Besucher mit echten Browsern.
  • Verifizierter Bot – Seriöse Bots (wie Googlebot oder PayPal).

Das Bot-Analyse-Diagramm zeigt diese Kategorien in Echtzeit an. Du kannst die Filter (nach Land, IP-Adresse, Browser oder Betriebssystem) verwenden, um herauszufinden, woher der meiste automatisierte Traffic kommt.

Cloudflare-Analyseoberfläche mit gefilterter Traffic-Analyse und Sicherheitsinfos.
Filter Traffic-Analyse

MyKinsta-Analysen überprüfen

Öffne als Nächstes dein MyKinsta-Dashboard > Analysen > Besuchsbericht.

Schau dir die Analyseansicht in MyKinsta an, die Traffic-Trends und Nutzungsinformationen anzeigt.
Ansicht der Besuchsanalyse in MyKinsta

Da Kinsta die Besuche auf der Grundlage von eindeutigen IP-Adressen misst, die jeden Tag gesehen werden (und nicht auf der Grundlage von JavaScript-Tracking wie bei Google Analytics), bietet es einen genauen Überblick über den gesamten Traffic, der auf deine Website trifft, einschließlich Bots, die durch andere Filter schlüpfen.

Nachdem Cloudflare damit begonnen hat, automatisierte Anfragen zu blockieren, solltest du einen Rückgang der Gesamtbesuche feststellen (da Bots deinen Ursprung nicht mehr erreichen).

Wenn du immer noch Spitzen siehst, überprüfe deine Berichte zu den Top-Anfragen und Top-Client-IPs, um URLs oder IPs zu identifizieren, die wiederholt angefordert werden. Diese sind wahrscheinlich Kandidaten für neue Cloudflare Challenges oder Ländersperren.

Die IP-Adressen der Top-Kunden werden in den MyKinsta-Analysen angezeigt, um die Traffic-Quellen der Website im Auge zu behalten.
Die Top Client-IP-Adressen werden in den MyKinsta-Analysen angezeigt

Zusammenfassung

Der Umgang mit unerwünschtem Bot-Traffic gehört zum Betrieb einer modernen Website dazu. Mit den kostenlosen Tools von Cloudflare kannst du automatisierte Crawler und Scraper schnell herausfiltern, bevor sie die Leistung beeinträchtigen oder die Hosting-Nutzung in die Höhe treiben.

Für Kinsta-Kunden hilft die Kombination dieser Cloudflare-Schutzmaßnahmen mit deiner Hosting-Einrichtung, dass deine Analysen die tatsächlichen Besucher genau widerspiegeln und die Ressourcenauslastung konstant bleibt. Wenn du noch mehr Vorhersehbarkeit möchtest, bieten dir die neuen bandbreitenbasierten Tarife von Kinsta eine Alternative zur besucherbasierten Preisgestaltung.

Zusammen bieten dir Cloudflare und Kinsta die nötige Transparenz und Kontrolle, damit du dich auf deine Inhalte und Nutzer konzentrieren kannst, anstatt Bots zu jagen.

Joel Olawanle Kinsta

Joel ist Frontend-Entwickler und arbeitet bei Kinsta als Technical Editor. Er ist ein leidenschaftlicher Lehrer mit einer Vorliebe für Open Source und hat über 200 technische Artikel geschrieben, die sich hauptsächlich um JavaScript und seine Frameworks drehen.