In diesem Artikel erfährst du, wie du deine WordPress-Website mit nur 5 kostenlosen Cloudflare WAF-Regeln effektiv vor Bots, Hackern und missbräuchlichem Traffic schützt. Zusätzlich gibt es wichtige Sicherheitseinstellungen bei Cloudflare, die jeder WordPress-Betreiber kennen sollte.
Mit dem kostenlosen Cloudflare-Tarif und nur 5 WAF-Regeln lässt sich eine WordPress-Website professionell vor Angriffen, Bots und missbräuchlichem Traffic schützen – egal ob Blog, Shop oder Business-Website.
Diese Werte müssen individuell angepasst werden
Bevor du die Regeln einrichtest, benötigst du folgende Informationen:
- DEINE_SERVER_IP: Die IP-Adresse deines Webservers
- DEINE_GATEWAY_IP: Die ausgehende IP deines Servers für externe HTTP-Anfragen.
- HOSTER_ASN: Die ASN-Nummer deines Hosters.
- /dein-login-pfad: Dein individueller Login-URL-Pfad (sofern verwendet).
Wie finde ich meine Server-IP und ASN?
Du benötigst deine Server-IP und ASN für Regel 1 und Regel 3.
Server-IP herausfinden
Die IP-Adresse deines Servers findest du entweder in deinem Hosting-Control-Panel oder indem du in deinem DNS nachschaust, auf welche IP deine Domain zeigt (A-record).
ASN nachschlagen
Gehe auf ipinfo.io und gib deine Server-IP-Adresse in das Suchfeld ein. Unter dem Punkt ASN siehst du deine Nummer, zum Beispiel AS48324 webgo GmbH.
Die Zahl nach „AS“ ist deine ASN — in diesem Fall 48324. Genau diese Zahl trägst du in Regel 1 ein:
ip.src.asnum eq 48324Wie finde ich meine Gateway-IP?
Die Gateway-IP ist die ausgehende IP-Adresse, die dein Server für eigene HTTP-Anfragen verwendet — zum Beispiel für WordPress-Cron-Jobs oder REST-API-Loopback-Requests. Diese kann von deiner normalen Server-IP abweichen.
Gateway-IP über Cloudflare Analytics ermitteln
- Richte zunächst Regel 1 nur mit deiner bekannten Server-IP ein
- Aktiviere alle vier Punkte in den Skip-Einstellungen
- Gehe in Cloudflare zu Security → Analytics
- Unter Sampled logs – beobachte die eingehenden Requests – dein Server wird regelmäßig Anfragen an
/wp-json/,/wp-cron.phpoder/wp-admin/admin-ajax.phpstellen - Die IP-Adresse dieser Requests ist deine Gateway-IP
- Füge sie nachträglich zu Regel 1 hinzu
Hinweis: Bei vielen Hostern ist die Gateway-IP identisch mit der Server-IP. Falls in den Analytics keine zweite IP auftaucht, reicht eine IP in Regel 1.
Regel 1 – Gute Bots & vertrauenswürdige IPs erlauben
Diese Regel ist die wichtigste und muss als Erste ausgeführt werden. Sie erlaubt explizit allen verifizierten, legitimen Bots sowie dem eigenen Webserver ungehinderten Zugang – ohne dass nachfolgende Sicherheitsregeln greifen.
Was wird erlaubt: Googlebot & Bingbot, verifizierte SEO-Tools, Let’s Encrypt SSL, Social-Media-Previews, eigener Webserver, KI-Crawler, Monitoring-Dienste, WordPress REST API.
Rule name: Allow good bots
Edit Expression:
(cf.client.bot) or (cf.verified_bot_category in {"Search Engine Crawler" "Search Engine Optimization" "Monitoring & Analytics" "Advertising & Marketing" "Page Preview" "Academic Research" "Security" "Accessibility" "Webhooks" "Feed Fetcher" "AI Crawler"}) or (http.user_agent contains "letsencrypt" and http.request.uri.path contains "acme-challenge") or (ip.src in {DEINE_SERVER_IP DEINE_GATEWAY_IP}) or (http.request.uri.path contains "wp-json") or (ip.src.asnum eq HOSTER_ASN)Ersetze HOSTER_ASN mit deiner tatsächlichen Nummer.
Choose Action: Skip
Skip-Einstellungen – alle vier Punkte aktivieren:
Select order: First
Hinweis zu KI-Crawlern: Für Blogs empfehle ich, "AI Crawler" in der Liste zu belassen; KI-Suchmaschinen wie Perplexity können Traffic generieren. Für reine Online-Shops ohne Blog kann diese Kategorie entfernt werden.
Regel 2 – Aggressive Crawler & Scraper challengen
Diese Regel zielt auf aggressive SEO-Crawler, Scraper und bekannte Angriffs-Tools ab. Tools wie Semrush und Ahrefs crawlen Websites sehr intensiv und belasten den Server unnötig. Unbekannte Bots und Spiders werden ebenfalls gechallengt – mit Ausnahme verifizierter Cloudflare-Bots.
Rule name: Aggressive Crawlers
Edit Expression:
(http.user_agent contains "yandex") or (http.user_agent contains "sogou") or (http.user_agent contains "semrush") or (http.user_agent contains "ahrefs") or (http.user_agent contains "baidu") or (http.user_agent contains "python-requests") or (http.user_agent contains "CF-UC") or (http.user_agent contains "sitelock") or (http.user_agent contains "crawl" and not cf.client.bot) or (http.user_agent contains "bot" and not cf.client.bot) or (http.user_agent contains "Bot" and not cf.client.bot) or (http.user_agent contains "Crawl" and not cf.client.bot) or (http.user_agent contains "spider" and not cf.client.bot) or (http.user_agent contains "mj12bot") or (http.user_agent contains "ZoominfoBot") or (http.user_agent contains "mojeek") or (ip.src.asnum in {135061 23724 4808} and http.user_agent contains "siteaudit")Keine weitere Anpassung nötig — diese Regel funktioniert universell für alle WordPress-Sites.
Hinweis: Der Zusatz and not cf.client.bot bei generischen Begriffen wie „bot“ oder „spider“ verhindert, dass verifizierte Bots wie Googlebot versehentlich gechallengt werden.
Choose Action: Managed Challenge
Order: Custom
Select which rule this will fire after: Allow good bots
Regel 3 – Große Cloud-Anbieter einschränken
Hacker und Spammer nutzen häufig VPS-Server bei AWS, Google Cloud und Azure für automatisierte Angriffe. Diese Regel challenged diesen Traffic — mit Ausnahmen für verifizierte Bots und den eigenen Server.
Betroffene Netzwerke: Amazon AWS (7224, 16509, 14618), Google Cloud (15169), Microsoft Azure (8075, 396982).
Rule name: MC Large Providers
Edit Expression:
(ip.src.asnum in {7224 16509 14618 15169 8075 396982} and not cf.client.bot and not cf.verified_bot_category in {"Search Engine Crawler" "Search Engine Optimization" "Monitoring & Analytics" "Advertising & Marketing" "Page Preview" "Academic Research" "Security" "Accessibility" "Webhooks" "Feed Fetcher" "Aggregator"} and not http.request.uri.path contains "acme-challenge" and not http.request.uri.path contains "wp-json" and not ip.src in {DEINE_SERVER_IP DEINE_GATEWAY_IP})Ersetze DEINE_SERVER_IP DEINE_GATEWAY_IP mit deinen tatsächlichen IPs.
Choose action: Managed Challenge
Select order: Custom
Select which rule this will fire after: Aggressive Crawlers
Was anpassen? Die IP-Adressen am Ende der Expression durch deine eigenen Werte ersetzen — identisch mit Regel 1.
Regel 4 – VPN-Anbieter & Login-Seite schützen
VPNs werden zwar von legitimen Nutzern verwendet, aber auch intensiv von Hackern und Spammern missbraucht. Diese Regel challenged bekannte VPN-Anbieter-Netzwerke und schützt zusätzlich die WordPress-Login-Seite vor Brute-Force-Angriffen.
Rule name: MC VPN & Login Path
Edit Expression:
(ip.src.asnum in {60068 9009 16247 51332 212238 131199 22298 29761 62639 206150 210277 46562 8100 3214 206092 206074 206164 213074}) or (http.request.uri.path contains "/dein-login-pfad")Ersetze dein-login-pfad mit deiner Custom-Login-URL. Einfach nach dem "/" die eigene URL einsetzen.
Choose action: Managed Challenge
Select order: Custom
Select which rule this will fire after: MC Large Providers
Regel 5 – Webhoster, gefährliche Pfade & TOR blockieren
Diese letzte Regel ist die härteste – sie blockiert komplett statt nur zu challengen. Sie deckt eine umfangreiche Liste bekannter problematischer Hosting-Anbieter ab, blockiert den Zugriff auf sensible WordPress-Dateien und verhindert Traffic von TOR-Exit-Nodes.
Keine Anpassung nötig – diese Regel funktioniert universell für alle WordPress-Sites.
Rule name: Block Web Hosts, Paths & TOR
Edit Expression:
(ip.src.asnum in {200373 198571 26496 31815 18450 398101 50673 7393 14061 205544 199610 21501 16125 51540 264649 39020 30083 35540 55293 36943 32244 6724 63949 7203 201924 30633 208046 36352 25264 32475 23033 212047 31898 210920 211252 16276 23470 136907 12876 210558 132203 61317 212238 37963 13238 2639 20473 63018 395954 19437 207990 27411 53667 27176 396507 206575 20454 51167 60781 62240 398493 206092 63023 213230 26347 20738 45102 24940 57523 8100 8560 6939 14178 46606 197540 397630 9009 11878}) or (http.request.uri.path contains "xmlrpc") or (http.request.uri.path contains "wp-config") or (http.request.uri.path contains "wlwmanifest") or (cf.verified_bot_category in {"Other"}) or (ip.src.country in {"T1"})Choose action: Managed Challenge
Select order: Last
Hinweis zu TOR: ip.src.country in {"T1"} ist Cloudflares spezieller Code für TOR-Exit-Nodes. Für E-Commerce-Sites empfehlen wir die vollständige Blockierung.
Hinweis zu KI-Crawlern: Falls du KI-Suchmaschinen blockieren möchtest, ergänze or (cf.verified_bot_category in {"AI Crawler" "Other"}) und entferne gleichzeitig "AI Crawler" aus Regel 1.
Zusammenfassung
|
# |
Regelname |
Aktion |
Anpassung nötig? |
|---|---|---|---|
|
1 |
Allow good bots |
Skip |
Ja – IPs & ASN |
|
2 |
Aggressive Crawlers |
Challenge |
Nein |
|
3 |
MC Large Providers |
Challenge |
Ja – IPs |
|
4 |
MC VPN & Login Path |
Challenge |
Ja – Login-Pfad |
|
5 |
Block Web Hosts, Paths & TOR |
Block |
Nein |
Mit diesen 5 Regeln lässt sich jede WordPress-Site effektiv schützen – vollständig mit dem kostenlosen Cloudflare-Plan. Der wichtigste Punkt: Regel 1 muss alle verbleibenden Custom Rules überspringen (Skip – All remaining custom rules aktivieren), sonst blockiert Cloudflare WordPress-eigene Funktionen wie REST-API und WP-Cron.
Weitere wichtige Cloudflare-Sicherheitseinstellungen
Die WAF-Regeln sind ein wichtiger Bestandteil der Cloudflare-Sicherheit, aber nicht der einzige. In diesem Abschnitt findest du weitere empfohlene Einstellungen, die du nach der Einrichtung der WAF-Regeln konfigurieren solltest.
SSL/TLS
Gehe zu SSL/TLS → Overview → Configure
Stelle dann den Verschlüsselungsmodus unter Custom SSL/TLS auf Full (Strict). Diese Einstellung verschlüsselt den gesamten Traffic zwischen Cloudflare und deinem Server end-to-end. Ohne diese Einstellung könnte Traffic zwischen Cloudflare und deinem Server unverschlüsselt übertragen werden.
Gehe zu SSL/TLS → Edge Certificates und aktiviere folgende Optionen:
Always Use HTTPS leitet alle HTTP-Anfragen automatisch auf HTTPS um. Aktiviere zusätzlich Opportunistic Encryption für zusätzliche Verschlüsselung auch bei HTTP-Verbindungen. Aktiviere außerdem Automatic HTTPS Rewrites, um unsichere Links auf deiner Website automatisch zu korrigieren.
Security Settings
Gehe zu Security → Settings
Bot Fight Mode sollte aktiviert sein. Diese kostenlose Funktion erkennt und challenged automatisch bekannte Bot-Muster, ohne dass du dafür eine WAF-Regel benötigst.
Browser Integrity Check sollte aktiviert sein. Cloudflare prüft dabei den HTTP-Header des Browsers auf bekannte Angriffsmuster.
Stelle sicher, dass Challenge Passage Timeout auf 30 Minuten gesetzt ist. Diese Einstellung legt fest, wie lange ein Besucher nach einer erfolgreich bestandenen Challenge (Managed Challenge, Interactive Challenge oder Non-Interactive Challenge) deine Website besuchen kann, ohne erneut gechallengt zu werden. Nach Ablauf der 30 Minuten wird bei Bedarf eine neue Challenge ausgestellt.
Network
Gehe zu Network
Aktiviere WebSockets – WebSockets ist eine Kommunikationstechnologie, die eine dauerhafte, bidirektionale Verbindung zwischen Browser und Server ermöglicht.
Deaktiviere Onion Routing. Diese Einstellung erlaubt es TOR-Nutzern, über Cloudflares eigenes Netzwerk auf deine Website zuzugreifen, anstatt über TOR-Exit-Nodes. Da wir TOR-Traffic bereits in Regel 5 mit ip.src.country in {"T1"} vollständig blockieren, würde Onion Routing diesen Schutz unterlaufen.
