Sicherheit für Onlineshops – Bad-Bots & Co.

Autor: Frank Dahmen

Von Frank Dahmen am 05.02.2026

Lesezeit: 10 Minuten | (3.00 / 5)

Sicherheit Bad-Bots Crawling WAF Rate-Limiting

Wie du aggressives Crawling, Bot-Traffic und Angriffe spürbar reduzierst

TL;DR: Bad-Bots werden zum Problem, wenn sie Suche, Filter, Login oder Checkout in hoher Frequenz antriggern und damit Performance, Verfügbarkeit und Daten schützen. Mit Rate-Limits, WAF/Bot-Management, sauberem Logging, Updates, Backups und einem klaren Notfallplan reduzierst du Risiken, ohne echte Besucher auszuschließen.

IT-Team analysiert Bot-Traffic und Sicherheitswarnungen im OnlineshopBild mit KI-Unterstützung erstellt

Mehr Traffic ist nicht automatisch mehr Umsatz.

Bad-Bots erzeugen nicht nur zusätzliche Requests. Sie können Onlineshops verlangsamen, Systeme durch aggressives Crawling überlasten, Logins automatisiert testen und Produkt- oder Preisdaten abgreifen. Kritisch wird es, wenn Bot-Traffic „teure“ Bereiche triggert (Suche, Filter, Warenkorb, Checkout, API) und dadurch Datenbank, PHP-Worker oder externe Services bindet. Mit einem abgestuften Schutz aus Updates, WAF/Bot-Management, Rate-Limits, sauberem Logging und klaren Notfallmaßnahmen reduzierst du Risiken, ohne echte Besucher zu blockieren.

Sicherheits-Check für Onlineshops anfragen

Warum Bad-Bots für Onlineshops ein echtes Risiko sind

Bad-Bots kosten Geld, weil sie Systeme auslasten, Daten abgreifen oder Sicherheitslücken scannen – oft ohne dass es sofort wie ein „Angriff“ wirkt.

Bad-Bots sind automatisierte Programme, die sich nicht wie normale Besucher verhalten. Sie rufen Seiten in hoher Frequenz ab, testen URL-Strukturen oder versuchen, bekannte Schwachstellen auszunutzen. Im Onlineshop führt das schnell zu höherer Last, längeren Antwortzeiten und im Worst Case zu Fehlern oder Ausfällen – selbst wenn kein Einbruch gelingt.

Typische Ziele sind Scraping (Produkte, Verfügbarkeit, Preise), Login-Angriffe (Credential Stuffing) und systematische Scans auf verwundbare Pfade. Das wirkt oft wie zufälliges Rauschen, folgt aber Mustern: wiederholte Aufrufe „teurer“ Endpunkte, viele 404/403, auffällige Parameter-Kombinationen und Traffic-Spitzen über viele IPs.

Ein oft unterschätzter Effekt: Selbst „nur“ aggressives Crawling verschlechtert die Nutzererfahrung. Wenn Seiten langsamer werden, steigen Abbrüche und Supportfälle. Zusätzlich wachsen Betriebskosten, weil Infrastruktur größer dimensioniert werden muss. Darum funktioniert ein mehrstufiger Schutz am besten: legitime Zugriffe zulassen, auffällige Muster drosseln und erst dann blocken. Solche Schutzkonzepte greifen am besten, wenn sie sauber in dein Shopsystem integriert sind.

Woran du aggressives Crawling und Bot-Traffic erkennst

Du erkennst Bot-Traffic am schnellsten über Logs: hohe Request-Raten, viele Fehlercodes, auffällige User-Agents und Cluster auf Suche, Filter, Login oder Checkout.

Ohne Logs bleibt Bot-Traffic oft lange unsichtbar. Typische Signale sind viele Requests pro IP/Subnetz, ungewöhnliche User-Agents, auffällig viele 404/403/429 oder wiederholte Aufrufe derselben Filter- und Suchkombinationen. Gerade Suche und Filter sind häufig besonders „teuer“, weil sie Datenbankabfragen, Sortierungen und dynamische Inhalte auslösen.

Zusätzlich helfen Performance-Indikatoren: steigende CPU-Last ohne passenden Umsatz, längere PHP-/DB-Laufzeiten, viele parallele Verbindungen oder Peaks zu ungewöhnlichen Zeiten. Wenn sich Requests stark auf wenige Pfade konzentrieren und gleichzeitig Antwortzeiten steigen, ist das ein Hinweis auf gezielte Ausnutzung schwerer Bereiche.

Pragmatischer Dreiklang für die Analyse:

  1. Top-Pfade: Welche URLs werden am häufigsten aufgerufen (inkl. Parameter)?
  2. Statuscodes: Wo häufen sich 404/403/429/5xx und in welchen Clustern?
  3. Laufzeiten: Welche Requests sind langsam und treten in Wellen auf?

Damit kannst du Muster sauber abgrenzen und anschließend gezielt drosseln, challengen oder blocken, ohne echte Nutzer unnötig zu treffen. Für diese Bewertung im Alltag ist ergänzendes Reporting & Analyse extrem wertvoll.

Schutzmaßnahmen: WAF, Rate-Limits, Bot-Management und Regeln

Stufenmodell statt „alles blocken“

Am stabilsten ist ein Stufenmodell aus Rate-Limits, WAF-Regeln und Bot-Management, das erst drosselt, dann challengt und erst bei Wiederholung blockt.

Ein wirksamer Schutz entsteht selten durch eine einzelne Maßnahme. In der Praxis kombinierst du gezielte Rate-Limits für „teure“ Endpunkte mit einer WAF, die bekannte Angriffsmuster filtert (Scan-Pfade, Injection-Strings, Exploit-Versuche). Ergänzend helfen Bot-Management-Lösungen, die Verhalten und Auffälligkeiten bewerten.

Das Stufenmodell funktioniert besonders gut: erst drosseln (damit echte Nutzer nicht sofort scheitern), dann Challenge, dann Block. Wichtig ist die Trennung nach Bereichen: Login, Suche, Filter, Warenkorb und Checkout brauchen meist strengere Regeln als statische Inhalte. Wenn du legitime Crawler ausnimmst, dann nur mit Verifikation – User-Agent alleine reicht nicht. Sobald mehrere Systeme beteiligt sind, hilft zusätzlich eine saubere Schnittstellen- und Systemintegration.

Wichtig: Passe die rot markierten Variablen im Beispiel (Pfade, Schwellenwerte, Ausnahmen) an deine Umgebung an. Starte lieber konservativ und schärfe anhand von Logs nach.

Onlineshop-Schutz aufsetzen

Beispiel: Schutz-Regeln (Rate-Limit & Block-Listen)
# Ziel: Requests auf „teuren“ Endpunkten begrenzen
# (Suche, Filter, Login, Checkout, API)

# Rate-Limits (Beispiel) – pro IP und Endpunkt
/login → 10 Requests/Minute, danach drosseln oder blocken
/suche → 60 Requests/Minute, danach drosseln
/filter → 120 Requests/Minute, danach drosseln

# WAF-Regeln – typische Scan-Muster stoppen
Blockiere /wp-admin, /wp-login, /xmlrpc.php usw.
Blockiere verdächtige Query-Pattern (SQLi/XSS) per WAF

# Bot-Management – abgestufte Reaktion
Bei niedrigem Bot-Score: challenge
Bei Wiederholung: block

# Ausnahmen
Erlaube legitime Crawler nur mit Reverse-DNS/Verifikation
end

Gezielte Angriffe: Scans auf Sicherheitslücken und wie du reagierst

Wenn Scans auftauchen, brauchst du zwei Dinge: schnell drosseln/abschirmen und parallel prüfen, ob es Anzeichen für erfolgreiche Zugriffe gibt.

Neben Bot-Traffic gibt es gezielte Angriffe, die auf bekannte Schwachstellen zielen. Typisch sind automatisierte Scans auf Standardpfade, veraltete Plugins, anfällige Bibliotheken oder falsch konfigurierte Endpunkte. Diese Requests sind ein klares Signal: Dein Onlineshop wird aktiv überprüft – oft verteilt über viele IPs und mit wechselnden User-Agents.

Prävention heißt: OS, Webserver, PHP/Runtime, Bibliotheken und Shop/Plugins regelmäßig aktualisieren, ungenutzte Komponenten entfernen und sensible Bereiche absichern. Dazu gehören begrenzte Zugriffe auf Admin-Pfade, klare Regeln für API-Endpunkte und eine WAF, die Exploit- und Injection-Muster früh filtert. Solche Maßnahmen sind ein wichtiger Teil technischer SEO- & GEO-Optimierungen, weil Stabilität und Erreichbarkeit direkt mit Sichtbarkeit zusammenhängen.

Wenn plötzlich viele 401/403/404 auf verdächtige Pfade auftauchen oder Parameter-Kombinationen eskalieren, geh strukturiert vor:

  1. Schutzmodus: strengere Rate-Limits/Challenges auf betroffenen Pfaden aktivieren.
  2. Integritätscheck: Logs prüfen (Admin-Logins, neue Fehlercluster, ungewöhnliche Uploads).
  3. Zugangsdaten absichern: kompromittierte Passwörter zurücksetzen, 2FA nutzen, Tokens prüfen.
  4. Rückbau unnötiger Angriffsfläche: ungenutzte Endpunkte schließen, Standardpfade hart sperren.

Wichtig ist, Regeln iterativ nachzuschärfen, damit echte Nutzer nicht unnötig blockiert werden.

Praxis-Tipps: Updates, Monitoring, Backups und Notfallplan

Sicherheit wird stabil, wenn du Updates, Monitoring, Backups und einen Notfallplan als Routine behandelst – nicht als Ausnahme.

Ein belastbares Sicherheitskonzept lebt von wiederkehrenden Abläufen. Plane Updates als festen Prozess: testen, ausrollen, dann Smoke-Test über Startseite, Suche, Produkt, Warenkorb und Checkout. Parallel nutzt du Monitoring und Logs, um Bot-Traffic früh zu sehen: auffällige Pfade, viele 429/403, Parameter-Cluster und ungewöhnliche Herkunftsnetze.

Backups sind nur dann wertvoll, wenn du sie wiederherstellen kannst. Bewährt sind ein externes Ziel, Rotation und gelegentliche Restore-Tests. So weißt du im Ernstfall, ob Daten vollständig sind und wie lange die Wiederherstellung dauert.

Für Bot-Spitzen helfen klare Stufen:

  • Normalbetrieb: Baseline-Rate-Limits + WAF-Defaults + sauberes Logging.
  • Schutzmodus: strengere Limits auf Login/Suche/Filter, Challenges für auffällige Muster.
  • Eskalation: temporäre Blocks auf Netzen/Pattern, Fokus auf Checkout-Stabilität.

Ein guter Notfallplan definiert außerdem Verantwortlichkeiten: Wer entscheidet über Schutzmodus? Wer prüft Logs? Wer kommuniziert intern, wenn Checkout betroffen ist? Damit reduzierst du Stress und bleibst handlungsfähig, auch wenn Traffic-Spitzen plötzlich kommen. Für diese laufende Überwachung ist ein verlässliches Monitoring, Reporting und Analyse zentral.

Unsere All-In-One Lösung speziell für JTL-Shop

Unser JTL-Shop Schutz fokussiert auf Merkmalfilter-URLs, weil genau dort Bot-Traffic oft explodiert und Server sowie Datenbank unnötig belastet.

Für JTL-Shop mit umfangreicher Merkmalfilterung haben wir ein Plugin entwickelt, das den Onlineshop gezielt vor Bad-Bots und extremem Bot-Traffic schützt.Die verschachtelte URL-Struktur aus Merkmal-Kombinationen kann sehr viele Varianten erzeugen und dadurch unnötige Requests provozieren. Der Ansatz reduziert diese Last,hält die Performance stabil und lässt echte Besucher normal navigieren, während automatisierte Zugriffe ausgebremst werden. Damit ergänzt die Lösung technische Shopsysteme-Optimierungen direkt um einen wirksamen Schutzlayer.

  • Schutz der Merkmalfilter-URLs: reduziert Bot-Traffic auf verschachtelte Filterkombinationen und entlastet Server sowie Datenbank.
  • Erkennung von Bad-Bots: kombiniert Signale (Request-Muster, Häufigkeit, Pfade), um automatisierten Traffic sauber zu identifizieren.
  • Abwehr typischer Bot-Typen: stoppt Scraper, Fake-Browser-User-Agents und auffällige SEO-Bots.
  • Whitelist mit Verifikation: schont legitime Systeme, damit Indexierung und Tools stabil bleiben.
  • Fail-Safe-Logik: Regeln bleiben alltagstauglich und vermeiden unnötige Sperren echter Nutzer.
  • Transparente Logs: nachvollziehbare Protokolle für Analyse und Feintuning.
  • Konfigurierbar: Anpassung an deine URL-Struktur, Bot-Muster und individuelle Anforderungen.

JTL-Shop Plugin anfragen

Häufige Fragen zu Bad-Bots & Onlineshop-Sicherheit

Bad-Bots sind automatisierte Programme, die Onlineshops gezielt belasten oder ausspähen. Sie verursachen durch aggressives Crawling Performance-Probleme, testen Login-Formulare automatisiert (Credential Stuffing) oder scrapen Produkt- und Preisdaten.

Typische Signale sind ungewöhnlich viele Requests pro IP/Subnetz, auffällige User-Agents, viele 404/403/429 sowie Häufungen auf „teuren“ Bereichen wie Suche, Filter, Login oder Checkout. Log-Auswertung ist hier der schnellste Weg zur Klarheit.

Nur begrenzt. robots.txt ist eine freiwillige Empfehlung für „gutartige“ Crawler. Bad-Bots ignorieren sie häufig. Wirksam sind technische Maßnahmen wie Rate-Limits, WAF/Firewall-Regeln, Bot-Management und abgestufte Challenges.

Starte mit Rate-Limits auf Login/Suche/Filter, aktiviere WAF-Regeln gegen Scan-Muster und setze bei wiederholten Treffern Challenges oder Blocks. Wichtig: iterativ anhand von Logs nachschärfen, damit echte Nutzer nicht ausgesperrt werden.

Besonders kritisch sind Login, Suche, Filter, Warenkorb, Checkout und API-Endpunkte. Diese Bereiche erzeugen hohe Systemlast und sind gleichzeitig attraktive Angriffsziele. Hier bringen gezielte Limits und Regeln meist den größten Effekt.

Mit Vorsicht. User-Agent allein reicht nicht, weil Bots sich ausgeben können. Wenn du whitelisten willst, dann nur mit Verifikation (z. B. Reverse DNS/Netzbereiche) und trotzdem mit sinnvollen Schutzgrenzen.
Wie hilfreich war dieser Beitrag für dich?
Durchschnitt: 3.00 · 1 Bewertung
Hinweis: Die angezeigten Bewertungen werden nicht auf Echtheit überprüft.
Frank Dahmen – Autor

Über Frank Dahmen

Frank Dahmen beschäftigt sich seit den Anfängen des Internetzeitalters Mitte der 1990er Jahre intensiv mit Webentwicklung und Programmierung. Seine langjährige Erfahrung reicht von klassischen Webtechnologien bis hin zu modernen Software- und Systemarchitekturen. Besondere Interessen liegen in den Bereichen IT-Security und Künstliche Intelligenz, er greift aber auch gerne andere Themen rund um das IT-Geschehen auf.

Weiterführende Beiträge

Unsere Lösungen für dich – passend zum Thema

SEO & GEO Optimierungen

Technische SEO, strukturierte Daten und Inhalte, die von Suchmaschinen und KI-Systemen eindeutig verstanden werden.

[Weiterlesen]

Schnittstellen & Systemintegration

Zuverlässige Anbindungen zwischen Onlineshop, Warenwirtschaft, Marktplätzen und externen Systemen.

[Weiterlesen]

Shopsysteme

Stabile, performante Onlineshops auf Basis von JTL – technisch sauber umgesetzt und langfristig wartbar.

[Weiterlesen]

Service-Berater bei nextio.digitalBild mit KI-Unterstützung erstellt
Lass uns über dein Projekt sprechen.

Wir zeigen dir, welche Lösung technisch sinnvoll ist und langfristig funktioniert.

Unverbindlich anfragen
oder direkt
Telefontermin buchen
(02434) 3088-585