Cloudflare 5-Sekunden-Schild: 3 Konfigurationstipps für SEO und UX
Einleitung
Server-CPU bei 100 %, Traffic zehnfach – typischer CC-Angriff. Im Cloudflare-Dashboard „I’m Under Attack” aktivieren, 30 Sekunden später sinkt die Serverlast.
Am nächsten Tag Google Search Console: Index von über 1.200 auf unter 800 – minus 30 %. Ursache: Der 5-Sekunden-Schild blockiert auch Suchmaschinen-Crawler.
Ohne Schild hält man den Angriff nicht aus, mit Schild leiden SEO und UX. Dieser Artikel zeigt, wie Cloudflares 5-Sekunden-Schild Angriffe abwehrt und SEO sowie Nutzererlebnis möglichst schont.
Kapitel 1: Was ist der 5-Sekunden-Schild (Under-Attack-Modus)?
Funktionsweise: Was in den 5 Sekunden passiert
Kurz gesagt legt Cloudflare zwischen Website und Besucher eine Prüfbarriere. Statt direktem Zugriff erscheint eine Übergangsseite – etwa 5 Sekunden Wartezeit.
In dieser Zeit passiert Folgendes:
Schritt 1: Der Browser sendet automatisch die erste Anfrage. Cloudflare setzt das __cfduid-Cookie – ein temporärer Pass.
Schritt 2: Der Browser sendet eine zweite Anfrage mit verschlüsselten Parametern. Nach Prüfung setzt Cloudflare das cf_clearance-Cookie – der echte Pass, Standard-Gültigkeit 30 Minuten.
Schritt 3: Mit beiden Cookies fordert der Browser die Startseite an. Cloudflare prüft und lässt durch – erst dann lädt der Seiteninhalt.
Zusätzlich im Hintergrund:
- JavaScript-Prüfung: Obfuskiertes JS prüft, ob der Browser JavaScript ausführt. Normale Browser bestehen, einfache Crawler und Angriffsskripte scheitern oft.
- Browser-Fingerprinting: Auflösung, Plugins, Systemschriften usw. bilden einen einzigartigen Fingerabdruck – erkennt Tools, die sich als Browser tarnen.
- Verhaltensanalyse: Request-Frequenz, User-Agent, Mausbewegungen – Mensch oder Bot?
Unterschied zu anderen Security Levels
Cloudflare bietet mehrere Stufen – nicht nur den 5-Sekunden-Schild:
| Security Level | Prüfung | Nutzererlebnis | Einsatz |
|---|---|---|---|
| Low | Kaum Blockierung | Unsichtbar | Test, API |
| Medium | Leichte Challenge bei verdächtigen IPs | Gelegentlich wenige Sekunden | Alltag (empfohlen) |
| High | Strengere Challenge | Häufige Verifikation | Kleine Angriffe |
| I’m Under Attack | Alle warten 5 Sekunden | Erstbesuch immer 5 Sek. | Laufender DDoS/CC |
Im Alltag reicht Medium. Nur bei echtem Angriff temporär auf I’m Under Attack – nicht dauerhaft wie eine Gasmaske im Alltag.
Wogegen der Schild schützt
Netzwerkangriffe folgen dem OSI-Modell – je höher die Schicht, desto näher an der Anwendung.
Der Schild schützt vorwiegend vor Layer-7-Angriffen – CC-Angriffe (Challenge Collapsar): simulierte normale Besucher in großer Menge, Serverressourcen erschöpft.
Gegen volumetrische DDoS (UDP Flood, SYN Flood) wirkt er begrenzt – Cloudflare nutzt andere Mechanismen. Offiziell: „zusätzliche Sicherheitsprüfungen zur Minderung von Layer-7-DDoS” – Minderung, nicht vollständige Blockade. Bei sehr großem DDoS braucht es weitere Maßnahmen.
Kapitel 2: Reale Auswirkungen auf SEO und Nutzererlebnis
Kommen Suchmaschinen-Crawler durch?
Es kommt darauf an.
Googlebot führt JavaScript aus und kann theoretisch bestehen. Crawler-Zeit ist knapp – statt 5 Sekunden zu warten, crawlt Google erst andere Sites und kommt später zurück.
Beobachtungen in der Search Console nach Aktivierung:
- Crawl-Frequenz sinkt: von ~1.200/Tag auf 400–600.
- Mehr Crawl-Fehler: Timeouts, Serverfehler.
- Langsamere Indexierung: neue Artikel von 1–2 auf 4–5 Tage.
Baidu-Crawler: schwaches JavaScript – Crawling scheitert meist. Ein Bekannter mit chinesischer Site: 3 Tage Schild, Index von 2.000+ auf ~1.000.
Bing: zwischen Google und Baidu – langsamer, Index −15–20 %.
Reale Nutzerdaten
Ein A/B-Test vor und nach Aktivierung:
Absprungrate explodiert:
- Vorher: 35 %
- Nachher: 62 %
- Anstieg: 77 %
Fast 6 von 10 neuen Besuchern schließen nach der 5-Sekunden-Seite. Mobil bis 75 %.
Verweildauer:
- Vorher: 3:15
- Nachher: 1:48
- Rückgang: 45 %
Conversion halbiert:
Bei Registrierung oder Kauf rechnen Sie mit etwa halber Conversion. Nutzer klicken motiviert – warten 5 Sekunden – Stimmung kippt.
Ein E-Commerce-Bekannter: Angriff, Schild aktiv, Bestellungen von 60 auf 22 – Angriff abgewehrt, Umsatz auch.
Verzerrte Analytics-Daten
Cloudflare-Dokumentation: „Da JavaScript für die Übergangsseite nötig ist, ist Störung von JavaScript-basierten Analytics-Tools erwartbar.”
Google Analytics zeigt weniger:
- Auf der Warte-Seite kein GA-Tracking
- Abspringende Nutzer fehlen in den Statistiken
- Sichtbar nur „bestandene” Besucher – tatsächlicher Traffic höher
Heatmaps unbrauchbar:
Hotjar, Crazy Egg erfassen kein Verhalten auf der Warte-Seite. Die Hälfte scheint gar nicht anzukommen.
Ad-Tracking blind:
Google Ads, Facebook Pixel laden auf der Challenge-Seite nicht – Budget verbraucht, Conversions unsichtbar.
Katastrophe für APIs und Drittanbieter
Für Webseiten erträglich, für APIs verheerend.
Problem 1: API-Anfragen scheitern
Programm-zu-Programm – kein JavaScript, keine 5 Sekunden Wartezeit, sofort Fehler.
Extremfall: Mobile App mit Cloudflare-geschützter API, versehentlich site-weiter Schild – 50.000+ aktive Nutzer, App tot, Support überlastet.
Problem 2: Drittanbieter-Integrationen brechen ab
- Payment-Callbacks (PayPal, Stripe)
- Webhooks (GitHub, Slack)
- RSS
- Monitoring (Uptime Robot)
Keine Challenge-Prüfung – alles blockiert. Payment-Callback-Fehler: Nutzer zahlt, Shop erhält keinen Status – Support-Chaos.
Problem 3: Mobile Apps nicht erreichbar
iOS/Android über Web-API: Schild = App permanent „Loading”, dann Netzwerkfehler.
Fazit: Bei API, Mobile App oder wichtigen Integrationen niemals site-weit den Schild aktivieren. Page Rules zum Ausschließen – Kapitel 3 im Detail.
Kapitel 3: Schild nur für bestimmte Pfade (Page Rules)
Was sind Page Rules?
Bedingte Regeln: pro URL-Pfad unterschiedliche Security Level, Cache-Strategien usw.
Beispiel:
example.com/api/*→ Security Level Lowexample.com/admin/*→ I’m Under Attack- Rest → Medium
Gezilter Schutz – nur wo nötig.
Hinweis: Cloudflare kündigte im Juni 2024 an, Page Rules schrittweise durch Configuration Rules, Cache Rules usw. zu ersetzen. Bestehende Page Rules bleiben nutzbar, Migration übernimmt Cloudflare.
Free: 3 Page Rules – für viele persönliche Sites ausreichend. Pro: 20, Business: 50.
URL-Matching: Wildcard *
Grundregeln:
*matcht beliebige Zeichenketten (auch leer)- Überall in der URL
- Mehrere
*möglich
Typische Muster:
example.com/api/*
→ matcht example.com/api/users
→ matcht example.com/api/posts/123
→ matcht nicht example.com/apiv2/users (api braucht Schrägstrich)
example.com/*.jpg
→ matcht example.com/logo.jpg
→ matcht example.com/images/banner.jpg
→ matcht nicht example.com/logo.png
example.com/*admin*
→ matcht example.com/wp-admin
→ matcht example.com/admin/users
→ matcht example.com/myadmin
Priorität (sehr wichtig):
Ausführung von oben nach unten – erste passende Regel gewinnt.
- Spezifische Regeln oben, Wildcards unten
- Falsche Reihenfolge: Wildcard frisst alles
Falsch:
Regel 1: example.com/* → I'm Under Attack
Regel 2: example.com/api/* → Low
Regel 2 greift nie.
Richtig:
Regel 1: example.com/api/* → Low
Regel 2: example.com/* → I'm Under Attack
Szenario 1: Login und Admin schützen
Häufigstes Szenario – Angreifer zielen auf Login-Bruteforce.
WordPress-Beispiel:
Regel 1: wp-admin
- URL:
example.com/wp-admin* - Security Level → I’m Under Attack
Regel 2: Login
- URL:
example.com/wp-login.php - Security Level → I’m Under Attack
Regel 3: Rest
- URL:
example.com/* - Security Level → Medium
Nur Admin und Login triggern den Schild – normale Artikel-Leser und SEO unberührt.
Szenario 2: API ausschließen
API darf nicht blockiert werden:
Regel 1: API niedrig
- URL:
example.com/api/* - Security Level → Low
Regel 2: Mobile-API-Subdomain
- URL:
api.example.com/* - Security Level → Low
Regel 3: Rest hoch
- URL:
example.com/* - Security Level → I’m Under Attack
API-Regeln zuerst.
Mehrere API-Versionen:
example.com/api/v1/*
example.com/api/v2/*
Verbraucht Regeln. Kompakter:
example.com/api*
Szenario 3: Dynamische Seiten schützen, statische Assets durchlassen
Bilder, CSS, JS brauchen keinen Schild – Blockierung lädt Seiten unvollständig.
Regel 1: Bilder
- URL:
example.com/*.jpg - Security Level → Low, Cache Level → Cache Everything
Weitere Endungen einzeln – verbraucht Regeln. Besser: CDN-Subdomain:
cdn.example.com/*→ Low
Regel 2: Dynamische Seiten
- URL:
example.com/* - Security Level → I’m Under Attack
HTML geschützt, Assets laden normal – besseres UX.
Vollständige Konfiguration
Schritt 1: Cloudflare Dashboard, Domain wählen.
Schritt 2: Rules → Page Rules (ggf. Page Rules (Legacy)).
Schritt 3: Create Page Rule, URL z. B.:
example.com/api/*
+ Add a Setting → Security Level → Low → Save and Deploy.
Schritt 4: Weitere Regeln – Reihenfolge beachten.
Schritt 5: Priorität per Drag – spezifisch oben, Wildcard unten.
Schritt 6: Inkognito testen:
- API ohne Schild ✓
- Normale Seite mit Schild ✓
- Statische Assets laden ✓
Free-Tier: 3 Regeln optimal nutzen
Regel 1: Wichtigster Eingang
example.com/wp-admin*
Security Level: I'm Under Attack
Regel 2: API und statische Assets
example.com/api*
Security Level: Low
Regel 3: Rest mittel
example.com/*
Security Level: Medium
Kritische Bereiche geschützt, Alltag ungestört. Ohne Angriff nicht auf I’m Under Attack wechseln.
Kapitel 4: Challenge Passage – Best Practices
Was ist Challenge Passage?
Nach bestandener Prüfung speichert Cloudflare cf_clearance – temporärer Pass. Challenge Passage = Gültigkeitsdauer.
Standard: 30 Minuten – danach erneute Prüfung beim nächsten Besuch.
Technische Details:
Clock-Skew-Puffer: Zusätzliche Minuten gegen Client-Server-Zeitabweichung.
XMLHttpRequest: Ajax erhält bis zu 1 Stunde Extra – verhindert häufiges Ablaufen bei SPAs mit kurzem Cache.
Security-Level-Vererbung: Interactive Challenge bestanden → Cookie gilt für alle Stufen. Nur niedrige Stufe bestanden → bei hoher Stufe erneut prüfen.
Einstellung
Cloudflare Dashboard:
Security → Settings → Challenge Passage
Bearbeiten, Minuten eingeben – empfohlen 15–45 Minuten. Global für die Domain, nicht pro Pfad.
Empfehlungen nach Szenario
Hohe Sicherheit (Finanzen, Zahlung): 15–20 Min.
- Online-Banking, Payment, OA
- Sicherheit vor UX, kurze Sessions
Ausgewogen (E-Commerce, SaaS): 30 Min.
- Meiste Business-Sites
- Einkauf oder Browsing in 30 Min. abgeschlossen
UX-Priorität (Content, Blog, Medien): 40–45 Min.
- News, Tech-Blogs, Video
- Lange Sessions, mehrere Artikel
Eigener Tech-Blog: 40 Min. – Leser lesen oft mehrere Artikel hintereinander.
Drei typische Irrtümer
Irrtum 1: Kürzer = sicherer
5 Minuten klingt sicherer – Trugschluss. Kern ist Mensch/Bot-Trennung, nicht Schutz vor Wiederholungsbesuchen desselben Menschen. Echter Angriff scheitert beim ersten Mal oder umgeht die Prüfung – 5 vs. 30 Min. egal.
Irrtum 2: Stundenlang für bessere UX
2 Stunden klingt bequem – aber: Nutzer in Café mit öffentlichem WLAN bestand Prüfung, Cookie bleibt – andere im selben Netz oder Angreifer könnten es nutzen. Obergrenze 45 Min. ist bewusst gesetzt.
Irrtum 3: Gilt für alle Regeltypen
Challenge Passage gilt nicht für Rate Limiting Rules. Rate Limit getriggert → erneute Prüfung, unabhängig von Challenge Passage.
Passende Einstellung erkennen
1. Nutzerbeschwerden
„Immer wieder 5 Sekunden warten” → evtl. zu kurz. Typisches Surfverhalten prüfen.
2. Security Events
Viele wiederholte Challenges derselben IP in kurzer Zeit → evtl. zu kurz.
3. Absprung und Verweildauer
Plötzlicher Absprung-Anstieg, kürzere Verweildauer → evtl. Zweit-Challenge während des Surfens.
Eine Woche beobachten, dann feinjustieren – keine Extremwerte von Anfang an.
Kombination mit WAF
Oft reicht WAF + gezielter Schild statt site-weit + kurzer Passage:
-
WAF filtert offensichtlichen Schadtraffic
- Bekannte böse IP-Ranges
- Verdächtige User-Agents
- Request-Limits
-
Schild nur auf kritischen Pfaden
- Page Rules: Login, Registrierung, Payment
- Rest Medium/High
-
Challenge Passage sinnvoll
- 30 Min. für die meisten Sites
~90 % Angriff via WAF, ~10 % via Schild – sicher und nutzerfreundlich.
Kapitel 5: 7 Best Practices
Praxis 1: Nicht dauerhaft site-weit
Häufigster Anfängerfehler: Panik bei Angriff, Schild an – Monate später noch aktiv.
Richtig:
- Nur bei klarem Angriff temporär
- Nach 1–3 Tagen auf Medium/High
- Monitoring (UptimeRobot)
- Wöchentliche Erinnerung Security Level prüfen
Eigene Regel: Nach Aktivierung 48-Stunden-Alarm – neu bewerten.
Praxis 2: Page Rules für gezielten Schutz
Site-weiter Schild = alle Türen verschweißen. Besser: nur wichtige Türen abschließen.
Schützen:
- Login (
/login,/wp-login.php) - Registrierung (
/register,/signup) - Admin (
/admin,/wp-admin) - Payment (
/checkout,/payment) - Formulare (
/contact,/comment)
Ausschließen:
- API (
/api/*,/rest/*) - Statische Assets (
/*.jpg,/*.css,/*.js) - RSS (
/feed,/rss.xml) - robots.txt, sitemap.xml
- Health (
/health,/status)
Tech-Blog-Ideal:
Regel 1: example.com/wp-admin* → I'm Under Attack
Regel 2: example.com/xmlrpc.php → I'm Under Attack
Regel 3: example.com/* → Medium
Praxis 3: Custom Challenge Page (Paid)
Standard-Seite ist Englisch – Paid-Pläne erlauben Anpassung.
Custom Pages → 5-Second Shield, eigenes HTML.
Empfohlene Elemente:
- Logo und Site-Name
- Erklärung: „Browser-Sicherheit wird geprüft, bitte warten …”
- Countdown-Animation
- Kurzer Grund: Schutz vor Angriffen
- Kontakt bei Problemen
Bestes Beispiel: Mini-Spiel während der Wartezeit – deutlich besseres Gefühl.
Praxis 4: WAF-Regeln
Schild ist letzte Linie – WAF entlastet vorher.
Empfohlene WAF-Regeln:
Regel 1: Böse IP-Ranges
(ip.geoip.country in {"CN"} and cf.threat_score > 30)
→ Action: Block
(Nur Beispiel – an Zielgruppe anpassen)
Regel 2: Verdächtige User-Agents
(http.user_agent contains "curl" or http.user_agent contains "python")
→ Action: Challenge
Regel 3: API-Rate-Limit
(http.request.uri.path contains "/api/" and rate > 100/1m)
→ Action: Block for 1h
Regel 4: Login schützen
(http.request.uri.path eq "/wp-login.php" and rate > 5/5m)
→ Action: Challenge
Mit WAF: ~90 % Angriff vorab blockiert.
Praxis 5: Crawler-Whitelist
Verbessert SEO deutlich – Google kann zwar bestehen, reibungsloses Crawling ist besser.
Methode 1: WAF User-Agent
(http.user_agent contains "Googlebot" or
http.user_agent contains "Bingbot" or
http.user_agent contains "Baiduspider")
→ Skip: Security Level for this request
Methode 2: Crawler-IP-Whitelist
Google, Bing veröffentlichen Crawler-IP-Ranges – IP Access Rules.
Google-Referenz:
https://developers.google.com/search/docs/advanced/crawling/verifying-googlebot
Hinweis: User-Agent-Spoofing möglich – IP + User-Agent oder DNS-Reverse-Lookup sicherer.
Praxis 6: Monitoring und Anpassung
Konfiguration ist kein Einmal-Job.
Wöchentliche Checkliste:
-
Security Events (
Security→Events)- Blockierungen, Regeln, IP-Verteilung
- False Positives?
-
Analytics
- Traffic, Absprung, Verweildauer
-
Google Search Console
- Crawl-Frequenz, Index, Fehler
-
Nutzerfeedback
- Support, Social Media
Eigene Routine: Montag 10 Uhr, 15 Minuten, Excel-Protokoll – bei Anomalie sofort anpassen.
Praxis 7: Eigene Domain für Mobile Apps
Bei iOS/Android-Apps: separate Subdomain für API.
Architektur:
www.example.com– Frontend, Schild möglichapi.example.com– API, kein Schildadmin.example.com– Admin, Schild + Extra-Auth
Sicherheit:
- API Key oder JWT
- WAF Rate Limits
- IP-Whitelist für App-Egress
Vorteile:
- App unberührt
- Frontend kann Schild nutzen
- Entkopplung, einfachere Wartung
- Pro Domain eigene CDN-Strategie
Kundenbeispiel: häufige Angriffe auf Website, 200.000 DAU in der App – eigene API-Domain, Schild auf www, App läuft weiter.
Fazit
Drei Kernpunkte:
1. Notfallwaffe, kein Dauerschild
Wie Notbremse – im Ernstfall lebensrettend, nicht dauerhaft treten. Alltag: Medium + WAF. Angriff: temporär I’m Under Attack.
2. Page Rules für Präzision
Nicht site-weit – nur Login, Registrierung, Payment. Free: 3 Regeln reichen bei sorgfältiger Planung.
3. Sicherheit und UX ausbalancieren
Keine ewige Konfiguration. Site-Typ, Nutzerverhalten, Angriffs-Lage beobachten. 30 Min. Challenge Passage als Startpunkt – Daten entscheiden.
Aktionsliste:
- Jetzt prüfen: Welches Security Level? I’m Under Attack ohne Angriff → bewerten.
- Page Rules: Mindestens 2 Regeln nach Kapitel 3.
- Challenge Passage: 15–45 Min. passend zum Site-Typ.
- Testen: Inkognito, verschiedene Pfade.
- Monitoring: Wöchentlich Security Events und Analytics.
Wenn der Artikel geholfen hat – teilen Sie ihn mit anderen, die gegen DDoS kämpfen. Erfahrungen und Fragen gerne in die Kommentare.
Cloudflare 5-Sekunden-Schild: Präziser Schutz – kompletter Ablauf
Von der Funktionsweise über Page Rules bis Challenge Passage und 7 Best Practices – DDoS-Abwehr mit minimaler SEO- und UX-Belastung
Estimated time: PT30M
-
1
Step 1: Funktionsweise und Einsatz verstehen
Funktionsweise: -
2
Step 2: SEO- und UX-Auswirkungen kennen
SEO: -
3
Step 3: Page Rules für gezielten Schutz
Page Rules: bedingte Regeln pro URL-Pfad. Free 3, Pro 20, Business 50. Wildcard * überall. Beispiele: example.com/api/, example.com/.jpg, example.com/admin. Priorität: oben nach unten, spezifisch zuerst. Szenario 1: wp-admin + wp-login → I’m Under Attack, Rest Medium. Szenario 2: API Low zuerst, Rest I’m Under Attack. Szenario 3: statische Assets Low, dynamische Seiten I’m Under Attack. Schritte: Dashboard → Rules → Page Rules → Create → Security Level → Reihenfolge → Inkognito-Test. -
4
Step 4: Challenge Passage optimieren
Definition: Gültigkeit des cf_clearance-Cookies nach bestandener Prüfung. Standard 30 Min. Einstellung: Security → Settings → Challenge Passage, 15–45 Min., global. Empfehlungen: Finanzen 15–20 Min., E-Commerce 30 Min., Content 40–45 Min. Irrtümer: kürzer ≠ sicherer; zu lang = Risiko; gilt nicht für Rate Limiting. Passung prüfen: Beschwerden, Security Events, Absprung/Verweildauer. -
5
Step 5: 7 Best Practices umsetzen
1) Nicht dauerhaft site-weit – temporär bei Angriff, danach Medium/High, wöchentlich prüfen. 2) Page Rules – schützen Login/Admin/Payment, ausschließen API/Assets/RSS/robots/sitemap/health. 3) Custom Challenge Page (Paid). 4) WAF + gezielter Schild, 30 Min. Passage. 5) Crawler-Whitelist per WAF/IP. 6) Wöchentlich Security Events, Analytics, GSC, Feedback. 7) api.example.com für Apps, www mit Schild, admin mit Extra-Auth.
FAQ
Was ist der Cloudflare 5-Sekunden-Schild (Under-Attack-Modus)? Wie funktioniert er?
In diesen 5 Sekunden passiert Folgendes:
• Schritt 1: Der Browser sendet die erste Anfrage, Cloudflare setzt das __cfduid-Cookie (temporärer Pass)
• Schritt 2: Der Browser sendet eine zweite Anfrage mit verschlüsselten Parametern; nach Prüfung setzt Cloudflare das cf_clearance-Cookie (echter Pass, Standard: 30 Minuten)
• Schritt 3: Der Browser fordert die Startseite mit beiden Cookies an – Cloudflare prüft und lässt durch
Zusätzlich prüft Cloudflare per JavaScript, Browser-Fingerprint und Verhaltensanalyse, ob ein Mensch oder ein Bot zugreift.
Der Schild schützt vorwiegend vor Layer-7-Angriffen (CC-Angriffe). Gegen volumetrische DDoS (UDP Flood, SYN Flood) wirkt er begrenzt – dafür nutzt Cloudflare andere Mechanismen.
Welche Auswirkungen hat der 5-Sekunden-Schild auf SEO und Nutzererlebnis?
Google-Crawler:
• Können die Prüfung theoretisch bestehen, aber die Crawl-Frequenz sinkt deutlich (von ~1.200/Tag auf 400–600)
• Mehr Crawl-Fehler (Timeouts, Serverfehler)
• Langsamere Indexierung (neue Artikel: von 1–2 Tagen auf 4–5 Tage)
• Index-Umfang kann um 30 %+ sinken
Baidu-Crawler:
• Schwache JavaScript-Ausführung – Crawling scheitert meist
• Index kann halbiert werden
Bing:
• Zwischen Google und Baidu – langsamer, Index-Rückgang 15–20 %
Nutzererlebnis:
• Absprungrate von 35 % auf 62 % (+77 %), mobil bis 75 % – fast 6 von 10 neuen Besuchern schließen nach der 5-Sekunden-Wartezeit
• Verweildauer von 3:15 auf 1:48 (−45 %)
• Conversion halbiert – E-Commerce-Bestellungen können um die Hälfte sinken
API und Drittanbieter:
• API-Anfragen scheitern (kein JavaScript)
• Payment-Callbacks, Webhooks, RSS, Monitoring brechen ab
• Mobile Apps nicht erreichbar
Wie aktiviere ich den 5-Sekunden-Schild nur für bestimmte Pfade per Page Rules?
Plan-Limits:
• Free: 3 Page Rules
• Pro: 20
• Business: 50
URL-Matching:
• Wildcard * für beliebige Zeichenketten, überall in der URL
• Beispiele:
- example.com/api/* – alle API-Pfade
- example.com/*.jpg – alle JPG-Bilder
- example.com/*admin* – Pfade mit admin
Priorität (sehr wichtig):
• Ausführung von oben nach unten – erste passende Regel gewinnt
• Spezifische Regeln nach oben, Wildcards nach unten
• Falsche Reihenfolge: Wildcard „frisst“ alle Anfragen, spezifische Regeln greifen nie
Szenario 1 – nur Login und Admin:
• Regel 1: wp-admin (example.com/wp-admin*, Security Level: I'm Under Attack)
• Regel 2: Login (example.com/wp-login.php, Security Level: I'm Under Attack)
• Regel 3: Rest (example.com/*, Security Level: Medium)
Szenario 2 – API ausschließen:
• Regel 1: API (example.com/api/*, Security Level: Low)
• Regel 2: Rest (example.com/*, Security Level: I'm Under Attack)
• API-Regel muss zuerst stehen
Schritte:
1. Cloudflare Dashboard → Rules → Page Rules
2. Create Page Rule
3. URL-Muster eingeben
4. + Add a Setting → Security Level
5. Save and Deploy
6. Weitere Regeln anlegen
7. Reihenfolge per Drag anpassen
8. Im Inkognito-Modus testen
Was ist Challenge Passage? Wie stelle ich sie ein?
Standard: 30 Minuten – in dieser Zeit keine erneute 5-Sekunden-Seite.
Einstellung:
• Cloudflare Dashboard → Security → Settings → Challenge Passage
• Bearbeiten, Zeit in Minuten – empfohlen: 15–45 Minuten
• Global für die gesamte Domain, nicht pro Pfad
Empfehlungen:
Hohe Sicherheit (Finanzen, Zahlung): 15–20 Min.
• Online-Banking, Payment, Unternehmens-OA
Ausgewogen (E-Commerce, SaaS): 30 Min. (Standard)
• Die meisten Business-Sites
UX-Priorität (Content, Blog, Medien): 40–45 Min.
• News, Tech-Blogs, Video – längere Sessions, weniger Unterbrechungen
Typische Irrtümer:
• Kürzer = sicherer (Trugschluss – Kern ist Mensch/Bot-Trennung, nicht Wiederholungs-Schutz)
• Stundenlang (Cookie zu lange = Sicherheitsrisiko, Obergrenze 45 Min. sinnvoll)
• Gilt für alle Regeln (nicht für Rate Limiting Rules)
Welche Best Practices gibt es für den 5-Sekunden-Schild?
• Nur bei klarem Angriff temporär
• Nach 1–3 Tagen auf Medium/High zurück
• Monitoring und wöchentliche Sicherheitsstufen-Prüfung
Praxis 2: Page Rules für gezielten Schutz
• Schützen: Login, Registrierung, Admin, Payment, Formulare
• Ausschließen: API, statische Assets, RSS, robots.txt, sitemap.xml, Health-Checks
Praxis 3: Custom Challenge Page (Paid)
• Logo, Erklärung, Countdown, Kontakt
Praxis 4: WAF kombinieren
• WAF filtert offensichtlichen Schadtraffic
• 5-Sekunden-Schild nur auf kritischen Pfaden
• Challenge Passage sinnvoll (30 Min. meist ausreichend)
Praxis 5: Crawler-Whitelist
• WAF: Crawler-User-Agent erkennen
• Bekannte Crawler-IP-Ranges absenken
Praxis 6: Monitoring
• Security Events, Analytics, GSC, Nutzerfeedback wöchentlich
Praxis 7: Eigene Domain für Mobile Apps
• www.example.com – Schild möglich
• api.example.com – kein Schild
• admin.example.com – Schild + Extra-Auth
Unterschied zu anderen Security Levels – wann welches?
Low:
• Kaum Blockierung, unsichtbar für Besucher
• Test, API
Medium (empfohlen im Alltag):
• Leichte Challenge nur bei verdächtigen IPs
• Gelegentlich wenige Sekunden Wartezeit
High:
• Strengere Challenge
• Häufigere Verifikation
• Bei kleineren Angriffen
I'm Under Attack (5-Sekunden-Schild):
• Alle Besucher warten 5 Sekunden beim Erstbesuch
• Bei laufendem DDoS/CC-Angriff
Im Alltag reicht Medium. Nur bei echtem Angriff temporär auf I'm Under Attack – nicht dauerhaft, das belastet SEO und UX.
Der Schild ist Notfallwaffe, kein Dauerschild – wie eine Notbremse: lebensrettend im Ernstfall, nicht zum Dauerfahren.
11 Min. Lesezeit · Veröffentlicht am: 1. Dez. 2025 · Aktualisiert am: 4. Juli 2026
Cloudflare Full Stack
Wenn du über die Suche hier gelandet bist, kommst du am schnellsten weiter, indem du zum vorherigen oder nächsten Beitrag dieser Serie springst.
Vorheriger
Cloudflare Rate Limiting: CC-Angriffe in 5 Minuten abwehren – auch im Free-Tier
Schritt-für-Schritt-Anleitung für Cloudflare Rate Limiting: CC-Schutz in 5 Minuten, Schwellenwerte für Login/API/Webseiten, Free-Tier-Funktionen und typische Fehler vermeiden.
Teil 7 von 23
Nächster
Cloudflare Origin-IP-Whitelist: 3 Methoden zum Blockieren von Nicht-CF-Traffic und Schutz des Origin-Servers
Origin-IP-Leak macht Cloudflare-Schutz wirkungslos? Drei Whitelist-Lösungen (BT-Panel, reines Nginx, Origin-Zertifikat) mit vollständiger IP-Liste, Konfiguration, Troubleshooting und Auto-Update-Skript – Schritt-für-Schritt-Schutz für Ihren Origin-Server.
Teil 9 von 23
Ähnliche Beiträge
Cloudflare Free Plan Limits 2026: Free, Pro und Business richtig wählen

Cloudflare Free Plan Limits 2026: Free, Pro und Business richtig wählen
Cloudflare Pages: Statischen Blog deployen – 5 Frameworks ohne typische Fehler


Kommentare
Melde dich mit GitHub an, um einen Kommentar zu hinterlassen