Rate Limiting und Bot-Schutz für PrestaShop ohne WAF

Rate Limiting und Bot-Schutz fuer PrestaShop ohne WAF

Bots machen 2026 ueber 40% des gesamten Web-Traffics aus. Scraper stehlen Produktdaten, Credential-Stuffing-Bots greifen Login-Seiten an, und Inventory-Hoarding-Bots kaufen limitierten Bestand auf. Dieser Leitfaden zeigt, wie Sie effektiven Bot-Schutz mit Serverkonfiguration, .htaccess-Regeln und leichtgewichtigen Modulen implementieren.

Methode 1 - Apache .htaccess Rate Limiting

Bekannte boesartige User Agents blockieren

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (SemrushBot|AhrefsBot|MJ12bot|DotBot) [NC]
RewriteRule .* - [F,L]

RewriteCond %{HTTP_USER_AGENT} ^-?$
RewriteRule .* - [F,L]

Methode 2 - Nginx Rate Limiting

limit_req_zone $binary_remote_addr zone=login:10m rate=5r/m;
limit_req_zone $binary_remote_addr zone=general:10m rate=10r/s;

location ~ /login$ {
    limit_req zone=login burst=3 nodelay;
}

location / {
    limit_req zone=general burst=20;
}

Methode 3 - fail2ban fuer Brute-Force-Schutz

fail2ban ueberwacht Serverlogs und sperrt automatisch IPs mit bösartigem Verhalten.

Methode 4 - PHP-Level Rate Limiting

Fuer Shared Hosting: dateibasierter Rate Limiter in PHP implementieren.

Methode 5 - robots.txt und Crawl-Kontrolle

User-agent: SemrushBot
Crawl-delay: 10

User-agent: AhrefsBot
Crawl-delay: 10

Methode 6 - CAPTCHA auf kritischen Formularen

reCAPTCHA oder hCaptcha auf Login, Registrierung, Kontaktformular und Newsletter hinzufuegen.

Methode 7 - Cloudflare Free Tier

Auch ohne Pro-Plan: Browser Integrity Check, Bot Fight Mode und Rate Limiting sind kostenlos verfuegbar.

Ueberwachung und Erkennung

awk '{print $1}' /var/log/apache2/access.log | sort | uniq -c | sort -rn | head -20

Zusammenfassung der Schutzschichten