Rate Limiting
Was ist Rate Limiting?
Rate Limiting – auf Deutsch Anfragebegrenzung – ist eine Technik, die die Anzahl von Anfragen an einen Server innerhalb eines bestimmten Zeitraums begrenzt. Kommt zu viel Traffic von einer einzelnen IP-Adresse oder einem Nutzer, werden weitere Anfragen blockiert oder verlangsamt. Für WordPress-Websites ist Rate Limiting ein wichtiges Werkzeug gegen Brute-Force-Angriffe, Spam und übermäßige API-Nutzung.
Wo Rate Limiting in WordPress relevant ist
- Login-Seite (wp-login.php) – das häufigste Angriffsziel. Ohne Rate Limiting können Angreifer tausende Passwort-Kombinationen pro Minute ausprobieren. Ein Login-Limit von 3–5 Versuchen pro Minute ist Standard-Sicherheitshygiene.
- Kommentarformulare – Spam-Bots versuchen, massenweise Kommentare einzureichen. Rate Limiting reduziert den Erfolg automatisierter Einreichungen erheblich.
- WordPress REST API – öffentlich zugängliche API-Endpunkte können ohne Begrenzung für Denial-of-Service-Angriffe genutzt werden.
- Kontaktformulare und Suchanfragen – wiederholte Anfragen in kurzer Zeit können den Server unter Last setzen.
Rate Limiting in WordPress umsetzen
Sicherheits-Plugins wie Wordfence, Limit Login Attempts Reloaded oder WP Cerber bringen Login-Rate-Limiting out of the box mit. Für die REST API und allgemeines HTTP-Rate-Limiting ist die Serverebene der bessere Ort – über Nginx-Konfiguration, Apache-Module oder eine vorgelagerte Web Application Firewall (WAF) wie Cloudflare.
Rate Limiting vs. IP-Sperrung
Rate Limiting ist sanfter als eine vollständige IP-Sperrung: Es verlangsamt oder stoppt übermäßige Anfragen temporär, ohne legitime Nutzer dauerhaft auszusperren. Eine IP-Sperre ist die härtere Maßnahme für bekannte Angreifer oder nach wiederholten Verstößen gegen das Limit.
