DDoS-Schutz einrichten: Schritt-für-Schritt Anleitung für jedermann

Einleitung: Warum Sie JETZT handeln sollten

Stellen Sie sich vor: Ihr Online-Shop läuft super. Plötzlich - von einer Minute auf die andere - ist er offline. Nicht wegen Wartung, nicht wegen eines Fehlers, sondern weil jemand beschlossen hat, ihn mit künstlichem Traffic zu überfluten.

Die gute Nachricht: DDoS-Schutz einzurichten ist einfacher als Sie denken - und oft sogar kostenlos. In diesem Guide zeigen wir Ihnen genau, wie's geht.

Teil 1: Die Schnell-Lösung (15 Minuten, kostenlos)

Cloudflare einrichten - Ihr digitaler Türsteher

Cloudflare ist wie ein Sicherheitsdienst vor Ihrem Geschäft. Alle Besucher werden erst geprüft, bevor sie zu Ihrer Website dürfen.

Schritt 1: Account erstellen

text

1. Gehen Sie auf cloudflare.com
2. Klicken Sie auf "Sign Up" (kostenlos)
3. Geben Sie Email und Passwort ein
4. Bestätigen Sie die Email

Schritt 2: Website hinzufügen

text

1. Nach Login: "Add Site" klicken
2. Ihre Domain eingeben (z.B. mein-shop.de)
3. Free Plan auswählen
4. "Continue" klicken

Schritt 3: DNS-Einträge importieren

Das klingt technisch - ist es aber nicht:

• Cloudflare zeigt automatisch Ihre aktuellen DNS-Einträge

• Prüfen Sie, ob alles wichtigste da ist (www, @, mail etc.)

• Klicken Sie auf "Continue"

Schritt 4: Nameserver umstellen

Der wichtigste Schritt:

text

1. Cloudflare zeigt zwei neue Nameserver:
   z.B. ella.ns.cloudflare.com
        luis.ns.cloudflare.com
   
2. Loggen Sie sich bei Ihrem Domain-Anbieter ein
   (z.B. IONOS, GoDaddy, united-domains)
   
3. Suchen Sie "Nameserver" oder "DNS-Einstellungen"
   
4. Ersetzen Sie die alten durch die Cloudflare-Nameserver
   
5. Speichern - fertig!

Wichtig: Die Änderung kann 24-48 Stunden dauern, ist aber oft schneller.

Teil 2: Die Wichtigsten Einstellungen (5 Minuten)

Sicherheit aktivieren - Ihr Schutzschild

1. SSL/TLS einstellen

text

• SSL/TLS Tab → Overview
• Encryption Mode: "Full" auswählen
• Damit ist Ihre Verbindung verschlüsselt

2. Firewall-Regeln (WAF)

text

• Security → WAF
• "Managed Rules" aktivieren
• Besonders wichtig: OWASP Core Ruleset

3. Rate Limiting (optional im Free Plan)

text

• Security → Rate Limiting
• Regel erstellen für:
   - Pfad: /wp-login.php (für WordPress)
   - Oder: /admin (für andere Systeme)
• Limit: z.B. 5 Anfragen pro Minute
• Blockieren für: 10 Minuten

Teil 3: Server-Härtung (Für VPS/Root-Server)

Fail2Ban installieren - Der Einbrecher-Alarm

bash

# Für Ubuntu/Debian:
sudo apt update
sudo apt install fail2ban

# Konfiguration:
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

Einfache Konfiguration:

text

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = 3600

[http-get-dos]
enabled = true
port = http,https
filter = http-get-dos
logpath = /var/log/nginx/access.log
maxretry = 100
findtime = 60
bantime = 600

Nginx/Apache absichern

Für Nginx:

nginx

# In /etc/nginx/nginx.conf hinzufügen:
limit_req_zone $binary_remote_addr zone=one:10m rate=30r/m;

# In Server-Block:
location / {
    limit_req zone=one burst=5;
}

Für Apache:

apache

# In .htaccess:
<IfModule mod_evasive20.c>
    DOSHashTableSize 3097
    DOSPageCount 2
    DOSSiteCount 50
    DOSPageInterval 1
    DOSSiteInterval 1
    DOSBlockingPeriod 10
</IfModule>

Teil 4: WordPress spezifischer Schutz

Essential Security Plugins

1. Wordfence Security (kostenlos)

text

• Plugin installieren
• Scan durchführen
• Firewall aktivieren
• Rate Limiting: 5 Seitenaufrufe/Minute
• Login Security: 2-Faktor-Authentifizierung

2. wp-config.php Optimierungen

php

// Vor böswilligen Anfragen schützen
define('DISALLOW_FILE_EDIT', true);

// Login-Limits
define('WP_MAX_ATTEMPTS', 4);
define('WP_LOCKOUT_DURATION', 1200);

// XML-RPC deaktivieren (oft für DDoS missbraucht)
add_filter('xmlrpc_enabled', '__return_false');

3. .htaccess Schutz

apache

# Brute-Force Schutz für Login
<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from 192.168.1.0/24  # Nur Ihr Netzwerk
    Allow from 123.123.123.123  # Ihre statische IP
</Files>

# Bots blockieren
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (bot|crawl|spider) [NC]
RewriteRule .* - [F,L]

Teil 5: Monitoring - Der Frühwarnsystem

Kostenlose Überwachungstools

UptimeRobot (kostenlos für 50 Monitore)

text

1. Auf uptimerobot.com anmelden
2. "Add New Monitor"
3. Monitor Type: HTTP(s)
4. URL: https://ihre-website.de
5. Interval: 5 Minuten
6. Alert Contacts: Email, Telegram, etc.

Eigenes einfaches Script:

bash

#!/bin/bash
# /usr/local/bin/check-ddos.sh

WEBSITE="https://ihre-website.de"
LOG_FILE="/var/log/ddos-check.log"

# Prüfe Antwortzeit
RESPONSE=$(curl -o /dev/null -s -w '%{http_code}\n%{time_total}' $WEBSITE)
CODE=$(echo $RESPONSE | cut -d' ' -f1)
TIME=$(echo $RESPONSE | cut -d' ' -f2)

if [ $CODE != "200" ] || (( $(echo "$TIME > 5" | bc -l) )); then
    echo "$(date): Möglicher DDoS! Code: $CODE, Zeit: $TIME" >> $LOG_FILE
    # Optional: SMS/Email senden
fi

Cronjob für alle 5 Minuten:

bash

*/5 * * * * /usr/local/bin/check-ddos.sh

Teil 6: Notfallplan - Was tun WÄHREND eines Angriffs?

Schritt-für-Schritt Krisenmanagement

Minute 1-5: Erkennen

text

✅ Website überprüfen: Erreichbar? Langsam?
✅ Server-Logins prüfen: Geht SSH noch?
✅ Monitoring prüfen: Gab es Alarme?
✅ Cloudflare Analytics: Traffic-Spitzen?

Minute 5-15: Reagieren

text

1. Cloudflare "Under Attack Mode" aktivieren:
   • Security → Settings → Security Level
   • Auf "I'm Under Attack!" stellen

2. Notfall-Kommunikation:
   • Status-Seite aktualisieren
   • Social Media informieren
   • Email an wichtige Kunden

3. Support kontaktieren:
   • Hoster informieren
   • Cloudflare Support (bei großem Angriff)

Minute 15-60: Handeln

text

• Temporäre IP-Blocklisten in Cloudflare
• Rate Limiting verschärfen
• Nicht-essentielle Dienste pausieren
• Backup-Server hochfahren (falls vorhanden)

Teil 7: Professionelle Lösungen (für Unternehmen)

Wann Sie mehr brauchen als Cloudflare Free

Indikatoren für Professional-Schutz:

• Umsatz > 10.000€/Monat über Website

• Kritische Infrastruktur (Banking, Gesundheit)

• Regelmäßige Angriffe in der Vergangenheit

• Compliance-Anforderungen (ISO 27001, etc.)

Lösungsvergleich:

Lösung	Kosten	Schutz	Für wen?
Cloudflare Pro	20€/Monat	Bis 10 Gbps	Kleine Shops, Blogs
NexoraHost Pro	50€/Monat	Bis 100 Gbps	Mittelständler
Cloudflare Biz	200€/Monat	Bis 200 Gbps	E-Commerce
Enterprise	500€+/Monat	500+ Gbps	Fintech, große Portale

Enterprise-Features:

text

• Anycast-Netzwerk (Weltweite Filterung)
• 24/7 SOC Überwachung
• Custom WAF Rules
• DDoS Response Team
• SLA mit Verfügbarkeitsgarantie

Checkliste: Ihr persönlicher DDoS-Schutz-Plan

✅ Heute (30 Minuten):

• Cloudflare Account erstellen

• Website hinzufügen

• Nameserver umstellen

• SSL auf "Full" setzen

• WAF aktivieren

✅ Diese Woche (2 Stunden):

• Fail2Ban installieren (falls VPS)

• WordPress Security Plugin (falls WP)

• UptimeMonitor einrichten

• .htaccess Regeln prüfen

• Backups testen

✅ Dieser Monat (4 Stunden):

• Notfallplan dokumentieren

• Team schulen (wer macht was?)

• Angriffssimulation testen

• Monitoring optimieren

• Security Audit durchführen

Häufige Fehler und wie Sie sie vermeiden

❌ "Ich warte bis zum Angriff"

✅ RICHTIG: JETZT einrichten. Bei Angriff ist es zu spät.

❌ "Cloudflare ist zu kompliziert"

✅ RICHTIG: Free-Plan ist selbsterklärend. Oder Hoster fragen.

❌ "Mein Hoster macht das schon"

✅ RICHTIG: Nachfragen! Shared Hosting hat oft nur Basis-Schutz.

❌ "Ich brauche das nicht, ich bin klein"

✅ RICHTIG: 43% der Angriffe treffen KMUs. Sie sind perfektes Ziel.

Fazit: Sicherheit ist kein Luxus, sondern Grundvoraussetzung

Die Wahrheit ist: DDoS-Schutz einzurichten ist heute so einfach wie eine Versicherung abzuschließen - nur dass sie oft nichts kostet und in Minuten aktiv ist.

Ihre drei Take-Aways:

1. Cloudflare Free ist besser als gar nichts (und kostenlos)

2. Vorbeugen ist 100x einfacher als während eines Angriffs zu handeln

3. Jede Website ist potentielles Ziel - Größe spielt keine Rolle

Noch einfacher: Bei Hosting-Anbietern wie NexoraHost ist professioneller DDoS-Schutz oft bereits in Business-Paketen enthalten. Fragen Sie einfach nach!

---

Brauchen Sie Hilfe? Unser Team richtet Ihren DDoS-Schutz gerne für Sie ein - oft in unter einer Stunde und mit persönlicher Erklärung aller Einstellungen. Einfach melden!