In letzter Zeit filtert Google Analytics nicht den gesamten Bot-Traffic aus dem organischen Datenstrom heraus, den wir im Panel sehen. Wir können das mildern, indem wir eine Liste verdächtiger Bot-IPs in die .htaccess-Datei im Hauptverzeichnis aufnehmen, damit der Traffic den Server gar nicht erst erreicht.
Mehr zu unseren SEO- und GEO-Optimierungsdiensten bei WPPoland.
Wenn Sie zuerst die praktische Variante wollen: Ziel ist nicht, jeden Bot zu sperren. Ziel ist, eindeutig schlechten Traffic zu entfernen, der die Analytics verfälscht, ohne legitime Crawler oder echte Nutzer zu blockieren.
Das Problem mit Bot-Traffic
Bot-Traffic kann Ihre Daten in Google Analytics deutlich verzerren und es schwer machen, das tatsächliche Nutzerverhalten zu verstehen. Häufige Quellen für Bot-Traffic:
- Cloud-Hosting-Anbieter (Digital Ocean, AWS, Hetzner, OVHcloud) – Bots laufen häufig direkt von diesen Servern aus.
- SEO-Scraper – Werkzeuge, die Ihre Inhalte für eigene Datenbanken durchsuchen.
- Spam-Bots – versuchen Formulare auszufüllen oder Spam-Kommentare zu hinterlassen.
- Wettbewerbs- und Tracking-Tools – greifen Inhalte und Keywords automatisiert ab.
In deutschsprachigen Projekten kommen typischerweise noch DSGVO-relevante Tracking-Bots dazu, die personenbezogene Daten ausspähen wollen. Das ist ein zusätzlicher Grund, sauberen Bot-Schutz schon auf Server-Ebene umzusetzen, bevor das Problem in PHP oder im Plugin landet.
Lösung: Bot-Sperre über .htaccess
Fügen Sie folgenden Block in Ihre .htaccess-Datei ein, um bekannte Bot-Netzwerke zu blockieren:
## Bekannte Bot-Netzwerke sperren
deny from 78.139.5.228
deny from amazonaws.com grapeshot.co.uk lipperhey.com
## Digital-Ocean-Bereiche
deny from 104.236.0.0/16
deny from 159.203.0.0/16
deny from 165.227.0.0/16
## Amazon-AWS-Bereiche (sofern Bots tatsächlich von dort kommen)
deny from 52.4.0.0/14
deny from 52.20.0.0/14
deny from 54.64.0.0/15Wichtig: Die Liste der relevanten IP-Bereiche ändert sich häufig. Pflegen Sie die Sperrliste schrittweise und auf Basis der eigenen Server-Logs, nicht stumpf nach Anbieter.
Lieber auf Server-Ebene blockieren
Setzen Sie .htaccess, Ihren Webserver oder eine Firewall-Schicht ein, um bestätigt bösartige Bots zu sperren. Für die meisten Seiten ist Edge-Filtering über ein CDN oder eine Hosting-Firewall sicherer als lange manuelle Sperrlisten innerhalb von WordPress. Cloudflare, Sucuri und Hetzner-eigene Firewall-Layer arbeiten alle nach demselben Prinzip: schlechte Anfragen werden gestoppt, bevor PHP überhaupt anläuft.
Ergebnisse überwachen
Nach der Implementierung der Bot-Sperre:
- Prüfen Sie Google Analytics auf reduzierten Bot-Traffic.
- Beobachten Sie die Server-Logs auf blockierte Anfragen.
- Passen Sie die Regeln bei neuen Bot-Quellen an.
Wichtige Hinweise
- Vorsicht, damit Sie keine legitimen Crawler wie Googlebot oder Bingbot blockieren.
- Gründlich testen vor dem Einsatz auf Produktionsseiten, idealerweise zuerst auf einer Staging-Umgebung.
- Aktuell halten, denn Bot-IP-Bereiche ändern sich häufig.
- Erwägen Sie ein CDN mit Bot-Schutz wie Cloudflare oder Sucuri.
Wenn Sie das Bot-Rauschen sorgfältig reduzieren, erhalten Sie sauberere Analytics-Daten und weniger falsche Signale in Ihren Traffic-Reports. Genau dieser Schritt zahlt sich aus, sobald Sie Conversion-Auswertungen oder DSGVO-konforme Reportings auf Basis dieser Zahlen ziehen.
Entdecken Sie unsere WordPress-Entwicklungsdienste, um Ihr Projekt voranzubringen.
