Das einzige Sicherheitsplugin, das du brauchst!

Bots stoppen.
Fraud blockieren.
Crawler & KI erlauben.
Käufer durchlassen.
Ohne Cloudflare & Co.

Traffic Guard Shield Rate Limiter ist der erste SEO-safe Crawl-Governance-Layer für WordPress & WooCommerce. Er entscheidet nach Identität, URL-Typ, Frequenz und Kosten — nicht nach IP. Google & Bing kaufen frei. KI-Crawler verstehen. Schrott-Bots fliegen raus. Lokal, ohne externen Reverse-Proxy.

Bis zu 72 % weniger Server-Last — bestehender Hosting-Tarif reicht wieder aus, kein Upgrade nötig.
TTFB unter 320 ms statt 1.450 ms — schnellere Ladezeiten, höhere Conversion-Rate, besseres SEO.
+38 % mehr echte Käufer erreichen den Shop — auch zu Stoßzeiten, auf gleichem Server.
Cloudflare-Abo wird überflüssig100 % lokal, kein US-Edge, niemals Captchas für echte Käufer.
KI-Sichtbarkeit bleibt erhalten — Google, Bing, ChatGPT, Claude & Perplexity verstehen weiter Deinen Shop.
Plugin kaufen · 129 €/Jahr 189 € Live-Entscheidung sehen
13.000+Zeilen geprüfter PHP-Code
25Module, ein Plugin
13KI-Crawler erkannt
0 msexterner Reverse-Proxy
tgsrl · request stream · /var/log/tgsrl.live REC ●
0
Erlaubt
0
Blockiert
0
Cost gespart
Funktioniert mit WordPress 5.8+ WooCommerce NitroPack WP Rocket FlyingPress Woodmart · Flatsome · Astra PHP 8.3+ WPML · Polylang · GTranslate (mit CDN-Modus) Reverse-Proxy / CDN-Setups
Du kannst nichts kaputt machen

Drei Schutzschichten zwischen Dir und einem schlechten Tag.

Wer ein Plugin neu installiert, sorgt sich vor einem: dass etwas hängt, Käufer fehlen, der Shop kippt. Genau dafür ist das Plugin gebaut. Es greift erst, wenn Du Dich sicher fühlst. Und wenn doch mal etwas schief geht, hast Du drei Notausgänge — alle ohne Backend-Login erreichbar.

1

Shadow-Mode: 7 Tage beobachten ohne zu blockieren.

Plugin trifft alle Entscheidungen — aber blockiert niemanden. Du siehst nur, was es blockiert hätte. Sieben Tage reichen aus, um zu erkennen, wie viel Last in Wahrheit von außen kommt und ob die Entscheidungen für Deinen Shop passen.

Standard nach Installation · Null Risiko für echte Käufer
2

Auto-Safe-Mode greift, falls Du es vergisst.

Mehr als 50 Bans in 10 Minuten? Plugin schaltet automatisch zurück in Shadow-Mode und schickt Dir eine E-Mail. Kein verlorener Umsatz wegen einer Fehlkonfiguration, die niemand bemerkt hätte. Self-Healing, wirklich.

Aktiv ab erster Minute · Auto-Recovery ohne Login
3

Notfall-Bypass per FTP — auch ohne Backend.

WordPress nicht erreichbar? Eine leere Datei wp-content/tgsrl-disable.flag per FTP — Plugin macht nichts. Kein Update, kein Cache, kein Reset nötig. Funktioniert auch wenn Du Dich nicht einloggen kannst.

Unkaputtbar · Sekunden bis zur Wiederherstellung
Zusätzlich: Echte Käufer (eingeloggt, mit WC-Session oder Verified-Human-Cookie) werden nie blockiert. Cart, Checkout und Account sind eine fest geschützte Pfad-Klasse. Googlebot und Bing werden per Hardware-Lock (DNS A+AAAA) erkannt und nie auto-gebannt. Selbst im scharfen Modus ist Dein SEO-Ranking unangetastet.
Warum Webseiten und vor allem Shops überhaupt einbrechen

Das Problem einfach erklärt:

Probleme entstehen, wenn auch HTML-Elemente wie Filter, Pagination und Buttons mit-durchsucht werden.

Google macht das sauber: ein Bot, ein Plan, eine Crawl-Rate. Filter und Sortier-Parameter werden als Crawl-Falle erkannt und ignoriert.

KI-Modelle nicht. Sie fragen alles ab — jeden Link, jeden Filter, jede Pagination, jeden Button. Bei einem typischen Shop sind das schnell 200 Abfragen pro Sekunde — von einem einzigen Crawler.

Multipliziert mit dreizehn aktiven KI-Bots, fünf SEO-Tools und mehreren Cache-Preloadern: Dein Server arbeitet rund um die Uhr — aber nicht für Käufer.

Und es kommt schlimmer: Hover-Funktionen wie Wishlist, Quick View und "In den Warenkorb" triggern bei Bots ebenfalls echte Server-Requests — pro Produkt-Tile drei zusätzliche Abfragen, die nie zu einem Kauf führen.

// Realistische Zahl gemessener WooCommerce-Shops, 2026
200 req/s · +187%
Farbe: rot
Material
Preis 0–50
Größe: M
Marke
Sortierung
Eames EA 2172.890 €
Aeron1.659 €
Vitra ID1.149 €
USM Kitos789 €
Wilkhahn1.490 €
Sedus BD690 €
128485
Hintergrund · 12 Min Lesezeit Crawler-Flut 2026: Warum WordPress-Shops jetzt zusammenbrechen Die vollständige Analyse: wie ClaudeBot, GPTBot & Co. seit Januar 2026 das Last-Verhalten verändert haben — mit Logs, Hosting-Tarif-Schwellen und konkreten Schutzstrategien.

Bots knabbern an Deiner Shop-Kategorie. Crawler tragen ganze Produkte weg. Käufer warten.

Solange jeder gleichzeitig drauf darf, kommt der Käufer zuletzt. Traffic Guard Shield ändert die Reihenfolge — ohne Crawler oder KI-Bots auszusperren.

Bots knabbern → blockieren
Crawler tragen weg → limitieren
Käufer kommt zuerst → durchlassen
Was das Plugin gestern entschieden hat — 24 Stunden, ein realer Shop

823 Auto-Bans. 223 Fake-Bots entlarvt. 196 KI-Crawler limitiert. Null echte Käufer betroffen.

Auszug aus dem Live-Logbuch eines produktiven WooCommerce-Shops mit rund 800.000 Produkten. Echte Zahlen, keine Hochrechnung. Was hier in 24 Stunden passiert, würde Cloudflare entweder durchlassen — oder mit Falsch-Captchas auch echte Käufer treffen.

11.05.2026 · 00:00–23:59 Quelle: Plugin-SQLite Logs
1.699 ausgewertete Entscheidungen
823
Auto-Bans ausgelöst
Verdächtige IPs nach Probing-Mustern
232
Teure Suchbot-Requests gestoppt
Googlebot/Bing auf Filter-Kombis
223
Spoofed Googlebots entlarvt
User-Agent log, DNS sagt: kein Google
196
KI-Crawler limitiert
ClaudeBot · GPTBot · Perplexity · OAI
114
Honeypot-Treffer
Probing auf /wp-config.bak & Co.
66
Hard-Limit erreicht
Mehr als 120 Req/Min von einer IP
17
Bot-Cost-Überschreitung
Unbekannte Bots über Budget
15
Filter-Count geblockt
3+ aktive Filter ohne Browser-Session
Zeit IP (anonym.) Akteur Aktion Cost
06:52 66.249.•••.••• GoogleOther 410 GONE · Filter 16
06:21 91.245.•••.••• Spoofed „Google-InspectionTool" BAN 1h · DNS-Verify fail
05:47 216.73.•••.••• ClaudeBot/1.0 410 GONE · KI-Limit 10
14:34 124.198.•••.••• Probing /wp-config.bak BAN 24h · Honeypot
17:48 89.247.•••.••• Unbekannt · 4 Filter aktiv BLOCK · Cost-Cap 181
02:35 52.167.•••.••• bingbot/2.0 · Page 11 410 GONE · Deep-Pagination 13
// IPs aus Datenschutzgründen verkürzt · Vollständige Logs jederzeit im WP-Admin · CSV-Export per Klick
Im Detail nachlesen So entstehen 823 Auto-Bans an einem Tag Welche Bot-Klassen den größten Anteil ausmachen, wie das Plugin Spoofing erkennt und wo die Honeypots sitzen — der ausführliche Hintergrund-Artikel zur Crawler-Flut 2026.

Weniger Last. Schnellere Ladezeiten. Mehr erreichbare Käufer.

Realer Test mit einem soliden WooCommerce-Shop (1.000 Produkte, 100.000+ Requests/Monat). Niedriger ist besser bei Last und Ladezeit, höher ist besser bei Erreichbarkeit.

CPU-Last (Tagesdurchschnitt)Server-Load average
−72%
Vorher
92%
+ Cache
71%
+ TGSRL
26%
Bots erreichen die Datenbank gar nicht erst. PHP-Worker bleiben für Käufer reserviert.
TTFB Time-to-First-ByteWartezeit bis erste Antwort
−68%
Vorher
1.450 ms
+ Cache
820 ms
+ TGSRL
320 ms
Pre-WP-Boot greift in < 1 ms. Was nicht durchkommt, kostet keinen PHP-Cycle.
Erreichbarkeit für echte KäuferErfolgreiche Page-Loads < 2 s
+38%
Vorher
62%
+ Cache
74%
+ TGSRL
96%
Zu Stoßzeiten erreichen mehr Käufer den Shop. 502er und CPU-Limits fallen praktisch weg.

// Datenbasis: 100.000+ Requests/Monat über 4 Wochen je Setup. „Cache" = WP Rocket oder NitroPack solo. „+ TGSRL" = identisches Cache-Setup plus Traffic Guard Shield. Gemessen mit New Relic, Query Monitor, GTmetrix.

Überzeugt?Lizenz kaufen, 7 Tage Shadow-Mode testen — falls es nicht passt, deinstallieren statt diskutieren.

Jetzt kaufen & testen! →
Live-Rechner · Deine Zahlen

Was kostet Dich Bot-Last gerade jetzt — in echtem Geld?

Drei Eingaben, sofortige Antwort. Wir rechnen mit realistischen Werten aus produktiven Audit-Shops — was Bot-Last, Lastspitzen und langsame Filter-URLs in der Praxis kosten. Schieb die Slider auf Deine Shop-Werte und sieh, wie schnell sich die Lizenz selbst bezahlt. Bei mittleren WooCommerce-Shops typischerweise innerhalb des ersten Tages.

Deine Shop-Kennzahlen

Werte werden nur lokal in Deinem Browser berechnet — nichts wird gesendet, gespeichert oder getrackt.

Monatliche Page-ViewsAufrufe inkl. Bot-Traffic, vor Filter
100.000
10 k100 k1 Mio5 Mio
Conversion-RateAnteil der Besucher, die kaufen
2,0 %
0,5 %1,5 %3 %5 %
Ø WarenkorbgrößeDurchschnittlicher Bestellwert netto
100 €
20 €100 €250 €500 €

Dein Ergebnis

Davon Bot-Traffic (~65 %) 65.000 PVs
Echte Besucher pro Monat 35.000
Verlorene Käufer durch Lastspitzen ~84 / Monat
Davon mit TGSRL zurückgewonnen ~63 / Monat
Zusatz-Umsatz pro Monat
6.300
75.600 € pro Jahr · netto
Amortisation nach < 1 TagenAus 129 € Lizenz werden rechnerisch 200+× mehr pro Jahr.
Diesen Umsatz absichern · 129 €/Jahr →

// Annahmen: Bot-Anteil 65 % (branchentypisch bei nicht-geschützten WordPress-/WooCommerce-Shops aus unseren Audit-Logs). Versteckter Käufer-Verlust durch Lastspitzen, 502er und Slow-Loads: 12 % der echten Besucher kaufen nicht, die sonst kaufen würden. Plugin-Effekt: holt davon ~75 % zurück → effektiver Zusatz-Anteil ~9 %. Tatsächlicher Effekt variiert je nach Shop, Bot-Last, Hosting und Cache-Setup. Keine Garantie auf Erreichen dieser Werte — Shadow-Mode misst die echten Zahlen für Deinen Shop in 7 Tagen.

Stimmen aus der Audit-Phase

Was Shop-Betreiber sagen, die Cloudflare verlassen haben.

Sechs anonymisierte Rückmeldungen aus der Beta- und Audit-Phase. Domain- und Personennamen wurden aus Datenschutzgründen entfernt, die Inhalte sind unverändert übernommen.

9,5/10 Reviewer-Score · Audit-Phase 2026

Wir hatten täglich CPU-Limits beim Provider und Cloudflare hat unsere echten Käufer immer wieder mit Challenges blockiert. Sieben Tage Shadow-Mode haben gezeigt: knapp 70 % unseres Traffics waren Bots. Heute liegt unsere Server-Last bei einem Drittel des Vorzustands, Cloudflare haben wir aus dem Stack gestrichen, TTFB stabil unter 200 ms.

TK
Tobias K.Inhaber · WooCommerce-Shop für Heimtextilien

Bei 800.000 Produkten haben KI-Crawler und SEO-Tools unseren Server stündlich an den Anschlag getrieben. Mit Traffic Guard Shield greift der Schutz vor WordPress — die Datenbank atmet wieder. Ladezeiten von 4,1 auf 1,2 Sekunden, und das ohne ein einziges Cache-Plugin auszutauschen.

SM
Sandra M.Geschäftsführung · Onlineshop für Möbelstoffe

Wir setzen das Plugin bei aktuell 23 Kundenshops ein. Vorher mussten wir bei jeder Lastspitze auf Cloudflare Pro ausweichen — was Falsch-Captchas für echte Käufer brachte und SEO-Tickets erzeugte. Jetzt: ein MU-Plugin, Shadow-Mode 7 Tage, dann scharf. Provider-Tickets wegen CPU sind komplett weg.

MT
Markus T.Agenturleitung · WordPress-Agentur

Mein Blog mit über 40.000 Artikeln wurde von ClaudeBot und GPTBot regelrecht zerlegt — manchmal 1.500 Requests pro Stunde von einer einzigen IP. Hosting-Upgrade stand bereits im Raum. Traffic Guard Shield hat das in der ersten Woche eingedämmt, ohne dass meine echten Leser irgendwas merken. KI-Sichtbarkeit bleibt erhalten — nur die teuren Filter- und Parameter-URLs werden geschlossen.

JH
Jens H.Content-Creator · Affiliate-Plattform

Wir hatten ein komplexes Cloudflare-Setup mit Page Rules, WAF und Bot Fight Mode — Pflegeaufwand fünf Stunden pro Monat. Jetzt alles direkt im WP-Backend, deutscher Hersteller, alle Daten bleiben lokal. Bonus: TTFB hat sich halbiert, weil kein US-Edge mehr im Weg sitzt. Und die echten Käufer sehen niemals ein Captcha.

PW
Petra W.E-Commerce-Leitung · B2B-Industrieshop

Skeptisch nach drei anderen Sicherheitsplugins, die alle irgendwann auch echte Käufer blockiert haben. Nach 7 Tagen Shadow-Mode war ich überzeugt: über 12.000 blockierte Schrott-Requests, davon hätten nach Logs nur vier möglicherweise echte Käufer sein können — und alle waren bereits eingeloggt und damit eh nie betroffen gewesen. Cloudflare-Abo gekündigt, Server-CPU runter auf rund 30 %.

DR
Daniel R.Inhaber · Buchhandel-Onlineshop

Repräsentative Audit-Stimmen aus der Beta-Phase. Domain- und Personennamen wurden zum Schutz unserer Beta-Tester anonymisiert (gekürzte Vornamen + Brancheangabe). Inhalte unverändert übernommen, vollständige Originale liegen vor.

" Normale Nutzer dürfen kaufen.
Google, Bing und KI dürfen verstehen.
Bots und Preloader dürfen nicht zerstören.
— Designprinzip · Traffic Guard Shield
Käufer Google · Bing KI-Crawler SEO-Tools Schrott-Bots Click-Fraud

Sieben Tage Shadow-Mode reichen, um zu sehen, wie viel Last in Wahrheit von außen kommt.

Jetzt installieren · 129 €/Jahr 189 €
Wie es funktioniert

Sieben Schichten Schutz. Eine Entscheidung pro Request.

Kein dummes IP-Blocking. Stattdessen ein priorisierter Request-Flow, der Identität, URL-Typ, Cost-Score und Frequenz in einem einzigen Schritt bewertet — bevor WordPress eine einzige Datenbank-Query startet.

Human-Safety-Layer

Eingeloggte Nutzer, Browser mit WC-Session und HMAC-signierte „Verified-Human"-Cookies werden nie blockiert. Punkt.

A1 — A9

Google & Bing Hardware-Lock

14 verifizierte User-Agents mit Reverse- & Forward-DNS (A + AAAA). Echte Suchmaschinen kommen immer durch — Fakes werden in der ersten Sekunde gebannt.

B1 · DNS-verified

URL-Cost-Score (20 Kategorien)

Eine Filter-Kombi mit drei Werten kostet 60. Eine Produktseite kostet 1. Cost-Budgets pro IP per SUM(cost) aus SQLite — exakt, nicht geschätzt.

C1 · live cost

KI-Visibility-Modus

Drei Schalter: allow · limited · block. Empfohlen: limited — KI sieht Produkte, aber keine Filter-Kombinationen, die Deine DB grillen.

B4 · 13 KI-Crawler

WC Filter Performance Guard

Deaktiviert teure COUNT(DISTINCT) und SQL_CALC_FOUND_ROWS für Bots auf Shop-Archiven. Echte Nutzer behalten alle Counts und Pagination.

D1 — D4

Honeypot & Probing-Trap

16 unsichtbare Fallen-URLs (/wp-config.bak, /.env.bak, /phpmyadmin/) → 24h Ban. Login & Probing werden separat gezählt.

M · 16 Fallen

Shadow- & Auto-Safe-Mode

Erst beobachten, dann blockieren. Mehr als 50 Bans in 10 Minuten? Plugin schaltet automatisch in Shadow-Mode & alarmiert per E-Mail.

A6 · self-healing

10-Tab-Adminoberfläche

Dashboard, Einstellungen, IP-Listen, Kompatibilität, .htaccess-Editor, robots.txt-Manager (11 Presets), Analyse, Logs, Tools — alles im WP-Backend.

K · 10 Tabs

Reverse-Proxy & CDN-Trust

GTranslate-CDN, NitroPack-Self-Crawl, Loadbalancer: Plugin extrahiert die echte Client-IP aus Trust-Headern (X-GT-CLIENTIP, X-Real-IP) — mit Public-IP-Härtung gegen Spoofing.

N1 · Multi-Source-Setup

3-Quellen-Logging

Apache .htaccess-Blocks (403/429), Preload-JSONL (vor WordPress) und Plugin-SQLite (Echtzeit) — alle drei Quellen in einer Ansicht. Cron-Import mit Auto-Detection für All-Inkl, cPanel, Plesk.

N2 · Apache + Preload + Plugin

htaccess Auto-Sync

Plugin platziert seine Blocks automatisch vor GTranslate & WordPress. Reihenfolgen-Analyse erkennt 4 kritische Verstöße (Bot-Schutz nach [L,QSA]) — mit klarer Anleitung statt riskantem Auto-Sort.

N3 · GTranslate-aware

Notfall-Bypass per Datei

Eine leere Datei wp-content/tgsrl-disable.flag per FTP — Plugin macht nichts. Schneller Reset ohne Backend-Login. Unkaputtbar.

A7 · failsafe
Alle Funktionen im Detail

A · Human-Safety-Layer

  • A1Eingeloggte Nutzer Bypass — kein Rate-Limit, kein Auto-Ban
  • A2Kritische WC-Pfade dynamisch — Cart, Checkout, Account, Order-Pay aus wc_get_page_id()
  • A3Verified-Human-Cookie (HMAC) — 24h, HttpOnly, SameSite=Lax, vier Vergabe-Bedingungen
  • A5WC Session-Erkennung — Cart-Hash & Session-Cookie
  • A6Auto-Safe-Mode — 50+ Bans / 10 min → Shadow + Mail
  • A7Notfall-Bypass per Dateitgsrl-disable.flag
  • A8Deep Pagination — 302 für Menschen, 410 für Bots
  • A9Auto-Ban-Schutz — Suchmaschinen, Nutzer und KI nie auto-gebannt

B · Bot-Protection

  • B1Google & Bing Hardware-Lock — 14 UAs, DNS A+AAAA, nicht deaktivierbar
  • B2Bot-Registry mit 7 Trust-Tiers — von logged_in bis commerce_bot
  • B3Fake-Bot-Erkennung — Reverse + Forward DNS, sofort 1h Ban
  • B4KI-Visibility-Modus — allow / limited / block, 13 KI-Crawler

C · Intelligente Erkennung

  • C1URL-Kostenmodell — 20 Kategorien, kumulative SUM(cost)
  • C2Sitemap-Rate-Limiting — 5 Req / 5min für nicht-verifizierte Bots
  • C3Login & Probing separat — eigene Counter, max 10 / 5 / Fenster
  • C4Request-Sampling — bei extremer Last: jeder N-te Request

D · WooCommerce Filter Guard

  • D1Dynamische Filter-Counts optimieren — Aus / nur Bots / Alle
  • D2Count-Badges ausblenden — Woodmart, Flatsome, Astra, OceanWP
  • D3SQL_CALC_FOUND_ROWS deaktivieren für Bots auf Shop-Archiven
  • D4Auto-Detection — WooCommerce + Theme erkannt, Empfehlung angezeigt

E · Monitoring & Alerts

  • E1Shadow/Block-Badges — gelb (geloggt) vs. rot (blockiert)
  • E2Modus-Banner — EMERGENCY · SHADOW · SAFE
  • E3E-Mail-Alerts — Instant + wöchentlicher Report
  • E4Log-Export CSV — UTF-8 BOM, Excel-kompatibel
  • E5Auto-Cleanup — 30 Tage / 10 MB Grenze + VACUUM

F · Shop-Archiv-Erkennung (dynamisch)

  • Shop-Seite aus wc_get_page_id('shop')
  • Kategorie- & Tag-Basis aus woocommerce_permalinks
  • Attribut-Taxonomien aus wc_get_attribute_taxonomies()
  • Manuelle Ergänzungen per Textarea
  • WC-Seiten Cart/Checkout/Account ebenfalls dynamisch — kein Hardcoding

G · Cache-Governance

  • G1WP Rocket — 3 Filter: Reject, Preload Exclude, Links Exclusion
  • G2NitroPack: DONOTCACHEPAGE + X-Nitro-Disabled: 1
  • G3GTranslate IP-Liste täglich aktualisiert, Service-Crawler-Limit

H · .htaccess-Management

  • H1Snippet-Generator — Bot-Filter, Deep-Pagination, Login-Schutz, 40 Länder
  • H2Editor + Backup — Dark-Theme, Safe-Save, Rollback letzte 10 Versionen

I · robots.txt-Management

  • I111 Presets — WC-Pfade, Filter, Pagination, SEO-Scraper, KI
  • I2Editor + Auto-Insert + Backup — gleiches Backup-System wie .htaccess

J · SEO-Werkzeuge (Tools-Tab)

  • URL-Testlabor — „Was würde mit dieser URL passieren?"
  • Sitemap-Audit — SSL-fix, 3 Fallback-URLs
  • noindex-Audit
  • Preflight-Check — 10-Punkte-Health
  • Action-Scheduler Health
  • MU-Plugin-Generator · Settings Import/Export

L · Sicherheit

  • Cloudflare-Spoofing-Schutz — 15 IPv4 + 7 IPv6 Ranges
  • IPv6 CIDR per inet_pton()
  • DNS A+AAAA Forward-Verify
  • SQLite mit zufälligem Dateinamen
  • 404-Guessing deaktivierbar
  • noindex für Filter-URLs & versionierte DB-Migration

M · Honeypot

  • 16 unsichtbare Fallen-URLs/wp-config.bak, /.env.bak, /phpmyadmin/, /.git/config u.a.
  • 24h Ban bei Treffer — kein Vorwarn-System für Schrott-Bots

N · Reverse-Proxy & Multi-Source NEU 1.2

  • N1Reverse-Proxy-Trust — echte Client-IP aus X-GT-CLIENTIP, X-Real-IP, X-Forwarded-For mit Public-IP-Härtung
  • N2GTranslate-CDN-Modus — Trust-Header-Auswertung wenn REMOTE_ADDR die eigene Server-IP ist
  • N33-Quellen-Logging — Apache .htaccess + Preload JSONL + Plugin SQLite, gemeinsame Ansicht mit Source-Filter
  • N4Apache-Log-Import — Auto-Detection All-Inkl, cPanel, Plesk · Cron 3:00 Uhr · max 5 MB pro Run
  • N5Anti-Self-Ban-Schutz — Server-IPs auf DB-Level abgewiesen mit Audit-Log + One-Click-Cleanup
  • N6REST-API-Whitelist — Cookie-Banner (Borlabs, Real Cookie Banner, Complianz) · 19 Endpoints · 300 Req/min
  • N7htaccess Auto-Sync — Insert vor GTranslate / WordPress · Reihenfolgen-Analyse mit 4 kritischen Verstößen
  • N8Sprachpräfix für Deep-Pagination/fr/, /zh-cn/, /pt-br/ aus GTranslate-Settings ausgelesen
  • N9IP-Detection-Diagnose — Tools-Tab zeigt REMOTE_ADDR vs. echte IP vs. Trust-Header live
Decision Engine — interaktiv

Sieben typische Requests. Sieben unterschiedliche Antworten.

Klick eine Zeile an, um die Begründung zu sehen. Genau diese Logik läuft live in Millisekunden, bevor WordPress aufwacht.

Prävention statt Schadensbegrenzung

Schütze Dein Hosting und Server wirkungsvoll, bevor etwas passiert.

Lastspitzen kosten Dich Käufer in Echtzeit — und Provider-Tickets am Tag danach. Traffic Guard Shield greift vor der teuren WordPress-Initialisierung, nicht erst, wenn Dein Server schon röchelt.

Greift in < 1 msBevor WordPress, Datenbank oder Cache überhaupt arbeiten. Keine teure Query, kein PHP-Worker, kein gewärmter Cache geht verloren.
Schützt vor Hosting-ÜberraschungenKeine plötzlichen Provider-Mails wegen CPU-Limits. Keine 502er-Walls bei Kampagnen-Start. Du behältst die Kontrolle über Deine eigene Last.
7× mehr echte Käufer auf gleicher HardwareIndem Bot-Traffic früh weggeschnitten wird, bleibt CPU, RAM und DB-Pool für Menschen reserviert. Messbar im Cost-Score-Dashboard, nicht versprochen.
Ohne externes Netzwerk, ohne Vendor-LockKein Reverse-Proxy, keine DNS-Umstellung, kein Drittanbieter sieht Deinen Traffic. Alles läuft lokal in Deiner WordPress-Installation.
Empfehlung für das wohl beste Hosting:
Jetzt all-inkl testen →
Vs. klassische Security-Plugins

Wieso unser Plugin wirkungsvoller ist als jedes langsame Sicherheitsplugin.

Wordfence, iThemes, Sucuri & Co. machen einen guten Job — beim Verteidigen gegen Brute-Force, Malware und bekannte Exploits. Aber sie greifen nach WordPress, nicht davor. Bei reinem Crawl- und Bot-Lasttraffic ist das genau die falsche Stelle.

Reaktiv · langsam

Klassische Security-Plugins

Wordfence · iThemes Security · Sucuri · All In One Security

  • Laufen INNERHALB von WordPress. Jeder Bot-Request hat schon DB-Connection, Plugins geladen und Memory belegt, bevor das Security-Plugin überhaupt entscheidet.
  • Fokus auf Malware & Logins, nicht auf Crawl-Last. Wordfence blockt brute-force, aber nicht 200 req/s eines KI-Crawlers, der gültige URLs abruft.
  • Eigene CPU-Last: Jede Wordfence-Regel kostet Rechenzeit. Bei hohem Traffic werden die Plugins selbst zur Last — ein bekannter Effekt auf shared Hostings.
  • Keine Crawl-Governance: Filter-URLs, Pagination und KI-Tier-Klassen sind kein Thema. Google & ChatGPT werden gleich behandelt wie ein Angreifer.
  • SEO-Risiko bei Aggressiv-Modus. Schnell mal Googlebot mitgeblockt, weil die User-Agent-Regel zu hart war. Ranking weg, Ticket auf.
Sinnvoll als Login-/Malware-Schutz — aber als Lastschutz an der falschen Stelle.
Präventiv · < 1 ms

Traffic Guard Shield Rate Limiter

VASTCOB · WP-nativ · seit 2010

  • Greift VOR WordPress. Eigener Mu-Plugin-Loader entscheidet in < 1 ms, ohne dass eine einzige WP-Datei zusätzlich geladen wird.
  • Crawl- statt Malware-Fokus: 13 KI-Crawler erkannt (3× OpenAI, 3× Anthropic, 2× Perplexity, 2× Apple, Google, Cohere, DuckDuckGo), Cost-Score pro IP, Tier-Klassen für Google/Bing/KI/Unbekannt.
  • Spart selbst Last: Statt zusätzliche CPU zu kosten, schneidet das Plugin teure Queries ab, bevor sie entstehen. Cost-Score-Dashboard zeigt es live.
  • Reverse-Proxy- & CDN-aware: GTranslate-CDN, NitroPack-Self-Crawl & Loadbalancer korrekt erkannt. Echte Client-IP aus Trust-Headern, nie Self-Bans.
  • SEO-safe by default: Verifizierter Googlebot wird per Reverse-DNS bestätigt und niemals blockiert. Shadow-Mode für 7 Tage Test ohne Risiko.
Ergänzt Dein Security-Plugin — ersetzt es nicht. Beide zusammen = Schutz vor Malware und vor Last.
Bereit, Dein Hosting wirklich zu schützen?
Plugin kaufen · 129 €/Jahr →
Direkter Vergleich

Warum nicht einfach Cloudflare oder Wordfence?

Reverse-Proxies und Security-Plugins lösen ein anderes Problem. Der Traffic Guard Shield ist kein Bot-Blocker und kein WAF — er ist eine SEO-safe Crawl-Governance-Schicht, die vor der teuren Query greift, ohne Deinen Traffic durch ein externes Netzwerk zu pressen.

Kriterium Traffic Guard ShieldVASTCOB · WP-nativ Cloudflare Bot Mgmt.Reverse-Proxy Wordfence PremiumWP Security Plugin Sucuri FirewallWAF / CDN .htaccess onlyDIY
SEO & KI
Google & Bing garantiert nicht blockiert Hardware-Lock14 UAs, DNS A+AAAA, nicht deaktivierbar konfigurierbarCAPTCHA-Loops bekannt Whitelist nötig Whitelist nötig DIY
KI-Crawler granular (allow / limited / block) 13 KI-BotsCost-basiert allow / block allow / block
SEO-safe 410 Gone für Crawl-Fallen automatischFilter raus aus Index 403 / Challenge 403 403 manuell
Reverse-Proxy / CDN-Setups (GTranslate-CDN, NitroPack) nativer Trust-Header-SupportX-GT-CLIENTIP, X-Real-IP, X-Forwarded-For nur eigenes Edge oft Konflikte
Multi-Sprach-Support (WPML / Polylang / GTranslate) Sprachpräfix-aware/fr/, /zh-cn/ aus GT-Settings
Reverse + Forward DNS-Verifikation (A+AAAA) eingebautAuch IPv6-Googlebots nur Reverse nur Reverse
Performance & Lastspitzen
URL-Cost-Score statt nur Request-Count 20 KategorienFilter-Kombi = 60 nur Rate nur Rate nur Rate
Greift vor der WP-Datenbank-Query auto_prepend_filePHP vor WP-Boot Edgeexterner Hop in WP Edge Apache
3-Quellen-Logging (Apache + Preload + Plugin) vereinheitlichtSource-Filter, Apache-Cron-Import nur Edge-Logs nur Plugin-Logs nur WAF-Logs
WC Filter Performance Guard eingebaut
Kompatibel mit NitroPack / WP Rocket / FlyingPress 3 FilterFilter-URLs nicht im Preload Cache-Konflikte keine Integration keine Integration
Datenschutz & Hosting
100% lokal — Daten verlassen den Server nicht 100% lokal US-Edge lokal US/Edge lokal
Cookie-Banner-Whitelist (REST-API) 19 EndpointsBorlabs, Real Cookie Banner, Complianz
Cloudflare-Spoofing-Schutz 15 IPv4 + 7 IPv6 Ranges N/A teilweise teilweise
Auto-Safe-Mode bei Fehlkonfiguration 50 / 10 min → Shadow
Notfall-Bypass per FTP-Datei tgsrl-disable.flag Dashboard-Login Dashboard-Login Dashboard-Login Datei umbenennen
Honeypot mit 16 Fallen-URLs eingebaut Live-Traffic-Trap
Kosten
Laufende Kosten für mittleren Shop 129 €/JahrUpdates inkl. 200–2.000 $/Mon.Bot-Mgmt nur in Business+ 99 $/Jahr ~ 200 $/Jahr 0 €aber kein Cost-Score
★ Wichtig zu verstehen
Cloudflare, Wordfence und Sucuri lösen WAF, DDoS und Malware-Scans — und sind dort gut. Aber Crawl-Governance ist kein WAF-Problem: ein KI-Bot, der 200 Filter-URLs pro Sekunde anfragt, ist technisch korrekter Traffic. Ihn zu erkennen, braucht Wissen über WooCommerce-URL-Strukturen, Cost-Modelle und SEO-Konsequenzen — nicht ein generisches Edge-Network.
Plugin kaufen · 129 €/Jahr 189 € Auto-Updates · Deutscher Support
Das Herzstück

Cost-Score: Eine URL ist nicht eine URL.

Ein Crawler, der 60 mal /produkt/eames-stuhl/ abfragt, kostet 60. Ein Crawler, der einmal ?filter_farbe=rot,blau,gruen&orderby=price aufruft, kostet 90. Genau dieser Unterschied entscheidet über Erfolg oder Lastspitze.

Produktseite/produkt/eames-stuhl/
1
Blog-Artikel/blog/ratgeber/
1
Kategorie-Hauptseite/stoffe/vorhang-stoffe/
3
Shop-Archiv/shop/
5
Pagination 6–19/shop/page/12/
8
orderby?orderby=price
8
Filter (einzeln)?filter_farbe=rot
15
per_page?per_page=96
15
Suche?s=suchbegriff
20
Pagination 20+/shop/page/84/
25
Filter (Mehrfach)?filter_farbe=rot,blau,gruen
30
Filter (3+ aktiv)+ Zusatz-Penalty
60

Cost-Budgets pro IP

Jede IP bekommt ein Cost-Budget pro Zeitfenster. Verifizierte Browser-Nutzer haben ein sehr großzügiges Budget von 2.000. Unbekannte Crawler bekommen 100 — genug für sinnvolles Indexieren, zu wenig zum Grillen Deiner Datenbank.

Die Summe wird per SUM(cost) aus einer SQLite-Datenbank mit WAL-Mode berechnet — exakt, nicht geschätzt, mit Sub-Millisekunden-Latenz.

// Cost-Budgets (konfigurierbar)
Verified Human: 2.000 · kein Rate-Limit
Browser ohne Cookie: 1.000
Google / Bing: ∞ auf sauberen URLs
KI-Crawler: 60 Req/Min
Unbekannt / SEO-Tool: 100
Spoofed Bot: sofort 1h Ban

Überzeugt?Cost-Score und Pre-WP-Boot direkt im eigenen Shop messen — sieben Tage Shadow-Mode ohne Risiko.

Jetzt kaufen & testen! →

So viel Last erzeugst Du aktuell im direkten Vergleich

Realer Test mit einem soliden WooCommerce-Shop (1.000 Produkte, 100.000+ Requests/Monat). Gemessen wurde die tatsächliche Server-Last, die nach der jeweiligen Schutzschicht noch Datenbank-Queries auslöst. Niedriger ist besser.

Ohne jeden SchutzCache greift erst nach DB-Hit
100%
Nur CachingWP Rocket / NitroPack solo
78%
Cloudflare Bot Mgmt.Edge-Block, kein Cost-Score
54%
Wordfence Premiumgreift erst in WordPress
62%
Traffic Guard Shield+ Caching nach Wahl
14%
Bedeutet konkret: auf demselben Server verarbeitet Dein Shop bis zu 7× mehr echte Käufer — oder Du kommst mit einem deutlich kleineren Hosting-Tarif aus. Cost-Score und Pre-WP-Boot sind der Unterschied: Bots erreichen die Datenbank gar nicht erst.
Aus der Praxis

Zwei Erkenntnisse, die fast jedes Plugin falsch macht.

Direkte Auszüge aus produktiven Logs, die zeigen, warum oberflächliche Bot-Erkennung kippt — und warum Parameter-URLs der eigentliche Engpass jedes WooCommerce-Shops sind.

#1Google-Erkennung ist nicht trivial

Auto-Ban-Einträge die aussehen wie Google — aber keiner sind.

In einem realen Audit kamen die Auto-Bans fast komplett von Google-/AdsBot-ähnlichen IPs. Nur: ein Großteil davon waren Fakes.

IPauto-bans
72.14.199.97195×
72.14.199.9830×
66.249.79.418×
66.249.79.2
72.14.199.99
66.249.76.74
154.201.89.73

Das sind keine echten Nutzer. Aber bei 66.249.* und 72.14.* wäre ein blindes Blocking gefährlich — Google nutzt diese Ranges für Googlebot, AdsBot, Mediapartners und mehr.

Was ist „Spoofing"? Ein Bot setzt einfach User-Agent: Googlebot in seinen Request-Header. Genug Plugins fallen darauf herein — und blockieren am Ende den echten Googlebot, weil zu viele „Googlebots" gleichzeitig kamen.

Google empfiehlt zur Verifikation drei Schritte — der Traffic Guard Shield macht alle drei automatisch:

1
Reverse-DNS prüfen — IP → Hostname (z. B. crawl-66-249-79-4.googlebot.com)
2
Domain prüfen — endet auf googlebot.com, google.com oder googleusercontent.com?
3
Forward-DNS zurück — Hostname → IP, A & AAAA. Stimmt sie mit der Original-IP überein?

Nur wenn alle drei Checks ✓ sind, bekommt der Request Trust-Tier 1. Schlägt einer fehl: Klassifikation spoofed → sofort 1h Ban.

#2Parameter-URLs sind der Engpass

Warum Filter, Suche und ?add-to-cart= bei KI-Crawlern explodieren.

Aus einem realen Tagesreport: ein einzelner KI-Crawler erzeugt den Großteil der teuren Requests.

AuswertungWert
IP216.73.216.5
User-AgentClaudeBot
Aktionai_expensive_block
Cost-Wert31
Anzahl Hits≈ 1.450

ClaudeBot crawlt massenhaft Produktseiten, teilweise mit problematischen Parametern wie ?add-to-cart=. Das sind Funktionen, keine Inhalte — sie stellen das gleiche Produkt in unzähligen Varianten dar und blähen den Crawl ins Endlose.

Statt komplett zu blockieren, differenziert das Plugin sauber:

/produkt/eames-stuhl/Pass
/blog/wie-pflege-ich-leder/Pass
?add-to-cart=482410 Gone
?filter_farbe=rot,blau,gruen410 Gone
?s=suchbegriff429 Retry
/shop/page/84/410 Gone

Das gilt analog für ChatGPT (GPTBot), Perplexity, Apple, DuckAssist und Co. Saubere Inhalte sind willkommen — Parameter-Funktionen, die nichts neues zeigen, werden konsequent geschlossen. KI-Sichtbarkeit bleibt erhalten, Last fällt drastisch.

Tiefer einsteigen · Hintergrund-Artikel Crawler-Flut 2026: Die vollständige Analyse für WordPress & WooCommerce Wie sich KI-Crawler 2026 verhalten, welche Hosting-Tarife jetzt einknicken, und welche Schutz-Strategien wirklich funktionieren — der ausführliche Fachartikel mit Logs, Mess-Daten und Schritt-für-Schritt-Audit-Anleitung.
Du willst diese Tiefe für Deinen Shop?
Plugin kaufen · 129 €/Jahr →
Die ideale Kombination

Mit NitroPack oder WP Rocket — nie mit beiden.

Cache & Crawl-Governance sind zwei Werkzeuge, die sich ergänzen. Der Traffic Guard Shield bringt drei dedizierte Filter für jeden Cache-Anbieter mit, damit Filter-URLs nicht ständig vorgewärmt werden — denn ein leerer Cache ist günstiger als 50.000 vorgerenderte Filter-Kombinationen.

VC
Crawl Governance · Layer 1
Traffic Guard Shield entscheidet, was ankommt
+ EINS VON DREI ↓
Cache · Option A
NitroPack aggressives Edge-Caching
🚀
Cache · Option B
WP Rocket Page-Cache + Preloader
Cache · Option C
FlyingPress schlank, modern, schnell
!
Niemals zwei Cache-Plugins gleichzeitig. Doppelte Minifizierung, zerschossene kritische Pfade und unvorhersehbare Cache-Stati sind die Folge. Wähl eines — der Traffic Guard Shield bringt für alle drei fertige Integrationen mit.

Was die Integration konkret macht

WP Rocket — 3 Filter automatischrocket_cache_reject_uri, rocket_preload_exclude_urls, rocket_preload_links_exclusions. Filter-URLs weder gecacht noch vorgewärmt.
NitroPack — Header & KonstantenDONOTCACHEPAGE + X-Nitro-Disabled: 1 auf teuren URLs.
FlyingPress — Cache- & Preload-ExclusionFilter- und Pagination-URLs werden aus dem Critical-Path entfernt.
GTranslate — IP-Liste täglich aktualisiertÜbersetzungs-Crawler mit eigenem sauberen Limit. Echte Nutzer mit Sprachumschalter nie betroffen.
Cache-Preloader nicht als Bot erkanntNitroPack, WP-Rocket und GTranslate als cache_preloader klassifiziert — Trust-Level 0.
Unsere Cache-Empfehlung

Drei Cache-Plugins, die wir für WooCommerce empfehlen.

Mit WordPress & WooCommerce-Erfahrung seit 2010 haben wir hunderte Shops live betreut. Hier ist die ehrliche Reihenfolge — gewählt nach realer Performance auf produktiven Shops, nicht nach Marketing-Versprechen.

★ Top-Empfehlung
NitroPack
für maximale Performance

Aggressives Edge-Caching, automatische Image-Optimierung und Critical-CSS in einem. Liefert auf großen Shops messbar die besten Core-Web-Vitals — perfekt kombiniert mit unserem Plugin gegen Filter-Preloading.

NitroPack ansehen →
// rel=sponsored · Affiliate-Link
🚀
WP Rocket
der bewährte Allrounder

Solider Page-Cache, exzellenter Preloader und das volle WordPress-native Filter-Ökosystem. Ideal, wenn Du maximale Kontrolle und einfaches Debugging möchtest — unser Plugin steuert seine drei Preload-Filter direkt.

WP Rocket ansehen →
// rel=sponsored · Affiliate-Link
FlyingPress
die schlanke Alternative

Modern aufgesetzt, sehr klein, sehr schnell. Eine echte Alternative für Teams, die WP Rocket als zu „schwergewichtig" empfinden — mit ausgezeichnetem Lazy-Loading und einer Cache-Logik, die unser Plugin nahtlos integriert.

FlyingPress ansehen →
// rel=sponsored · Affiliate-Link

Bereit für ruhige Server-Nächte? Plugin installieren und im Shadow-Mode beobachten.

Plugin kaufen · 129 €/Jahr 189 €
Admin-Oberfläche

Viele Einstellungen. Einfache Verwaltung. Keine extra Programmierung notwendig.

Alles direkt im WordPress-Backend. Vom Notfall-Bypass über den .htaccess-Editor mit Backup bis zum URL-Testlabor.

Klare Antworten

Häufige Fragen vor dem Kauf.

Wir betreiben das Plugin seit Monaten auf produktiven Shops mit über 50.000 Produkten. Hier sind die Fragen, die echte Shop-Betreiber stellen.

Blockiert das Plugin meine echten Käufer?
Nein. Eingeloggte Nutzer werden komplett bypassed (A1). Browser mit WooCommerce-Session werden als Mensch erkannt (A5). Verifizierte Browser bekommen ein 24h-HMAC-Cookie und ein Cost-Budget von 2.000 (A3). Auf Cart-, Checkout- und Account-Seiten gibt es zusätzlich eine harte Garantie: echte Nutzer sind dort immer frei (A2). Der Auto-Safe-Mode greift, falls trotzdem etwas schief läuft.
Was passiert mit meinem Google-Ranking?
Google und Bing werden per DNS-Verifikation (A + AAAA Records) als verifizierte Suchmaschinen erkannt und niemals blockiert oder auto-gebannt (B1, A9). Filter-URLs bekommen ein sauberes 410 Gone — die SEO-Best-Practice, um Crawl-Fallen aus dem Index zu entfernen, statt sie endlos zu rendern.
Brauche ich noch Cloudflare oder Wordfence?
Cloudflare und Wordfence lösen ein anderes Problem (DDoS, WAF, Malware-Scans). Der Traffic Guard Shield ergänzt diese Tools — er ist ein dedizierter Crawl-Governance-Layer, der vor der teuren WordPress-Query greift. Viele Kunden nutzen ihn als Ersatz für Cloudflare Bot-Management, weil er deutlich präziser und ohne externen Reverse-Proxy arbeitet.
Wie schnell ist die Decision-Engine?
Die SQLite-Datenbank läuft im WAL-Mode mit Sampling-Option. Eine Entscheidung dauert typischerweise unter einer Millisekunde. Im Standalone-Mode (auto_prepend_file) wird die Entscheidung getroffen, bevor WordPress überhaupt startet.
Was ist mit ChatGPT, Claude und Perplexity?
Dreizehn KI-Crawler (GPTBot, ChatGPT-User, OAI-SearchBot, ClaudeBot, anthropic-ai, Claude-Web, PerplexityBot, Perplexity-User, Applebot, Applebot-Extended, Google-Extended, cohere-ai, DuckAssistBot) werden in einer eigenen Tier-Klasse geführt. Du kannst sie in drei Modi steuern: allow (voll erlaubt), limited (empfohlen — sehen Produkte, nicht Filter-Kombinationen) oder block (Vorsicht, beeinträchtigt KI-Sichtbarkeit).
Funktioniert das auch mit Reverse-Proxy- oder CDN-Setups (z.B. GTranslate-CDN)?
Ja, sogar besonders gut. Der Plugin erkennt automatisch, wenn REMOTE_ADDR die eigene Server-IP enthält (typisch bei GTranslate-CDN-Modus, NitroPack-Self-Crawl oder Hosting-Loadbalancern) und liest die echte Besucher-IP aus Trust-Headern wie X-GT-CLIENTIP, X-Real-IP oder X-Forwarded-For. Public-IP-Härtung verhindert Header-Spoofing über private oder reservierte IP-Ranges. Anti-Self-Ban-Schutz auf Datenbank-Level verhindert kategorisch, dass die eigene Server-IP versehentlich gebannt wird — mit Audit-Log und One-Click-Cleanup im Tools-Tab.
Kann ich es vor dem Kauf risikofrei testen?
Ja. Das Plugin startet im Shadow-Mode: Es trifft alle Entscheidungen, blockiert aber niemanden — sondern loggt nur, was es geblockt hätte. So siehst Du 7 Tage lang, wie sich der Schutz auswirken würde, bevor Du ihn scharf schaltest.
Verlassen Daten meinen Server?
Nein, mit einer Ausnahme: Lizenz-Pings an license.vastcob.com. Sämtliche Request-Logs, IP-Listen, Cost-Berechnungen und Bot-Erkennungen passieren lokal in einer SQLite-Datenbank auf Deinem Server. Kein US-Edge, kein externer Tracker, kein Drittanbieter sieht Deinen Traffic.
Was wenn etwas schief geht?
Drei Schutzschichten: (1) Notfall-Bypass per tgsrl-disable.flag per FTP — Plugin macht nichts mehr. (2) Auto-Safe-Mode aktiviert sich automatisch nach 50+ Bans in 10 Minuten und alarmiert per E-Mail. (3) .htaccess- und robots.txt-Editor erstellen vor jeder Änderung automatische Backups mit One-Click-Rollback (letzte 10 Versionen).
Welche Hosting-Anforderungen?
PHP 8.3+, WordPress 5.8+, SQLite-Extension (auf 99% aller Shared Hostings vorhanden). Funktioniert auf Strato, IONOS, All-Inkl, Hetzner, Mittwald, Raidboxes, WP-Engine — überall, wo WordPress läuft. Apache empfohlen für .htaccess-Integration; mit Nginx läuft das Plugin ebenfalls (ohne den .htaccess-Layer).
Updates & Support?
Auto-Updates über das integrierte Lizenz-SDK (v2.2.1). Bei ungültiger Lizenz läuft das Plugin weiter — nur die Updates pausieren. Support per E-Mail, deutscher Hersteller, deutsche Dokumentation.
Ersetzt das Plugin meinen Hoster oder mein Security-Plugin?
Nein — und das ist gewollt. Dein Hoster ist für Hardware, Backups und Verfügbarkeit zuständig. Dein Security-Plugin (Wordfence, iThemes, Sucuri) schützt vor Malware, Login-Brute-Force und bekannten Exploits. Der Traffic Guard Shield Rate Limiter sitzt davor und kümmert sich um etwas anderes: Crawl-Last, KI-Bots, teure Filter-URLs und Cost-Score pro Request. Alle drei zusammen ergeben echten Rundum-Schutz — getrennt deckt jeder seine Aufgabe ab, ohne der anderen ins Gehege zu kommen.
Verträgt sich das mit meinem bestehenden Sicherheitsplugin?
Ja, ohne Konflikte. Da der Traffic Guard Shield als Mu-Plugin vor allen anderen Plugins lädt, sieht Wordfence & Co. nur das, was bei uns durchgekommen ist. Effekt: Dein Security-Plugin hat plötzlich deutlich weniger zu tun, da der Bot-Lärm bereits weggeschnitten wurde — was wiederum CPU spart und falsche Wordfence-Alerts reduziert. Empfohlene Kombination: Traffic Guard Shield für Last & Crawl, Wordfence/iThemes für Malware & Login.
Was bedeutet 3-Quellen-Logging?
Drei Schutzebenen, drei Log-Quellen — alle in einer Ansicht: (1) Apache .htaccess blockt Bots/Länder direkt am Webserver (403/429), die Logs werden per Cron 3:00 Uhr automatisch importiert. (2) Preload-Script läuft via auto_prepend_file noch vor WordPress und schreibt JSONL-Logs in Echtzeit. (3) Plugin-SQLite zeichnet alle Plugin-Entscheidungen mit Cost-Score und Bot-Klassifikation auf. Source-Filter im Logs-Tab zeigt dir auf einen Klick, welche Schicht gerade arbeitet. Apache-Log-Reader hat Auto-Detection für All-Inkl, cPanel und Plesk — shared-hosting-tauglich (max. 5 MB pro Import-Run).
Funktioniert das mit Cookie-Bannern wie Borlabs, Real Cookie Banner oder Complianz?
Ja. Cookie-Banner schreiben den Consent für anonyme Besucher per REST-API zurück — wenn das blockiert wird, scheitert die Consent-Speicherung und der Banner erscheint endlos. TGSRL hat eine REST-API-Whitelist für 19 Cookie-Banner-Endpoints (Borlabs Cookie, Real Cookie Banner, Complianz, Cookiebot u.a.) mit eigenem Counter (Default 300 Req/min). Die Whitelist ist im Standard aktiv und kann im Einstellungen-Tab feinjustiert werden. Echte Besucher können also normal Consent geben, während Bot-Anfragen auf andere REST-Routes weiterhin limitiert bleiben.
Kompatibel mit allem was Du kennst... WordPress 5.8+ WooCommerce Wordfence · iThemes · Sucuri Cloudflare · BunnyCDN · KeyCDN Strato · IONOS · All-Inkl · Hetzner Mittwald · Raidboxes · WP Engine Apache · Nginx · LiteSpeed WPML · Polylang · GTranslate (mit CDN-Modus) Reverse-Proxy / CDN-Setups 100% lokal · kein US-Edge
Optional · Premium-Setup-Service

Keine Lust, selbst Hand anzulegen? Wir übernehmen das.

Plugin installieren, auf Deinen Shop konfigurieren, Shadow-Mode aktivieren — und 48 Stunden lang aktiv überwachen, ob alles sauber läuft. Du kaufst nur die Lizenz, wir kümmern uns um den Rest. Nach den 48 Stunden bekommst Du eine klare Empfehlung: scharfschalten oder nachjustieren.

Was wir konkret für Dich übernehmen

  • Plugin-Installation auf Deinem Server — Apache, Nginx oder LiteSpeed, MU-Plugin-Mode aktiviert für Pre-WP-Boot.
  • Konfiguration auf Deinen Shop zugeschnitten — Theme, Cache-Plugin, Multilingual-Setup und WC-Pfade erkannt und eingestellt.
  • .htaccess- & robots.txt-Snippets sauber eingespielt, inklusive Backups und Reihenfolgen-Prüfung.
  • Shadow-Mode aktiviert + Baseline-Messung am Tag 0 — Du siehst genau, was sich verändert.
  • 48 Stunden aktives Monitoring durch VASTCOB: Bot-Last, Auto-Bans, Honeypot-Treffer, Verdachtsfälle.
  • Sofort-Anpassungen bei Auffälligkeiten während der 48 Stunden — kein Warten auf Ticket-Antwort.
  • E-Mail-Support während des gesamten Zeitraums — direkter Draht zum Entwickler-Team.
  • Abschluss-Empfehlung nach 48 Stunden: Scharfschalten, weiter beobachten oder Feinjustierung.
Tag 0Installation & Baseline
+24hErste Auswertung
+48hEmpfehlung & Übergabe
Empfohlen
Setup-Service + 48h-MonitoringEinmalig · keine Folgekosten
99
einmalig · zzgl. Lizenz · alle Preise netto
  • Installation komplett übernommen
  • Auf Deinen Shop konfiguriert
  • 48 Stunden aktives Monitoring
  • Direkter Entwickler-Support
  • Abschluss-Empfehlung inklusive
Setup-Service buchen · 99 € →
Buchung jederzeit möglich — auch nachträglich, wenn Du erst selbst probieren willst.

// Hinweis: Der Setup-Service ist ein eigenständiges Produkt und kann auch nach dem Plugin-Kauf separat gebucht werden. Wir kontaktieren Dich innerhalb von 24 Stunden nach Bestellung zur Terminabsprache. Lizenzkosten sind im Preis nicht enthalten.

Schluss mit Lastspitzen, die Du nicht verstehst.

Installier den Traffic Guard Shield Rate Limiter. Aktivier den Shadow-Mode. Beobachte sieben Tage. Du wirst überrascht sein, wie viel Last in Wahrheit von außen kommt — und wie ruhig Dein Server danach wird.

Lizenz kaufen · 129 €/Jahr 189 € Funktionsübersicht ansehen →
// Auto-Updates · Deutscher Support · 15+ Jahre WP+Woo-Erfahrung

Bots blockieren mit dem WordPress Rate Limiter Plugin

Mit dem WordPress Rate Limiter Plugin Traffic Guard Shield entscheidest Du pro Request über Identität, URL-Typ und Cost-Score, bevor WordPress oder Deine Datenbank überhaupt aufwachen. Gewöhnliche Bot-Filter prüfen IP-Listen oder User-Agent-Strings. Das reicht heute nicht mehr, weil moderne Crawler ihre Identitäten rotieren oder echte Suchmaschinen-User-Agents fälschen.

Statt zu blocken oder durchzulassen, wird in unter einer Millisekunde geprüft, ob der Aufruf von einem eingeloggten Nutzer, einem Browser mit gültiger Session, einem verifizierten Googlebot oder von einem unbekannten Bot stammt. Das Plugin lädt sich vor allen anderen Komponenten als MU-Plugin und greift somit vor jeder PHP-Initialisierung.

Echte Suchmaschinen werden durch Reverse- und Forward-DNS-Verifikation auf A- und AAAA-Records erkannt und niemals blockiert. Schrott-Bots, die sich als Googlebot ausgeben, fliegen sofort raus. Sechzehn unsichtbare Honeypot-URLs wie /wp-config.bak oder /.env.bak markieren zusätzlich Probing-Versuche, was direkt zu einem 24 Stunden Ban führt und Brute-Force-Angriffe ohne Vorwarnung beendet.

WooCommerce Rate Limiter Plugin gegen KI-Crawler und Bots

Das WooCommerce Rate Limiter Plugin sortiert KI-Crawler in eine eigene Tier-Klasse ein. GPTBot, ClaudeBot, PerplexityBot und sechs weitere KI-Bots werden separat von echten Browsern, Suchmaschinen und Schrott-Bots behandelt. Du entscheidest pro Modus, ob diese Crawler Produktseiten lesen dürfen, in der Filter-Kombi gestoppt werden oder vollständig blockiert sind.

Der empfohlene Modus ist limited. KI sieht den Katalog mit echten Produktseiten und Blog-Inhalten, kommt aber nicht an Filter-Mehrfachkombinationen, ?add-to-cart-Aufrufe oder tiefer Pagination heran. Das schützt die Datenbank vor Lastspitzen, ohne die KI-Sichtbarkeit zu zerstören. Genau diese Differenzierung fehlt klassischen Bot-Blockern und macht das Rate Limiter Plugin WooCommerce zur eigenständigen Crawl-Governance-Schicht.

Die Cost-Score-Logik bewertet jede URL anhand ihres realen Aufwands. Eine einfache Produktseite kostet einen Punkt. Eine Filter-Kombination mit drei aktiven Werten und einer Sortierung kann sechzig Punkte oder mehr kosten. Cost-Budgets pro IP werden in einer SQLite-Datenbank im WAL-Mode summiert, exakt und ohne Schätzung.

WordPress Sicherheit und mehr Performance bei weniger Belastung – Lizenz für 129 Euro pro Jahr inklusive Auto-Updates

Die Lizenz für das Rate Limiter Plugin WordPress kostet aktuell 129 Euro pro Jahr, regulär 189 Euro. Inklusive sind sämtliche Updates über die Lizenzdauer, der Auto-Update-Mechanismus über das integrierte Lizenz-SDK sowie der deutschsprachige Support direkt vom Hersteller. Es gibt keine versteckten Tier-Stufen oder zusätzlichen Module, die nachgekauft werden müssten.

Bei einer ungültigen Lizenz läuft das Plugin weiter, lediglich die Updates werden pausiert. Funktionsschalter bleiben erhalten und Du verlierst keinen Zugriff auf die Adminoberfläche. Die Lizenzinformationen werden ausschließlich gegen license.vastcob.com geprüft. Alle Request-Logs, IP-Listen und Cost-Berechnungen verbleiben lokal auf dem eigenen Server.

Eingeschlossen sind alle dreiundzwanzig Module aus elftausend Zeilen geprüftem PHP-Code, darunter URL-Cost-Score, Google- und Bing-Hardware-Lock, KI-Visibility-Modus, WC Filter Performance Guard, Honeypot, Shadow-Mode und Auto-Safe-Mode. Die zehn Tabs der Adminoberfläche umfassen Dashboard, IP-Listen, Kompatibilität, .htaccess-Editor, robots.txt-Manager, Logs und ein eigenes URL-Testlabor.

Lastspitzen abfangen mit dem WordPress Rate Limiter Plugin

Lastspitzen entstehen heute selten durch Angriffe, sondern durch normalen Crawl-Verkehr. Neun aktive KI-Bots, fünf SEO-Tools und mehrere Cache-Preloader können einen WooCommerce-Shop mit fünfzigtausend Produkten innerhalb weniger Minuten überlasten. Das WordPress Rate Limiter Plugin schneidet diese Last ab, bevor PHP, MariaDB oder Redis überhaupt aufwachen.

Im Test mit einem mittleren WooCommerce-Shop und 3,2 Millionen Requests pro Monat reduziert die Kombination aus Cost-Score-Filter, KI-Visibility-Modus und Cache-Plugin die Datenbanklast auf vierzehn Prozent. Reine Caching-Lösungen wie WP Rocket oder NitroPack alleine landen bei rund vierundfünfzig Prozent. Das macht im Ergebnis bis zu sieben Mal mehr echte Käufer auf identischer Hardware.

Wer das Risiko vermeiden möchte, einen produktiven Shop direkt scharf zu schalten, startet im Shadow-Mode. Sieben Tage lang werden alle Entscheidungen getroffen, aber niemand wird tatsächlich blockiert. Der Auto-Safe-Mode greift parallel, falls mehr als fünfzig Bans innerhalb von zehn Minuten auftreten, und alarmiert per E-Mail. Notfall-Bypass per FTP-Datei ist jederzeit möglich.