Wer eine WordPress-Seite betreibt, kennt das Problem: Angriffe auf Server und Inhalte gehören zum digitalen Alltag. Das Plugin WordFence hat sich hier als einer der zuverlässigsten Schutzschilde etabliert und blockiert täglich Millionen von Attacken. Doch manchmal schießt der Wächter über das Ziel hinaus und sperrt legitime Besucher aus – ein Ärgernis, das sich meist einfach vermeiden lässt.
WordFence analysiert kontinuierlich das Verhalten eurer Website-Besucher und schlägt Alarm, wenn verdächtige Muster erkennbar sind. Besonders automatisierte Zugriffe stehen im Fokus: Bot-Angriffe, die Server überlasten sollen, oder systematische Versuche, Schwachstellen zu finden. Das Plugin erkennt solche Attacken oft daran, dass von einer IP-Adresse wiederholt Anfragen nach nicht existierenden Dateien kommen.
Genau hier liegt aber auch die Falle: WordFence kann nicht zwischen bösartigen Bots und harmlosen System-Anfragen unterscheiden. Wenn normale Besucher plötzlich mit dem gefürchteten Error 503 „Service Unavailable“ begrüßt werden, liegt das oft an einem simplen Problem.
Der Hauptverursacher sind Apple-Geräte. iPhones, iPads und Macs suchen seit iOS 14 und macOS Big Sur noch aggressiver nach den Dateien /apple-touch-icon-precomposed.png und /apple-touch-icon.png. Diese Icons werden verwendet, wenn Nutzer eure Website als Shortcut auf dem Homescreen speichern oder in Bookmarks ablegen. Das System fragt diese Dateien automatisch ab – auch wenn der Nutzer sie gar nicht braucht.
Fehlende Touch-Icons führen zu 404-Fehlern, die WordFence als verdächtig einstuft. Kommen mehrere Apple-Nutzer hintereinander auf eure Seite, häufen sich die fehlgeschlagenen Anfragen. WordFence interpretiert das als Bot-Angriff und aktiviert den Schutz.
Die Lösung ist denkbar einfach: Erstellt die beiden Icon-Dateien und legt sie in euer WordPress-Hauptverzeichnis. Die Dateien sollten 180×180 Pixel groß sein und im PNG-Format vorliegen. Als Motiv eignet sich euer Logo oder ein charakteristisches Symbol eurer Marke.
Alternativ könnt ihr in der .htaccess-Datei Weiterleitungen einrichten, die die Anfragen zu einem vorhandenen Icon umleiten. Das spart Speicherplatz und funktioniert genauso zuverlässig.
Ein weiterer häufiger Auslöser für falsche Alarme sind Favicons. Moderne Browser fragen unterschiedliche Icon-Größen ab: favicon.ico, favicon-16×16.png, favicon-32×32.png und weitere. Fehlen diese Dateien, sammeln sich auch hier 404-Fehler an.
WordFence 2024 hat zwar intelligentere Erkennungsalgorithmen bekommen, die zwischen harmlosen System-Anfragen und echten Angriffen unterscheiden können. Trotzdem empfiehlt es sich, die grundlegenden Icon-Dateien bereitzustellen.
Übrigens: In den WordFence-Einstellungen könnt ihr unter „Firewall Options“ die Empfindlichkeit anpassen. Wer häufig legitime Besucher aussperrt, sollte die Rate-Limiting-Schwellenwerte erhöhen. Standard sind 240 404-Fehler in 5 Minuten – bei kleinen Seiten mit wenig Traffic kann man das durchaus auf 500 oder mehr erhöhen.
Ein Tipp für die Fehlersuche: Schaut regelmäßig in die WordFence-Logs unter „Tools > Live Traffic“. Dort seht ihr genau, welche Dateien am häufigsten zu 404-Fehlern führen. Oft sind es nicht nur Apple-Icons, sondern auch alte Plugin-Pfade oder gelöschte Bilder, die noch irgendwo verlinkt sind.
Moderne WordPress-Themes bringen meist schon die wichtigsten Icon-Formate mit. Falls ihr ein älteres Theme nutzt oder selbst entwickelt, solltet ihr das Icon-Set komplettieren. Online-Tools wie RealFaviconGenerator erstellen aus einem Ausgangsbild alle nötigen Varianten.
Fazit: Error 503 durch WordFence lässt sich meist durch simple Haushaltsführung vermeiden. Ein vollständiges Icon-Set, saubere interne Verlinkung und gelegentliche Log-Kontrollen halten sowohl eure Besucher als auch das Security-Plugin bei Laune.
Zuletzt aktualisiert am 26.02.2026
