Hotlinking — oder direkte Verlinkung — tritt auf, wenn eine Drittanbieter-Website Ihre Bilder anzeigt, indem sie deren URLs direkt von Ihrem Server verlinkt. Das Ergebnis: Ihre Website verbraucht Ihre Bandbreite, erschöpft Ihr Transfer-Kontingent und belastet Ihren Server, ohne dass Sie davon profitieren. Im Jahr 2026 bleibt Hotlinking eines der häufigsten Missbräuche im Web. Hier sind alle Methoden zum effektiven Schutz dagegen.
Hotlinking und seine Folgen verstehen
Wenn eine Website ein Bild über ein <img src="https://ihredomain.com/foto.jpg">-Tag auf ihren eigenen Seiten einbettet, antwortet Ihr Server auf jede Ladesanfrage ihrer Seite. In der Praxis bedeutet das:
- Ihre Bandbreite wird für die Versorgung einer Drittanbieter-Website verbraucht
- Ihr monatliches Transferkontingent erschöpft sich schneller
- Ihr Server trägt bei jedem Besuch der fehlerhaften Website eine zusätzliche Last
- Sie bezahlen für das Hosting von Bildern, die den Inhalt anderer Websites bereichern
In extremen Fällen kann eine stark besuchte Website, die Ihre Bilder hotlinkt, eine Serverüberlastung oder Kontingentüberschreitung verursachen, die Ihre eigene Website unzugänglich macht.
Methode 1: Hotlinking über .htaccess (Apache) blockieren
Dies ist die klassischste und effektivste Methode auf Apache-Servern. Die .htaccess-Datei ermöglicht die Überprüfung des HTTP-Referer-Headers jeder Anfrage — wenn die Anfrage nicht von Ihrer Domain stammt, wird sie blockiert oder umgeleitet.
Fügen Sie diese Zeilen in Ihre .htaccess-Datei im Stammverzeichnis Ihrer Website ein:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www.)?ihredomain.com [NC]
RewriteRule .(jpg|jpeg|png|gif|webp|svg|avif)$ - [F,L]Diese Regel blockiert jede Bildanfrage, deren Referer nicht Ihre Domain ist. Sie können [F,L] (403-Fehler) durch eine Weiterleitung zu einem Warnbild ersetzen:
RewriteRule .(jpg|jpeg|png|gif|webp|svg|avif)$ https://ihredomain.com/no-hotlink.png [R,L]Gut zu wissen: die Bedingung RewriteCond %{HTTP_REFERER} !^$ erlaubt Anfragen ohne Referer (Direktzugriff, Lesezeichen, Entwicklertools). Wenn Sie diese ebenfalls blockieren möchten, entfernen Sie diese Zeile — beachten Sie jedoch, dass dies die Anzeige Ihrer Bilder in einigen legitimen Kontexten wie HTML-E-Mails oder RSS-Aggregatoren verhindern kann.
Methode 2: Hotlinking über Nginx blockieren
Auf einem Nginx-Server wird der Schutz im server- oder location-Block Ihrer Konfigurationsdatei konfiguriert:
location ~* .(jpg|jpeg|png|gif|webp|svg|avif)$ {
valid_referers none blocked ihredomain.com *.ihredomain.com;
if ($invalid_referer) {
return 403;
}
}Die Direktive valid_referers none blocked erlaubt Direktzugriffe (none) und Anfragen ohne Referer (blocked). Nur die aufgelisteten Domains dürfen Ihre Bilder einbetten.
Methode 3: Referrer-Policy verwenden
Die HTTP-Direktive Referrer-Policy steuert, welche Referer-Informationen mit Anfragen von Ihrer Website gesendet werden. Durch eine restriktive Richtlinie reduzieren Sie die für Drittanbieter-Websites verfügbaren Informationen — diese Methode schützt Ihre Bilder jedoch nicht aktiv, sondern begrenzt nur die Verbreitung Ihrer Website-URL.
Für einen grundlegenden Schutz fügen Sie Ihrer .htaccess hinzu:
Header set Referrer-Policy "same-origin"Methode 4: CDN-basierter Schutz
Wenn Sie Ihre Bilder über ein CDN (Cloudflare, AWS CloudFront, Fastly…) hosten, ist der Hotlinking-Schutz in der Regel nativ im Verwaltungspanel verfügbar:
- Cloudflare: aktivieren Sie die Regel "Hotlink Protection" auf der Registerkarte Scrape Shield Ihres Dashboards. Sie blockiert automatisch Bildanfragen von nicht autorisierten Domains
- AWS CloudFront: verwenden Sie eine Lambda@Edge-Funktion, um den Referer-Header zu überprüfen und nicht autorisierte Anfragen zu blockieren
- Bunny CDN: Hotlinking-Schutz ist direkt in den Speicherzoneneinstellungen verfügbar
Der CDN-Vorteil ist zweifach: Der Schutz wird auf Ebene des Verteilungsnetzwerks verwaltet, noch bevor Ihr Ursprungsserver erreicht wird, und gilt für alle Ihre Assets ohne Serverkonkonfigurationsänderung.
Methode 5: Bilder regelmäßig umbenennen und verschieben
Ein weniger technischer, aber ergänzender Ansatz besteht darin, die URLs Ihrer Bilder regelmäßig zu ändern. Jeder externe Direktlink wird sofort ungültig. Dieser Ansatz kann über ein Umbenennungsskript oder Content-Hash-basiertes Asset-Management automatisiert werden (wie Webpack oder Vite es nativ für CSS- und JS-Dateien tun).
Methode 6: temporäre Zugangstokens verwenden
Für sensible oder stark frequentierte Bilder ist die Generierung von signierten URLs mit Ablaufzeit der robusteste Schutz. Das Prinzip: Jede Bild-URL enthält einen kryptografischen Token, der für eine begrenzte Zeit gültig ist (1h, 24h…). Nach Ablauf dieser Zeit ist die URL nicht mehr gültig.
- AWS S3: Presigned URL-Generierung über das AWS SDK
- Cloudflare R2: signierte URLs mit konfigurierbarer Ablaufzeit
- Bunny CDN: URL-Signierung mit geheimem Schlüssel und Zeitstempel
| Methode | Schwierigkeit | Effektivität | CDN-kompatibel |
|---|---|---|---|
| .htaccess (Apache) | Einfach | Gut | Teilweise |
| Nginx-Konfiguration | Mittel | Gut | Teilweise |
| Natives CDN (Cloudflare…) | Sehr einfach | Sehr gut | Ja (nativ) |
| Periodisches Umbenennen | Variabel | Mittel | Ja |
| Signierte URLs / Tokens | Fortgeschritten | Maximal | Ja |
Gut zu wissen: kein Anti-Hotlinking-Schutz ist absolut narrensicher. Eine entschlossene Website kann Ihre Bilder immer herunterladen und auf ihren eigenen Servern neu hosten — in diesem Fall handelt es sich um ein Urheberrechtsproblem, kein Hotlinking-Problem. Der Schutz über .htaccess oder CDN deckt die große Mehrheit der missbräuchlichen Fälle ab und reicht aus, um Ihre Bandbreite im Alltag zu schützen.