Cloudflare Error 521 beheben: Web Server Is Down

Was du über Cloudflare Error 521 wissen musst:

• Error 521 bedeutet, dass Cloudflare die IP deines Servers erreicht hat, aber dein Webserver-Prozess keine Verbindungen auf Port 80 oder 443 akzeptiert.
• Die Servermaschine selbst kann online sein. Das Problem ist die Webserver-Software.
• Vier Hauptursachen: Server ist offline, Cloudflare-IPs werden von deiner Firewall blockiert, SSL/TLS-Fehlkonfiguration, Ressourcenüberlastung.
• Fünf Fixes: Serverstatus prüfen, Cloudflare-IPs whitelisten, SSL-Einstellungen korrigieren, Ressourcenauslastung prüfen, Cloudflare vorübergehend deaktivieren.
• WordPress hat zwei zusätzliche Checks: in Konflikt stehende Plugins deaktivieren und Firewall-Regeln des Sicherheitsplugins prüfen.
• Uptime-Monitoring einrichten und IP-Allowlist automatisieren, damit der Fehler nicht wiederkommt.

Deine Website zeigt „521 Web Server Is Down“ für jeden Besucher an. Cloudflare hat sich erfolgreich mit der IP deines Servers verbunden, aber auf Port 80 oder 443 kam keine Antwort. Der Webserver-Prozess läuft nicht oder lehnt die Verbindung aktiv ab.

Dieser Cloudflare Error 521 ist spezifischer als die meisten Cloudflare Errors. Hier erfährst du, was passiert und wie du es behebst.

Was ist Cloudflare Error 521?

Error 521 bedeutet: Cloudflare hat die IP-Adresse deines Origin Servers erreicht, aber deine Webserver-Software hat die Verbindung abgelehnt. Die Meldung „Cloudflare Web Server Is Down“ ist zutreffend: Der Netzwerkpfad funktioniert, die Maschine ist erreichbar, aber nichts akzeptiert HTTP- oder HTTPS-Traffic.

Dieser Server Error 521 liegt auf einer bestimmten Ebene. Das Problem liegt nicht bei Cloudflares Infrastruktur. Es ist der Webserver-Prozess auf deinem Cloudflare Origin Server.

Was verursacht Error 521 bei Cloudflare?

Vier Ursachen decken fast jeden 521-Fall ab. Der Cloudflare Origin Server ist erreichbar, aber etwas zwischen der eingehenden Anfrage und deinem Webserver-Prozess unterbricht die Verbindung.

Origin Server ist offline oder antwortet nicht

Die naheliegendste Ursache: Dein Webserver-Prozess ist abgestürzt oder gestoppt. Apache, Nginx oder was auch immer du einsetzt, antwortet nicht mehr. Cloudflare versucht, deinen Origin Server zu erreichen, bekommt auf Port 80 oder 443 keine Antwort und gibt einen Server Error 521 zurück. Prüfe immer zuerst den Serverstatus.

Firewall blockiert Cloudflare-IP-Adressen

Dein Server läuft einwandfrei, aber eine Cloudflare-Firewall-Regel oder eine OS-Level-Firewall blockiert Cloudflares IP-Bereiche. Wenn du kürzlich Regeln verschärft hast oder ein Sicherheitsplugin neue Einschränkungen angewendet hat, ist Cloudflare-IP-Blocking sehr wahrscheinlich die Ursache. Du musst Cloudflares IP-Bereiche explizit whitelisten. Die vollständige Liste findest du unter cloudflare.com/ips.

SSL/TLS-Verschlüsselungs-Fehlkonfiguration

Ein Mismatch zwischen dem Cloudflare SSL/TLS Encryption Mode und dem, was dein Origin Server unterstützt, führt zu Verbindungsablehnungen beim TLS-Handshake. Wenn Cloudflare auf Full (Strict) steht, aber dein Cloudflare SSL Certificate am Origin selbstsigniert oder abgelaufen ist, wird die Verbindung abgelehnt, bevor überhaupt Inhalte ausgetauscht werden. Der Cloudflare SSL Mode in deinem Dashboard muss zu dem passen, was dein Server tatsächlich hat.

Server-Ressourcenüberlastung: CPU und RAM

Unter extremer Last kann der Webserver-Prozess aufhören, neue Verbindungen zu akzeptieren, obwohl er technisch gesehen noch läuft. Ein Server-Down-Checker meldet die Maschine möglicherweise als online. Aber prüfe den Serverstatus auf Prozessebene, und du siehst, dass der Dienst nicht mehr reagiert. Ressourcenauslastung bei 100% CPU oder erschöpftem RAM führt zuverlässig zu diesem Problem.

Cloudflare Error 521 beheben

Fünf Schritte zur Behebung von Error 521, grob sortiert danach, wie oft jeder davon das Problem löst. Cloudflare Error 521 hat fast immer eine einzige Grundursache. Findest du sie, ist der Fix meistens schnell erledigt. Wenn du in Schritt fünf Cloudflare deaktivieren musst, bringt das deine Website wieder online, während du weiter nach der Ursache suchst.

Schritt 1: Prüfen, ob dein Origin Server läuft

Verbinde dich per SSH mit deinem Server und prüfe, ob der Webserver-Prozess tatsächlich läuft:

systemctl status nginx
# oder
systemctl status apache2

Wenn er gestoppt ist, starte ihn und teste. Wenn du dich gar nicht per SSH einloggen kannst, nutze einen Server-Down-Checker wie UptimeRobot, um zu prüfen, ob die Maschine deines Cloudflare Origin Servers überhaupt antwortet. Allein dieser Schritt behebt einen großen Teil der 521er.

Schritt 2: Cloudflare-IP-Bereiche whitelisten

Prüfe deine Cloudflare-Firewall und die OS-Firewall-Regeln auf alles, was Cloudflare-IP-Blocking verursacht. Füge Cloudflares veröffentlichte IP-Bereiche zur Allowlist auf den Ports 80 und 443 hinzu:

for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
  ufw allow from $ip to any port 443
done

Sobald du die Cloudflare-IP-Adressen auf die Whitelist gesetzt hast, hören die Verbindungsablehnungen durch Firewall-Regeln sofort auf.

Schritt 3: SSL/TLS-Verschlüsselungseinstellungen korrigieren

Öffne dein Cloudflare-Dashboard und prüfe den Cloudflare SSL Mode unter SSL/TLS. Wenn er auf Full (Strict) steht, braucht dein Origin ein gültiges Cloudflare SSL Certificate. Entweder ein gültiges Zertifikat auf dem Server installieren oder den Cloudflare SSL/TLS Mode vorübergehend auf Full (nicht Strict) setzen, während du das Problem behebst.

Diese Ursache taucht häufig nach einer Zertifikatserneuerung oder einer Dashboard-Änderung auf, die jemand gemacht und vergessen hat.

Schritt 4: Server-Ressourcenauslastung prüfen

Wenn der Webserver-Prozess läuft, aber weiterhin Verbindungen ablehnt, prüfe den Serverstatus auf Ressourcenebene mit ps oder top.

Suche nach Prozessen, die ungewöhnlich viele Ressourcen verbrauchen. Cloudflare Errors durch Ressourcenüberlastung treten eher sporadisch auf als dauerhaft. Das ist ein nützlicher diagnostischer Hinweis. Ein Neustart des problematischen Prozesses behebt es in der Regel, wenn Ressourcenüberlastung die Ursache ist.

Schritt 5: Cloudflare vorübergehend deaktivieren

Wenn nichts davon das Problem löst, deaktiviere Cloudflare, um den Traffic direkt an deinen Origin zu leiten. Gehe in deinem Dashboard zu Overview und klicke auf „Pause Cloudflare on Site“. Ein gleichzeitiger Cloudflare Cache Purge schließt jede Beteiligung der Caching-Schicht aus.

Error 521 auf WordPress-Seiten beheben

Ein Cloudflare Error 521 bei WordPress entsteht fast immer durch ein Plugin, das die Verbindungen stört, und nicht durch ein Server-Problem. Zwei Dinge, die du prüfen solltest.

Konflikt-Plugins deaktivieren

Manche Caching- und Performance-Plugins stören Cloudflare auf Verbindungsebene und erzeugen Cloudflare Errors, die wie 521er aussehen. Anders als bei einem echten Cloudflare-Firewall-Problem passiert die Blockierung auf Anwendungsebene innerhalb von WordPress. Deaktiviere alle Plugins und teste. Wenn der Fehler verschwindet, aktiviere sie nacheinander wieder. Das ist mühsam, aber dieses WordPress-Cloudflare-Fehlermuster kommt so häufig vor, dass es immer der erste Check sein sollte.

Firewall-Regeln des Sicherheitsplugins prüfen

Sicherheitsplugins wie Wordfence verwalten eigene Firewall-Regeln im Cloudflare-Stil auf Anwendungsebene. Wenn Cloudflare-IP-Blocking über eines dieser Plugins angewendet wurde, kommen Cloudflares IP-Bereiche unabhängig von deinen Server-Firewall-Einstellungen nicht durch. Prüfe die IP-Allowlist jedes Plugins und füge die vollständigen Bereiche von cloudflare.com/ips hinzu. Sobald du die Cloudflare-IP-Adressen auch über das Plugin auf die Whitelist setzt, wird die Verbindung wiederhergestellt.

Error 521 dauerhaft vermeiden

Server-Uptime-Monitoring einrichten

Ein Server-Down-Checker benachrichtigt dich innerhalb von Minuten, wenn dein Webserver offline geht. Richte sowohl einen HTTP-Monitor als auch einen Port-Level-TCP-Check auf 443 ein. So weißt du sofort, ob das Problem auf Maschinen- oder Prozessebene liegt. Den Serverstatus automatisch prüfen, nicht erst nach einer Besucherbeschwerde.

Cloudflare-IP-Allowlist automatisch aktualisieren

Cloudflare aktualisiert seine IP-Bereiche regelmäßig. Wenn deine Firewall nicht mithält, kann Cloudflare-IP-Blocking zurückkehren. Ein Cron-Job, der die aktuelle Liste von cloudflare.com/ips abruft und deine Regeln automatisch aktualisiert, hält die Cloudflare-IP-Whitelist-Konfiguration auf dem neuesten Stand. Füge nach jedem Sicherheitsplugin-Update eine Cloudflare-Firewall-Prüfung hinzu, und du hast die beiden häufigsten Ursachen für wiederkehrende 521er abgedeckt.

Error 521 vs. andere Cloudflare Errors

Cloudflare Error 520 vs. Error 521

Cloudflare Error 520 bedeutet: Die Verbindung wurde hergestellt, aber die Antwort kam leer oder fehlerhaft zurück. Ein 521 bedeutet: Die Verbindung wurde abgelehnt, bevor überhaupt eine Antwort kam. Bei Cloudflare Errors im 520er-Bereich läuft der Webserver, verhält sich aber fehlerhaft. Bei einem 521 antwortet er überhaupt nicht.

Cloudflare Error 522 vs. Error 521

Cloudflare Error 522 ist ein TCP-Timeout: Cloudflare hat versucht, eine Verbindung herzustellen, und dein Server hat im vorgegebenen Zeitfenster nicht geantwortet. Ein 521 ist eine aktive Ablehnung. Diese Cloudflare Errors sehen für Besucher identisch aus, haben aber unterschiedliche Ursachen: Ein 522 weist auf einen nicht erreichbaren Server hin, ein 521 auf einen, der die Verbindung aktiv ablehnt.

Cloudflare Error 521 FAQ

Die folgenden Fragen behandeln die häufigsten Unklarheiten rund um Cloudflare Error 521. Wenn du hier von einer „521 Web Server Is Down“- oder „Cloudflare Web Server Is Down“-Seite landest und nicht weißt, wo du anfangen sollst: Die ersten beiden Antworten sind der schnellste Weg weiter.