Как остановить отаку ботов на сайт?
Добрый день , сделал сайт на ВордПресс . Некоторые страницы выбились в топ 1 Яндекса . посетителей в среднем было по 1000 человек . Потом начали сайт атаковать бот. И посещений стало по 30 000 . Как то можно избавиться от этого ? Мб есть плагины для ВордПресс какие-то ?
Скрин
Дополнительно:
Отаку - это которые анимешники? :)
Ответы:
так роботы нормальные или накрутка?
Владимир @VladimirARS А что за боты, с мобильных (android) megafon, скорее всего основная масса - ?
На сколько я знаю, какого-то точно эффективного решения сейчас нет этого. Сайт вылез в топ, и его ботовод скорее всего добавил в свои базы, для нагула ботов. Как вариант настроить CDN cloudflare.
Сайт: https://www.cloudflare.com/ru-ru/
Плагин: https://ru.wordpress.org/plugins/cloudflare/
Либо как-то пробовать отсечь с помощью .htaccess файла (но нужно будет собирать ip адреса)
- М... А зачем ботоводу "нагуливать" ботов? Как ему с этого прок?
- Wan-Derer, санкции от поиковика, т.е., проще говоря, вас таким образом через абьюз выбивают из топа ПС.
mayton2019 @mayton2019 Bigdata Engineer Не знаю годиться ли такой сценарий для Wordpress. Вот есть штука такая в NGINX как dynamic denylisting https://docs.nginx.com/nginx/admin-guide/security-...
Осталось автоматизировать сбор ботов с логов.
Виктор Петров @vpetrov частный SEO-специалист, textarget.ru Если речь про поведенческих ботов - то тут проверенная связка CloudFlare + Antibot. Никакими плагинами вы с проблемой не справитесь, поскольку всё упирается в невозможность полноценно выявлять ботов.
Можно, конечно, заблокировать переходы из ненужных стран, подсетей и т.п., но практика показывает, что вы таким образом неизбежно блокнете и живую целевую аудиторию.
Проблема характерна для любого сайта в топах, где жив трафик, практически все решают её с помощью CF.
R4ZΞ @r4ze // _ AppSec // Bug Bounty / Legal Hacking Привет.
В мае на форуме PHD рассказывали про такую штуку, как KillBot. Сразу скажу, что лично не тестировал, но это в теории может быть ещё одним решением описанной проблемы, если по каким-то причинам CF не подходит.
Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.
Пока нет других ответов. Будьте первым, кто поможет автору.
Ответить на вопрос
Начинать нужно не с плагина, а с понимания, что это за трафик. Если страницы вышли в топ, часть роста может быть нормальными поисковыми роботами, но 30 000 визитов вместо 1 000 обычно похоже на накрутку, парсинг, ботов с мобильных сетей или атаку на тяжёлые URL.
Порядок действий:
Если сайт за Cloudflare, включите WAF, Bot Fight Mode, rate limiting и правила для подозрительных стран/ASN/User-Agent. Пример идеи правила: если один IP делает слишком много запросов к страницам за минуту — показывать challenge.
На уровне nginx можно ограничивать частоту:
limit_req_zone $binary_remote_addr zone=site_limit:10m rate=5r/s; server { location / { limit_req zone=site_limit burst=20 nodelay; try_files $uri $uri/ /index.php?$args; } }
Для WordPress дополнительно проверьте:
xmlrpc.php, если он не нужен;wp-login.php.Плагины вроде Wordfence, All-In-One Security, Limit Login Attempts и Antispam Bee могут помочь, но от массового HTTP-трафика лучше защищаться выше WordPress: CDN, WAF, nginx/apache. WordPress-плагин срабатывает уже после загрузки PHP, то есть часть нагрузки сайт всё равно получает.