Правильные настройки для блокировки ботов позволяют защитить сайт без глубоких технических знаний. Достаточно включить несколько проверок, и большая часть вредоносного автоматического трафика перестанет попадать на ваш ресурс. Рассмотрим основные способы, которые реально работают и легко настраиваются за несколько минут.
User-Agent — это заголовок, который сообщает серверу, какой браузер или бот запрашивает сайт. Настоящие пользователи и легитимные роботы всегда его указывают. Многие простые боты оставляют User-Agent пустым, не утруждая себя его заполнением.
Почему стоит включить?
Блокировка запросов без User-Agent отсеивает множество простых бот-скриптов. Это одна из самых базовых и при этом эффективных настроек для блокировки ботов, которую стоит активировать в первую очередь.
Заголовок Accept-Language показывает язык браузера пользователя. Легитимные браузеры его всегда указывают, простейшие боты часто пропускают. Реальный посетитель сайта никогда не отправит запрос без этого заголовка, потому что за него это делает браузер автоматически.
Почему стоит включить?
Отсечение запросов без этого заголовка сокращает спам-трафик и запросы от базовых парсеров. Эта проверка хорошо работает в связке с другими настройками для блокировки ботов и практически не влияет на реальных посетителей.
Почти все реальные браузеры полностью поддерживают JavaScript. Большинство простых ботов и сканеров работают с отключённым JS. Им не нужно выполнять скрипты, они просто собирают содержимое страниц.
Почему стоит включить?
Требование поддержки JS блокирует большинство автоматических ботов, значительно снижая нагрузку на сервер. По данным Cloudflare, значительная часть всего интернет-трафика приходится на ботов, и проверка JavaScript отсекает их без лишних сложностей.
Легитимные пользователи обычно имеют совпадение языка и региона. Злоумышленники часто используют VPN и прокси, вызывая несоответствия между реальным местоположением IP-адреса и языком браузера. Например, IP из Германии, а в заголовке стоит русский язык — это повод для дополнительной проверки.
Почему стоит включить?
Обнаружение таких расхождений позволяет ловить скрытных ботов и атаки через прокси. Это одна из тех настроек для блокировки ботов, которая особенно полезна против более продвинутых угроз.
Боты часто подделывают или искажают User-Agent, что легко выявляется простыми проверками. Некоторые используют устаревшие версии браузеров, которые давно не встречаются у реальных пользователей. Другие собирают строку User-Agent из нескольких несовместимых частей, что тоже является явным признаком автоматического запроса.
Почему стоит включить?
Проверка User-Agent эффективно останавливает ботов, пытающихся выдать себя за обычных пользователей или поисковых роботов. Эта настройка для блокировки ботов дополняет базовую проверку на пустой User-Agent и перекрывает более хитрые сценарии обхода.
Настоящие роботы (например, Googlebot) имеют корректные PTR-записи, чего нет у большинства фальшивых ботов. PTR-запись — это обратное DNS-преобразование: по IP-адресу можно определить имя хоста. Google и другие поисковики используют строго проверяемые PTR-записи, поэтому их легко отличить от самозванцев. Подробнее о том, как работает обратный DNS, можно прочитать в документации IANA.
Почему стоит включить?
Блокировка несоответствий и аномалий PTR резко уменьшает трафик от фальшивых роботов, помогая защитить SEO сайта.
Заголовок Referer сообщает, откуда пришёл пользователь. Боты часто оставляют его пустым или подделывают. Реальный посетитель, как правило, переходит с какой-то страницы — из поиска, из социальной сети, с другого сайта. Бот же нередко обращается к URL напрямую, без какого-либо источника перехода.
Почему стоит включить?
Блокировка запросов без Referer сокращает количество спама и нежелательных парсеров. Особенно полезна эта настройка для блокировки ботов, которые атакуют формы регистрации и обратной связи.
Каждая из описанных проверок по отдельности уже даёт результат. Но в связке они работают значительно лучше. Если бот пропустил одну проверку, его почти наверняка остановит другая. Именно поэтому грамотные настройки для блокировки ботов строятся на нескольких уровнях защиты одновременно, а не на одном единственном правиле.
Например, более продвинутый бот может подделать User-Agent, но при этом всё равно не передаст Accept-Language или не пройдёт проверку JavaScript. Такой многоуровневый подход существенно снижает вероятность того, что нежелательный запрос дойдёт до вашего сервера. Об этом принципе эшелонированной защиты пишет OWASP в своём руководстве по защите от автоматических угроз.
Плагин BotBlocker позволяет легко включить эти настройки через удобный интерфейс. Настройте каждую проверку отдельно или используйте стандартные предустановки. Не нужно редактировать код или разбираться в серверных конфигурациях — все настройки для блокировки ботов доступны прямо из панели управления WordPress.
Пример настройки:
Активируйте BotBlocker, перейдите в настройки, включите проверки Empty User-Agent, JavaScript и GeoIP, сохраните. Всё готово.
Если вы только начинаете настраивать защиту, вот с чего лучше начать. Эти три настройки для блокировки ботов дают максимальный эффект при минимальном риске заблокировать реального пользователя:
Защитите сайт уже сегодня с помощью простых и понятных настроек BotBlocker.
