Comment arrêter les Bad Bots : Un guide pour les utilisateurs de WordPress

Publié: 2023-04-05

La moitié de tout le trafic Internet n'est pas une activité humaine - ce sont des bots. Les robots spammeurs, les robots de recherche, les robots Twitter et les robots DDoS ne sont que quelques types courants de robots Web. Ils sont partout dans le monde en ligne, et tous ne sont pas mauvais. Mais certains d'entre eux sont mauvais, et les mauvais bots peuvent être plus qu'une nuisance. Ils peuvent perturber les fonctionnalités de votre site WordPress, ralentir votre flux de travail et faire fuir vos utilisateurs ou clients.

Lorsqu'il est temps d'empêcher les mauvais bots de se mêler de votre site WordPress, certaines approches fonctionnent mieux que d'autres. Heureusement, WordPress nous propose plusieurs solutions pratiques pour faire face aux bots.

Dans ce guide, nous discuterons de ce que sont les bots, pourquoi certains sont bons, comment vous pouvez bloquer les mauvais et comment les empêcher de nuire à votre site WordPress. Pour bloquer les bots que les sites WordPress vulnérables attirent, prenez quelques minutes maintenant pour lire ce guide. À la fin, vous aurez les réponses dont vous avez besoin pour bloquer les mauvais bots dans WordPress. Nous allons jeter un coup d'oeil.

Qu'est-ce qu'un bot ?

Comme vous l'avez probablement déjà compris, le terme "bot" est l'abréviation de "robot". Parfois, les gens se réfèrent aux bots dont nous parlons ici en tant que "bots Internet" ou "bots Web". Pour le dire simplement, un bot est un logiciel qui fonctionne comme un agent utilisateur indépendant pour une personne ou un programme de commande et de contrôle plus large qui dirige les actions de nombreux bots.

Pour de bonnes et de mauvaises raisons, les gens utilisent souvent des robots pour simuler l'activité de vrais humains naviguant sur le Web et effectuant des tâches répétitives. Les bots sont un peu plus rapides que les gens pour effectuer des tâches banales, donc les gens utilisent des bots pour faire beaucoup de choses simples rapidement et à grande échelle. De manière générale, 40 à 50 % de tout le trafic Internet sont en fait des robots qui interagissent avec des pages Web, communiquent directement avec les gens, recherchent un contenu spécifique ou effectuent d'autres tâches de base.

Souvent, vous ne bénéficiez pas de ces tâches pilotées par des bots. Vous n'en voulez pas et ils ne vous sont d'aucune utilité. Ils sont un gaspillage de serveurs et de ressources énergétiques. Pire encore, certains sont malveillants et ces robots constituent une menace constante.

arrêter les mauvais bots

Comment fonctionnent exactement les bots ?

Dans la plupart des cas, un bot opère sur un réseau. Lorsque les bots communiquent entre eux, ils utilisent différents services comme IRC (Internet Relay Chat), ou même des systèmes de messagerie directe sur les plateformes de médias sociaux.

En suivant différents ensembles d'algorithmes qui définissent les tâches que leurs concepteurs leur programment, les bots peuvent tout faire, qu'il s'agisse de parler aux gens ou de récupérer le contenu d'un site Web sur Internet. Les robots les plus sophistiqués tentent d'imiter le véritable comportement humain, comme Google Duplex.

Gestion des robots

Les personnes et les organisations qui utilisent des bots utilisent généralement un logiciel de gestion de bot qui fait partie d'une plate-forme de sécurité des applications Web. Les gestionnaires de bots permettent aux bons bots de fonctionner correctement tout en bloquant les mauvais bots qui peuvent causer des dommages.

Lorsque le gestionnaire de bot voit un mauvais bot suspecté ou connu, il le redirige hors du site Web qu'il protège. Il fonctionne comme un pare-feu d'application Web.

Certaines des fonctionnalités les plus élémentaires du logiciel de gestion de bot incluent les CAPTCHA (pour détecter les humains par rapport aux bots) et la limitation du débit IP, qui limite le nombre de requêtes pouvant provenir d'une adresse IP.

Dans le cadre de ses fonctionnalités, iThemes Security détecte et bloque le trafic des robots à l'aide de CAPTCHA et d'autres méthodes.

Huit types courants de bots

Il existe de nombreux types de bots, chacun avec ses propres tâches et agendas.

Certains des robots les plus courants incluent :

  1. Les chatbots simulent des conversations humaines et interagissent avec vous comme le ferait une autre personne. L'un des premiers chatbots est antérieur au Web mondial - Eliza. Eliza est un programme qui agit comme un psychothérapeute Rogerien qui répond aux questions avec plus de questions.
    • Les chatbots basés sur des règles interagissent avec les gens en leur fournissant des invites prédéfinies parmi lesquelles choisir. Les chatbots intellectuellement indépendants utilisent l'apprentissage automatique pour apprendre et comprendre les entrées humaines et répondre aux mots-clés connus.
    • Les chatbots IA (intelligence artificielle) combinent les caractéristiques des bots intellectuellement indépendants et des bots basés sur des règles. Ces robots IA sophistiqués utilisent des outils de traitement du langage naturel, de correspondance de modèles et de génération de langage naturel pour reproduire l'interaction humaine de manière très réaliste.
  2. Les Shopbots analysent Internet pour le compte d'un utilisateur. Le travail d'un Shopbot consiste à localiser le coût le plus bas pour tout produit, article ou service recherché par un utilisateur. Les robots tels que OpenSesame observent les habitudes de navigation des utilisateurs sur le site Web et personnalisent le site pour chaque utilisateur.
  3. Les robots sociaux fonctionnent sur Facebook, Twitter et d'autres plateformes de médias sociaux.
  4. Les Knowbots collectent des informations spécifiques sur des sujets définis par la personne qui les contrôle.
  5. Crawlers et spiders AKA web crawlers ou web spiders sont les robots les plus courants que vous pouvez rencontrer. Les moteurs de recherche les utilisent pour cartographier et indexer la structure et le contenu des sites Web.
  6. Les robots d'exploration Web collectent des données et extraient d'autres contenus que quelqu'un les a programmés pour les trouver.
  7. Les bots transactionnels effectuent des transactions pour le compte d'un humain qui les contrôle.
  8. Les robots de surveillance surveillent la santé globale d'un réseau ou d'un site Web.

Les bots de chacune de ces catégories servent des objectifs légitimes, comme tester, surveiller et protéger les systèmes. Bien sûr, chaque catégorie peut également inclure des bots malveillants.

Bons robots

Un robot de service client peut être disponible 24 heures sur 24, sept jours sur sept. Pour répondre aux questions courantes et fournir une assistance de base, c'est un bon moyen pour nous un bot. Cela aide à libérer le personnel du service client afin qu'il puisse se concentrer sur des problèmes plus complexes qui nécessitent une interaction humaine.

Vous avez probablement eu des conversations avec des robots du service client, également appelés agents virtuels ou représentants virtuels. Il y a plus de deux décennies, « Andrette » et « Shallow Red » étaient des pionniers parmi les robots de service client. Ils faisaient partie de la première génération de robots capables de répondre à des questions détaillées sur un produit ou un service.

Aujourd'hui, de nombreux services que vous connaissez probablement utilisent des bots :

  • Applications de messagerie instantanée telles que WhatsApp, Slack et Facebook Messenger.
  • Applications d'actualités telles que The New York Times .
  • Applications de covoiturage comme Lyft.
  • Les assistants de planification qui utilisent l'IA, comme Clara et Trevor.

Ces exemples ne commencent même pas à effleurer la surface des nombreuses applications que les bots ont dans la technologie et les affaires. Malheureusement, il existe tout autant de rôles illégitimes que jouent les bots dans la cybercriminalité.

Mauvais robots

Bien qu'il existe des bots qui servent à des fins très positives pour les particuliers et les entreprises, il existe également des bots malveillants qui prennent en charge le piratage et la cybercriminalité. Ces robots malveillants sont très différents des chatbots utiles. D'une part, les chatbots ne parcourent pas librement le Web à la recherche de problèmes. Les mauvais bots le font.

Certains des bots malveillants ou « mauvais » les plus courants incluent :

  • Les bots DDoS ou DoS travaillent ensemble dans un « botnet » ou « essaim » pour surcharger les ressources d'un serveur ciblé, conduisant à un déni de service (DoS) pour les utilisateurs légitimes. La plupart des botnets sont distribués sur de nombreux réseaux et appareils, de sorte que leur vecteur d'attaque est mieux défini comme un « déni de service distribué ».
  • Les robots spammeurs injectent du contenu commercial indésirable dans des sites ciblés dans le but de diriger leurs visiteurs vers un autre site Web.
  • Les hackerbots attaquent l'infrastructure d'un site Web et distribuent des logiciels malveillants.

Parmi les autres types de bots malveillants, citons les moissonneurs d'e-mails, les robots d'exploration Web malveillants, les craqueurs de mots de passe par force brute et les bots de bourrage d'informations d'identification ou de mots de passe.

Les avantages et les inconvénients des bots

Comme dans d'autres domaines technologiques, l'utilisation de bots peut offrir des avantages positifs aux personnes ayant des objectifs commerciaux légitimes :

  • Ils effectuent des tâches répétitives plus rapidement que les gens ne le peuvent - et sans utiliser de personnes !
  • Les bots font gagner du temps à l'homme pour les interactions directes entre les clients et les clients.
  • Ils sont disponibles à toute heure du jour et de la nuit.
  • Vous pouvez atteindre un grand nombre de personnes très rapidement avec les bots.
  • Le service client UX (expérience utilisateur) s'améliore considérablement avec les bots.
  • Les entreprises peuvent utiliser l'automatisation robotique des processus (RPA) pour rationaliser les flux de travail.

D'autre part,

  • Les robots basés sur des règles sont limités aux tâches et aux capacités de leur programmation. Ils pâlissent par rapport à la fluidité et à l'intelligence des chatbots alimentés par l'IA.
  • Même les chatbots IA "comprennent mal" l'intention de l'utilisateur et frustrent les gens.
  • Les criminels utilisent constamment des robots pour le spam et la fraude.
  • Les bots peuvent être malveillants s'ils sont programmés pour faire du mal.
  • Il est difficile d'amener les gens à « faire confiance » aux bots, de sorte qu'ils ont une utilisation limitée lorsqu'une expérience relationnelle plutôt qu'une simple transaction est requise.

Comment bloquer les mauvais bots dans WordPress ?

Il est important d'apprendre à arrêter le mauvais trafic de bot WordPress ne peut pas s'arrêter tout seul. Les bad bots constituent de réelles menaces et causent des dommages considérables chaque jour. Votre site WordPress est l'une de leurs cibles et vous devez les bloquer.

Apprendre à arrêter le trafic de bots dans WordPress commence par comprendre qu'un mauvais bot est simplement celui qui frappe votre site WordPress sans aucun avantage pour vous en tant que propriétaire du site.

Les mauvais bots consomment beaucoup de ressources serveur. Cela est particulièrement vrai s'ils visitent continuellement votre page wp-login ou d'autres zones de votre site, à la recherche d'un moyen d'entrer par effraction.

En les bloquant, vous n'aurez pas à gérer autant de stress sur le serveur. Vous pourrez économiser sur les coûts d'hébergement et la bande passante. Cela accélérera votre site et empêchera les attaques DDoS.

Voici comment commencer à éloigner les robots malveillants :

1. Obtenez le plug-in gratuit iThemes Security

La première chose à faire est d'obtenir le plugin gratuit iThemes Security. iThemes Security est un plugin de sécurité WordPress qui ajoute une sécurité supplémentaire à votre site WordPress.

En utilisant le plugin iThemes Security, vous obtenez un journal de sécurité WordPress en temps réel qui collecte les événements de sécurité sur votre site Web, y compris l'activité des bots.

Téléchargez iThemes Security maintenant

L'utilisation d'un plugin comme iThemes Security pour générer des journaux de sécurité WordPress est utile à plusieurs niveaux. Les journaux de sécurité présentent plusieurs avantages dans la stratégie globale de sécurité de votre site Web.

Les journaux vous permettent de :

  1. Identifiez et arrêtez les comportements malveillants.
  2. Repérez l'activité qui peut vous alerter d'une faille de sécurité.
  3. Évaluez les dommages causés en cas de violation.
  4. Vous aider dans la réparation d'un site piraté.

Si votre site est piraté, vous voudrez les meilleures informations pour permettre une enquête et une récupération rapides. Cette information est votre journal d'accès au serveur.

2. Obtenez iThemes Security Pro et choisissez un CAPTCHA pour l'enregistrement de l'utilisateur, la réinitialisation du mot de passe, la connexion et les commentaires

De loin, la meilleure fonctionnalité anti-bot du plugin iThemes Security Pro sont ses options CAPTCHA.

Les sites WordPress sont constamment ciblés par des robots qui tentent de s'introduire dans les formulaires de connexion avec des mots de passe volés ou devinés, de vous envoyer des spams et des commentaires de spam, ou de récupérer et de voler votre contenu.

Choisissez parmi de nombreux fournisseurs CAPTCHA différents

Le tourniquet noCAPTCHA de Cloudflare, le hCaptcha d'Intuition Machines et le reCAPTCHA de Google sont toutes les options dont vous disposez dans iThemes Security Pro pour empêcher les mauvais robots d'accéder à votre site Web. Chacun de ces CAPTCHA identifiera vos visiteurs légitimes et leur permettra de se connecter, d'effectuer des achats, de consulter des pages ou de créer des comptes. Tous ces services CAPTCHA utilisent des techniques avancées d'analyse des risques pour distinguer les humains des bots, parfois sans même demander aux humains de prouver qu'ils ne sont pas des bots. (Le tourniquet fonctionne généralement de manière assez invisible.)

Pour commencer à utiliser le service CAPTCHA de votre choix, activez la fonction CAPTCHA sur la page Fonctionnalités › Verrouillages sous Sécurité › Paramètres .

Vos clés CAPTCHA

L'étape suivante consiste à sélectionner le type de CAPTCHA que vous souhaitez utiliser et à générer vos clés pour celui-ci. Vous devrez créer un compte gratuit auprès du fournisseur CAPTCHA de votre choix pour obtenir vos clés.

Remarque : Turnstile de Cloudflare est actuellement la solution CAPTCHA la moins intrusive et la plus sophistiquée. Si vous utilisez Google reCAPTCHA, nous vous recommandons d'utiliser leur option Invisible reCAPTCHA.

La commodité de noCAPTCHA

Ce qui est génial avec Turnstile de Cloudflare et Invisible reCAPTCHA de Google, c'est qu'ils peuvent généralement détecter le trafic de robots sur votre site Web sans aucune interaction de l'utilisateur. Au lieu d'afficher un défi CAPTCHA visible, ils surveillent le comportement de l'agent du navigateur pour déterminer s'il s'agit d'un humain ou d'un bot complètement dans les coulisses.

Activez maintenant votre CAPTCHA choisi sur vos écrans d'enregistrement d'utilisateur WordPress, de réinitialisation de mot de passe, de connexion et de commentaire.

Enfin, définissez le nombre d'échecs CAPTCHA nécessaires pour déclencher un verrouillage avec le seuil d'erreur de verrouillage lorsqu'un test CAPTCHA manuel est utilisé. Les bots sondant votre écran de connexion et d'autres formulaires sont les plus susceptibles d'échouer les tests à plusieurs reprises, donc les verrouiller automatiquement est un bon moyen de renforcer votre liste de blocage.

Après l'activation, le badge de la plate-forme CAPTCHA s'affiche dans le coin inférieur droit de chaque page sur laquelle il est actif, vous indiquant que vous êtes protégé contre les mauvais bots.

3. Identifiez et bloquez automatiquement les robots malveillants grâce à la protection locale contre la force brute d'iThemes Security

Les éditions Free et Pro d'iThemes Security peuvent automatiquement interdire les mauvais bots et les utilisateurs qui échouent à plusieurs reprises lors des tentatives de connexion ou utilisent le nom d'utilisateur "Admin". C'est le comportement typique des robots qui tentent de se connecter par force brute. Pour commencer à utiliser la fonction Local Brute Force Protection , activez-la sur la page principale de la page des paramètres d'iThemes Security Pro. Vous pouvez modifier les paramètres qui déterminent la manière dont ces bots sont gérés sur l'écran Configurer › Verrouillages › Local Brute Force .

En réduisant le nombre de tentatives de connexion que vous autorisez les utilisateurs de votre site, vous verrouillerez immédiatement les utilisateurs et les bots qui ont saisi à plusieurs reprises des critères de connexion non valides sur la page wp-login .

La fonctionnalité iThemes Security Pro Local Brute Force Protection garde une trace des tentatives de connexion invalides effectuées par un hôte ou une adresse IP et un nom d'utilisateur. Une fois qu'une adresse IP ou un nom d'utilisateur a fait trop de tentatives de connexion invalides consécutives, il sera verrouillé et ne pourra plus faire de tentatives pendant une période de temps définie.

4. Identifiez et bloquez automatiquement les robots malveillants avec la protection réseau Brute Force d'iThemes Security

Un moyen très efficace de protéger votre site contre les mauvais robots consiste à adhérer au réseau d'utilisateurs d'iThemes qui partagent leurs listes de blocage. Les bad bots bloqués par votre site seront partagés et bloqués par d'autres sur le réseau, et vous bénéficierez également de la réception de leurs listes de blocage. Vous n'avez qu'à vous inscrire et aucune autre action n'est nécessaire de votre part.

5. Identifiez et bloquez manuellement les listes de Bad Bots

Votre tableau de bord iThemes Security vous donne un affichage tête haute des informations importantes à jour, y compris le nombre d'attaques par force brute tentées et le nombre de bots et d'utilisateurs qui ont été bloqués. Il s'agit d'un affichage visuel des informations collectées dans le journal conservé par iThemes Security.

Familiarisez-vous avec vos journaux de sécurité

Prenez quelques minutes pour observer votre journal de sécurité sous Sécurité › Journaux . Vous verrez probablement beaucoup de verrouillages (mauvaises tentatives de connexion) et de tentatives de connexion par force brute détectées.

iThemes Security recherche les requêtes suspectes ou malveillantes qui se démarquent. Les robots qui visitent votre site de manière répétitive ne ressemblent pas à des requêtes de navigateur humaines normales. Ils ont tendance à être répétitifs. Si une adresse IP fait plus que le nombre moyen de requêtes, ou si des requêtes sont répétées régulièrement à partir de la même adresse IP (comme toutes les heures), il s'agit très probablement d'un bot. Vous pouvez rechercher leurs noms d'hôte sur Google et rechercher leurs adresses IP pour en savoir plus à leur sujet et confirmer s'ils sont bénins ou nuisibles.

Augmentez le temps de verrouillage et bannissez les récidivistes

De nombreuses adresses IP hôtes verrouillées et interdites apparaîtront à plusieurs reprises. Vous voudrez peut-être les interdire pour des périodes plus longues dans vos paramètres de verrouillage et de seuil d'interdiction.

Interdire définitivement les grandes listes de mauvaises adresses IP

Vous pouvez également interdire définitivement de nombreuses adresses IP avec le widget Utilisateurs interdits sur votre tableau de bord iThemes Security. Soyez juste prudent - une très grande liste peut ralentir votre serveur.

Interdire définitivement de grandes listes de mauvais agents utilisateurs

Bloquer les mauvais agents utilisateurs est un moyen efficace de mettre sur liste noire les bots connus. Cela fait également partie des fonctionnalités d'interdiction des utilisateurs d'iThemes Security.

Vous pouvez gagner beaucoup de temps en basant votre liste de bots malveillants sur une source commune régulièrement mise à jour. La liste d'interdiction de Jim Walker est déjà intégrée dans iThemes Security. Vous pouvez en ajouter d'autres, comme la liste noire des mauvais bots 4G de Jeff Starr, qui contient actuellement 1200 entrées pour les mauvais agents utilisateurs.
Gardez à l'esprit que les bots comme Googlebot sont légitimes et n'ont pas besoin d'être bloqués. En fait, vous pouvez les ajouter à la liste blanche en utilisant une liste actuelle de bots bénéfiques.

Nouveau avec iThemes Security : Blocage des bots sans friction et meilleure confidentialité - Regardez la rediffusion du webinaire :

Bloquer les Bad Bots dans WordPress vous facilitera la vie

Si vous êtes propriétaire d'un site WordPress depuis un certain temps, vous avez presque certainement eu affaire à de mauvais robots attaquant votre site. Dans cet eBook, vous trouverez quelques conseils simples pour vous préparer à un avenir plus sûr. Apprenez à bloquer les mauvais bots et autres techniques de sécurité pour faire de votre site Web une cible plus difficile.

Obtenez le contenu bonus : Un guide de la sécurité WordPress
Télécharger le PDF

Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress

WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.

Obtenez iThemes Security Pro