Jak zatrzymać złe boty: przewodnik dla użytkowników WordPress

Opublikowany: 2023-04-05

Połowa całego ruchu internetowego to nie działalność człowieka — to boty. Spamboty, boty wyszukujące, Twitterboty i boty DDoS to tylko kilka typowych typów robotów internetowych. Są wszędzie w świecie online i nie wszystkie są złe. Ale niektóre z nich są złe, a złe boty mogą być czymś więcej niż uciążliwością. Mogą zakłócać działanie Twojej witryny WordPress, spowalniać przepływ pracy i odstraszać użytkowników lub klientów.

Kiedy nadszedł czas, aby powstrzymać złe boty przed ingerowaniem w Twoją witrynę WordPress, niektóre podejścia działają lepiej niż inne. Na szczęście WordPress daje nam kilka praktycznych rozwiązań do radzenia sobie z botami.

W tym przewodniku omówimy, czym są boty, dlaczego niektóre są dobre, jak można blokować te złe i jak powstrzymać je przed szkodzeniem Twojej witrynie WordPress. Aby zablokować witryny WordPress podatne na boty, poświęć teraz kilka minut na przeczytanie tego przewodnika. Na koniec będziesz mieć odpowiedzi potrzebne do blokowania złych botów w WordPress. Spójrzmy.

Co to jest bot?

Jak zapewne już się domyśliłeś, termin „bot” jest skrótem od „robot”. Czasami ludzie nazywają boty, o których tutaj mówimy, „botami internetowymi” lub „robotami internetowymi”. Mówiąc prościej, bot to oprogramowanie, które działa jako niezależny agent użytkownika dla osoby lub większy program dowodzenia i kontroli, który kieruje działaniami wielu botów.

Z dobrych i złych powodów ludzie często używają botów do symulacji aktywności prawdziwych ludzi przeglądających sieć i wykonujących powtarzalne zadania. Boty są nieco szybsze niż ludzie w wykonywaniu przyziemnych zadań, więc ludzie używają ich do wykonywania wielu prostych rzeczy szybko i na dużą skalę. Ogólnie rzecz biorąc, 40-50% całego ruchu internetowego to w rzeczywistości boty wchodzące w interakcje ze stronami internetowymi, komunikujące się bezpośrednio z ludźmi, skanujące określone treści lub wykonujące inne podstawowe zadania.

Często nie odnosisz korzyści z tych zadań sterowanych przez boty. Nie chcesz ich i nie są one dla ciebie pomocne. Są marnowaniem zasobów serwera i energii. Co gorsza, niektóre są złośliwe, a te boty stanowią ciągłe zagrożenie.

zatrzymać złe boty

Jak dokładnie działają boty?

W większości przypadków bot działa w sieci. Kiedy boty komunikują się ze sobą, korzystają z różnych usług, takich jak IRC (Internet Relay Chat), a nawet systemy przesyłania wiadomości bezpośrednich na platformach społecznościowych.

Zgodnie z różnymi zestawami algorytmów, które definiują zadania, które programują je ich projektanci, boty mogą robić wszystko, od rozmawiania z ludźmi i zeskrobywania zawartości witryny z całego Internetu. Najbardziej wyrafinowane boty próbują naśladować prawdziwe ludzkie zachowanie, takie jak Google Duplex.

Zarządzanie botami

Osoby i organizacje korzystające z botów zazwyczaj używają oprogramowania do zarządzania botami, które jest częścią platformy zabezpieczeń aplikacji internetowych. Menedżerowie botów umożliwiają prawidłowe działanie dobrych botów, jednocześnie blokując złe boty, które mogą wyrządzić szkody.

Kiedy menedżer botów widzi podejrzanego lub znanego złego bota, przekierowuje go z chronionej strony internetowej. Działa jak zapora sieciowa aplikacji.

Niektóre z bardziej podstawowych funkcji oprogramowania do zarządzania botami obejmują CAPTCHA (do wykrywania ludzi w porównaniu z botami) oraz ograniczanie szybkości IP, co ogranicza liczbę żądań, które mogą pochodzić z jednego adresu IP.

W ramach swoich funkcji iThemes Security wykrywa i blokuje ruch botów za pomocą CAPTCHA i innych metod.

Osiem popularnych typów botów

Istnieje wiele różnych rodzajów botów, z których każdy ma swoje unikalne zadania i plany.

Niektóre z najczęstszych botów to:

  1. Chatboty symulują rozmowy międzyludzkie i komunikują się z Tobą tak, jak inna osoba. Jeden z pierwszych chatbotów, który powstał przed ogólnoświatową siecią — Eliza. Eliza to program, który działa jak psychoterapeuta Rogerian, który odpowiada na pytania większą liczbą pytań.
    • Oparte na regułach chatboty wchodzą w interakcję z ludźmi, dostarczając im predefiniowane monity do wyboru. Chatboty, które są niezależne intelektualnie, wykorzystują uczenie maszynowe do uczenia się i rozumienia wkładu ludzkiego oraz reagowania na znane słowa kluczowe.
    • Chatboty AI (sztuczna inteligencja) łączą cechy intelektualnie niezależnych botów i botów opartych na regułach. Te wyrafinowane boty AI wykorzystują narzędzia do przetwarzania języka naturalnego, dopasowywania wzorców i generowania języka naturalnego w celu odtworzenia interakcji międzyludzkich w bardzo realistyczny sposób.
  2. Shopboty skanują internet w imieniu użytkownika. Zadaniem Shopbota jest zlokalizowanie najniższego kosztu dowolnego produktu, przedmiotu lub usługi, których szuka użytkownik. Boty, takie jak OpenSesame, obserwują wzorce nawigacji użytkownika w witrynie i dostosowują witrynę dla każdego użytkownika.
  3. Boty społecznościowe działają na Facebooku, Twitterze i innych platformach społecznościowych.
  4. Knowboty zbierają określone informacje na tematy określone przez osobę je kontrolującą.
  5. Roboty indeksujące i pająki AKA roboty indeksujące lub pająki sieciowe to najczęstsze boty, na które możesz się natknąć. Wyszukiwarki używają ich do mapowania i indeksowania struktury i zawartości stron internetowych.
  6. Roboty przeszukujące sieć zbierają dane i wyodrębniają inne treści, które ktoś zaprogramował do znalezienia.
  7. Boty transakcyjne realizują transakcje w imieniu kontrolującego je człowieka.
  8. Boty monitorujące obserwują ogólny stan sieci lub witryny.

Boty w każdej z tych kategorii służą uzasadnionym celom, takim jak testowanie, monitorowanie i ochrona systemów. Oczywiście każda kategoria może zawierać również złośliwe boty.

Dobre Boty

Bot obsługi klienta może być dostępny 24 godziny na dobę, siedem dni w tygodniu. Aby odpowiadać na często zadawane pytania i udzielać podstawowej pomocy, jest to dla nas dobry sposób na bota. Pomaga odciążyć personel obsługi klienta, aby mógł skupić się na bardziej złożonych problemach wymagających interakcji międzyludzkiej.

Prawdopodobnie rozmawiałeś już z botami obsługi klienta, zwanymi również wirtualnymi agentami lub wirtualnymi przedstawicielami. Ponad dwie dekady temu „Andrette” i „Shallow Red” były pionierami wśród botów obsługi klienta. Byli w pierwszej generacji botów, które mogły odpowiadać na szczegółowe pytania dotyczące produktu lub usługi.

Obecnie wiele usług, które prawdopodobnie znasz, korzysta z botów:

  • Aplikacje do obsługi wiadomości błyskawicznych, takie jak WhatsApp, Slack i Facebook Messenger.
  • Aplikacje informacyjne , takie jak The New York Times .
  • Aplikacje do wspólnych przejazdów, takie jak Lyft.
  • Asystenci planowania korzystający ze sztucznej inteligencji, tacy jak Clara i Trevor.

Te przykłady nawet nie zarysowują powierzchni wielu zastosowań botów w technologii i biznesie. Niestety, jest tyle samo nielegalnych ról, które boty odgrywają w cyberprzestępczości.

Złe boty

Chociaż istnieją boty, które służą bardzo pozytywnym celom dla ludzi i firm, istnieją również złośliwe boty, które wspierają hakowanie i cyberprzestępczość. Te złośliwe boty bardzo różnią się od pomocnych Chatbotów. Po pierwsze, Chatboty nie wędrują swobodnie po sieci w poszukiwaniu kłopotów. Robią to złe boty.

Niektóre z najczęstszych złośliwych lub „złych” botów to:

  • Boty DDoS lub DoS współpracują ze sobą w „botnecie” lub „roju”, aby przeciążyć zasoby docelowego serwera, co prowadzi do odmowy usługi (DoS) dla legalnych użytkowników. Większość botnetów jest rozproszona w wielu sieciach i urządzeniach, więc ich wektor ataku lepiej zdefiniować jako „rozproszona odmowa usługi”.
  • Roboty spamujące umieszczają niechciane treści komercyjne w docelowych witrynach z zamiarem skierowania odwiedzających do innej witryny.
  • Hackerboty atakują infrastrukturę strony internetowej i rozpowszechniają złośliwe oprogramowanie.

Niektóre dodatkowe rodzaje złośliwych botów obejmują zbieracze wiadomości e-mail, złośliwe roboty indeksujące, narzędzia do łamania haseł metodą brute-force oraz boty podające dane uwierzytelniające lub hasła.

Zalety i wady botów

Podobnie jak w przypadku innych obszarów technologii, korzystanie z botów może przynieść pewne pozytywne korzyści osobom, które mają uzasadnione cele biznesowe:

  • Wykonują powtarzalne zadania szybciej niż ludzie — i to bez udziału ludzi!
  • Boty oszczędzają ludzki czas na bezpośrednie, indywidualne interakcje z klientami.
  • Są dostępne o każdej porze dnia i nocy.
  • Dzięki botom możesz bardzo szybko dotrzeć do wielu osób.
  • Obsługa klienta UX (doświadczenie użytkownika) drastycznie poprawia się dzięki botom.
  • Firmy mogą korzystać z robotycznej automatyzacji procesów (RPA) w celu usprawnienia przepływów pracy.

Z drugiej strony,

  • Boty oparte na regułach są ograniczone do zadań i możliwości ich programowania. Bledną w porównaniu z płynnością i inteligencją chatbotów napędzanych sztuczną inteligencją.
  • Nawet chatboty AI często „nie rozumieją” intencji użytkownika i frustrują ludzi.
  • Przestępcy stale wykorzystują boty do spamowania i oszustw.
  • Boty mogą być złośliwe, jeśli są zaprogramowane do wyrządzania szkód.
  • Trudno jest skłonić ludzi do „zaufania” botom, więc mają one ograniczone zastosowanie tam, gdzie wymagane jest relacyjne, a nie tylko transakcyjne doświadczenie.

Jak zablokować złe boty w WordPress?

Ważne jest, aby dowiedzieć się, jak powstrzymać zły ruch botów, którego WordPress nie może zatrzymać samodzielnie. Złe boty stanowią realne zagrożenie i każdego dnia wyrządzają znaczne szkody. Twoja witryna WordPress jest jednym z ich celów i powinieneś je zablokować.

Nauka, jak zatrzymać ruch botów w WordPress, zaczyna się od zrozumienia, że ​​zły bot to po prostu taki, który uderza w Twoją witrynę WordPress bez żadnych korzyści dla Ciebie jako właściciela witryny.

Złe boty zużywają dużo zasobów serwera. Jest to szczególnie prawdziwe, jeśli stale odwiedzają Twoją stronę wp-login lub inne obszary Twojej witryny, szukając sposobu na włamanie.

Blokując je, nie będziesz musiał radzić sobie z tak dużym obciążeniem serwera. Będziesz mógł zaoszczędzić na kosztach hostingu i przepustowości. Przyspieszy to Twoją witrynę i zapobiegnie atakom DDoS.

Oto jak zacząć odstraszać złe boty:

1. Pobierz darmową wtyczkę iThemes Security

Pierwszą rzeczą do zrobienia jest pobranie bezpłatnej wtyczki iThemes Security. iThemes Security to wtyczka bezpieczeństwa WordPress, która dodaje dodatkowe zabezpieczenia do Twojej witryny WordPress.

Korzystając z wtyczki iThemes Security, otrzymujesz dziennik bezpieczeństwa WordPress w czasie rzeczywistym, który zbiera zdarzenia związane z bezpieczeństwem w Twojej witrynie, w tym aktywność botów.

Pobierz iThemes Security teraz

Używanie wtyczki takiej jak iThemes Security do generowania dzienników bezpieczeństwa WordPress jest przydatne na wielu poziomach. Dzienniki bezpieczeństwa mają kilka zalet w ogólnej strategii bezpieczeństwa witryny.

Dzienniki umożliwiają:

  1. Tożsamość i powstrzymanie złośliwego zachowania.
  2. Wykrywaj aktywność, która może ostrzec Cię o naruszeniu bezpieczeństwa.
  3. Oceń, jak duże szkody zostały wyrządzone w przypadku naruszenia.
  4. Pomoc w naprawie zaatakowanej witryny.

Jeśli Twoja witryna zostanie zaatakowana przez hakerów, będziesz potrzebować najlepszych informacji, które pomogą w szybkim dochodzeniu i odzyskaniu. Te informacje to dziennik dostępu do serwera.

2. Pobierz iThemes Security Pro i wybierz CAPTCHA do rejestracji użytkownika, resetowania hasła, logowania i komentarzy

Zdecydowanie najlepszą funkcją do niszczenia botów we wtyczce iThemes Security Pro są jej opcje CAPTCHA.

Witryny WordPress są stale atakowane przez boty próbujące włamać się do formularzy logowania za pomocą skradzionych lub odgadniętych haseł, wysłać spam i komentarze spamowe lub zeskrobać i ukraść zawartość.

Wybieraj spośród wielu różnych dostawców CAPTCHA

NoCAPTCHA Turnstile firmy Cloudflare, hCaptcha firmy Intuition Machines i reCAPTCHA Google to opcje, które masz w iThemes Security Pro, aby uniemożliwić złym botom dostęp do Twojej witryny. Każdy z tych kodów CAPTCHA zidentyfikuje Twoich uprawnionych gości i umożliwi im logowanie, dokonywanie zakupów, przeglądanie stron lub tworzenie kont. Wszystkie te usługi CAPTCHA wykorzystują zaawansowane techniki analizy ryzyka, aby odróżnić ludzi od botów, czasem nawet bez konieczności wyzywania ludzi, aby udowodnili, że nie są botami. (Turnstile generalnie działa całkiem niewidocznie).

Aby rozpocząć korzystanie z wybranej usługi CAPTCHA, włącz funkcję CAPTCHA na stronie Funkcje › Blokady w sekcji Bezpieczeństwo › Ustawienia .

Twoje klucze CAPTCHA

Następnym krokiem jest wybranie typu CAPTCHA, którego chcesz użyć, i wygenerowanie dla niego kluczy — aby otrzymać klucze, musisz założyć bezpłatne konto u wybranego dostawcy CAPTCHA.

Uwaga: Turnstile firmy Cloudflare jest obecnie najmniej inwazyjnym i najbardziej zaawansowanym rozwiązaniem CAPTCHA. Jeśli korzystasz z Google reCAPTCHA, zalecamy skorzystanie z opcji niewidocznej reCAPTCHA.

Wygoda noCAPTCHA

Wspaniałe w Turnstile Cloudflare i Google Invisible reCAPTCHA jest to, że zazwyczaj mogą wykrywać ruch botów w Twojej witrynie bez jakiejkolwiek interakcji użytkownika. Zamiast pokazywać widoczne wyzwanie CAPTCHA, monitorują zachowanie agenta przeglądarki, aby określić, czy jest to człowiek, czy bot całkowicie za kulisami.

Teraz włącz wybraną CAPTCHA na ekranach rejestracji użytkownika WordPress, resetowania hasła, logowania i komentarzy.

Na koniec ustaw liczbę nieudanych CAPTCHA wymaganych do uruchomienia blokady za pomocą Próg błędu blokady, gdy używany jest ręczny test CAPTCHA. Boty sondujące Twój ekran logowania i inne formularze najprawdopodobniej wielokrotnie nie przejdą testów, więc automatyczne blokowanie ich to dobry sposób na wzmocnienie listy zablokowanych.

Po aktywacji plakietka platformy CAPTCHA wyświetla się w prawym dolnym rogu każdej strony, na której jest aktywna, informując, że jesteś chroniony przed złymi botami.

3. Automatycznie identyfikuj i blokuj szkodliwe boty za pomocą lokalnej ochrony przed brutalną siłą iThemes Security

Zarówno bezpłatna, jak i Pro wersja iThemes Security mogą automatycznie blokować złe boty i użytkowników, którzy wielokrotnie nieudanych prób logowania lub używają nazwy użytkownika „Admin”. Jest to typowe zachowanie botów, które podejmują próby logowania metodą brute-force. Aby rozpocząć korzystanie z funkcji Local Brute Force Protection , włącz ją na stronie głównej ustawień iThemes Security Pro. Możesz zmodyfikować ustawienia określające sposób obsługi tych botów na ekranie Konfiguruj › Blokady › Lokalna brutalna siła .

Zmniejszając liczbę prób logowania, na które zezwalasz użytkownikom swojej witryny, natychmiast zablokujesz użytkowników i boty, które wielokrotnie wprowadzały nieprawidłowe kryteria logowania na stronie wp-login .

Funkcja iThemes Security Pro Local Brute Force Protection śledzi nieprawidłowe próby logowania wykonane przez hosta lub adres IP i nazwę użytkownika. Gdy adres IP lub nazwa użytkownika wykona zbyt wiele kolejnych nieudanych prób logowania, zostaną one zablokowane i uniemożliwią im podejmowanie kolejnych prób przez określony czas.

4. Automatycznie identyfikuj i blokuj szkodliwe boty dzięki ochronie przed atakami sieciowymi iThemes Security

Bardzo skutecznym sposobem ochrony witryny przed złymi botami jest włączenie się do sieci użytkowników iThemes, którzy udostępniają swoje listy zablokowanych. Złe boty zablokowane przez Twoją witrynę będą udostępniane i blokowane przez inne osoby w sieci, a Ty również skorzystasz na otrzymywaniu ich list zablokowanych. Musisz tylko wyrazić zgodę i żadne dalsze działania nie są konieczne z Twojej strony.

5. Ręcznie identyfikuj i blokuj listy złych botów

Twój pulpit nawigacyjny iThemes Security wyświetla ważne i aktualne informacje, w tym liczbę prób ataków siłowych oraz liczbę botów i użytkowników, którzy zostali zablokowani. Jest to wizualna prezentacja informacji zebranych w dzienniku prowadzonym przez iThemes Security.

Zapoznaj się ze swoimi dziennikami bezpieczeństwa

Poświęć kilka minut na przejrzenie dziennika bezpieczeństwa w obszarze Bezpieczeństwo › Dzienniki . Prawdopodobnie zobaczysz wiele blokad (nieudanych prób logowania) i wykrytych prób logowania metodą brute-force.

iThemes Security szuka podejrzanych lub złośliwych żądań, które się wyróżniają. Boty, które wielokrotnie odwiedzają Twoją witrynę, nie wyglądają jak zwykłe żądania przeglądarki obsługiwane przez człowieka. Mają tendencję do powtarzania się. Jeśli jeden adres IP wykonuje więcej niż średnia liczba żądań lub żądania są regularnie powtarzane z tego samego adresu IP (jak co godzinę), najprawdopodobniej jest to bot. Możesz wyszukać w Google ich nazwy hostów i wyszukać ich adresy IP, aby dowiedzieć się o nich więcej i potwierdzić, czy są łagodne, czy szkodliwe.

Zwiększ czas blokady i zbanuj powtarzających się przestępców

Wiele zablokowanych i zbanowanych adresów IP hostów będzie się powtarzać. Możesz zablokować ich na dłuższy czas w ustawieniach blokady i progu banowania.

Zablokuj na stałe duże listy złych adresów IP

Możesz także trwale zablokować wiele adresów IP za pomocą widżetu Zablokowani użytkownicy na pulpicie nawigacyjnym iThemes Security. Tylko bądź ostrożny — bardzo duża lista może spowolnić Twój serwer.

Zablokuj na stałe duże listy złych agentów użytkownika

Blokowanie złych programów użytkownika jest skutecznym sposobem umieszczania znanych botów na czarnej liście. Jest to również część funkcji blokowania użytkowników iThemes Security.

Możesz zaoszczędzić dużo czasu, opierając listę złych botów na rutynowo aktualizowanym wspólnym źródle. Lista banów Jima Walkera jest już zintegrowana z iThemes Security. Możesz dodać inne, takie jak czarna lista złych botów 4G Jeffa Starra, która obecnie zawiera 1200 wpisów dla złych programów użytkownika.
Pamiętaj, że boty takie jak Googlebot są legalne i nie trzeba ich blokować — w rzeczywistości możesz dodać je do białej listy, korzystając z aktualnej listy korzystnych botów.

Nowości w iThemes Security: Blokowanie botów przy zerowym tarciu i lepszej prywatności — Obejrzyj powtórkę webinaru:

Blokowanie złych botów w WordPressie ułatwi Ci życie

Jeśli byłeś właścicielem witryny WordPress przez jakiś czas, prawie na pewno miałeś do czynienia ze złymi botami atakującymi Twoją witrynę. W tym e-booku znajdziesz kilka prostych porad, jak przygotować się na bezpieczniejszą przyszłość. Dowiedz się, jak blokować złe boty i inne techniki bezpieczeństwa, aby Twoja witryna była trudniejszym celem.

Zdobądź dodatkową zawartość: Przewodnik po zabezpieczeniach WordPress
Pobierz plik PDF

Najlepsza wtyczka zabezpieczająca WordPress do zabezpieczania i ochrony WordPress

WordPress obsługuje obecnie ponad 40% wszystkich witryn internetowych, więc stał się łatwym celem dla hakerów o złośliwych zamiarach. Wtyczka iThemes Security Pro usuwa zgadywanie z zabezpieczeń WordPress, aby ułatwić zabezpieczanie i ochronę witryny WordPress. To tak, jakby zatrudnić pełnoetatowego eksperta ds. bezpieczeństwa, który stale monitoruje i chroni Twoją witrynę WordPress.

Pobierz iThemes Security Pro