Como parar bots ruins: um guia para usuários do WordPress

Publicados: 2023-04-05

Metade de todo o tráfego da Internet não é atividade humana – são bots. Spambots, bots de busca, bots do Twitter e bots DDoS são apenas alguns tipos comuns de robôs da web. Eles estão por toda parte no mundo online e nem todos são ruins. Mas alguns deles são ruins, e bots ruins podem ser mais do que um incômodo. Eles podem atrapalhar a funcionalidade do seu site WordPress, retardar seu fluxo de trabalho e afastar seus usuários ou clientes.

Quando é hora de impedir que bots mal-intencionados se intrometam em seu site WordPress, algumas abordagens funcionam melhor do que outras. Felizmente, o WordPress nos oferece várias soluções práticas para lidar com bots.

Neste guia, discutiremos o que são bots, por que alguns são bons, como você pode bloquear os ruins e como evitar que prejudiquem seu site WordPress. Para bloquear a atração de sites WordPress vulneráveis ​​a bots, dedique alguns minutos agora para ler este guia. No final, você terá as respostas necessárias para bloquear bots ruins no WordPress. Vamos dar uma olhada.

O que é um bot?

Como você provavelmente já percebeu, o termo “bot” é a abreviação de “robô”. Às vezes, as pessoas se referem aos bots que estamos discutindo aqui como “bots da internet” ou “bots da web”. Simplificando, um bot é um software que opera como um agente de usuário independente para uma pessoa ou um programa de comando e controle maior que direciona as ações de muitos bots.

Por boas e más razões, as pessoas costumam usar bots para simular a atividade de humanos reais navegando na web e realizando tarefas repetitivas. Os bots são um pouco mais rápidos do que as pessoas na execução de tarefas mundanas, então as pessoas usam bots para fazer muitas coisas simples rapidamente e em escala. De um modo geral, 40-50% de todo o tráfego da Internet são, na verdade, bots interagindo com páginas da Web, comunicando-se diretamente com as pessoas, verificando conteúdo específico ou realizando outras tarefas básicas.

Muitas vezes, você não se beneficia dessas tarefas orientadas por bot. Você não os quer, e eles são inúteis para você. Eles são um desperdício de servidores e recursos de energia. Pior, alguns são maliciosos e esses bots representam uma ameaça constante.

parar bots ruins

Como exatamente os bots funcionam?

Na maioria dos casos, um bot opera em uma rede. Quando os bots se comunicam, eles usam diferentes serviços como IRC (Internet Relay Chat) ou até mesmo sistemas de mensagens diretas em plataformas de mídia social.

Seguindo diferentes conjuntos de algoritmos que definem as tarefas que seus designers os programam para fazer, os bots podem fazer qualquer coisa, desde conversar com pessoas até coletar conteúdo de sites da Internet. Os bots mais sofisticados tentam imitar o verdadeiro comportamento humano, como o Google Duplex.

Gerenciamento de bots

Pessoas e organizações que usam bots geralmente usam software de gerenciamento de bots que faz parte de uma plataforma de segurança de aplicativos da web. Os gerenciadores de bots permitem que bons bots funcionem corretamente enquanto bloqueiam bots ruins que podem causar danos.

Quando o gerente do bot vê um bot ruim suspeito ou conhecido, ele o redireciona para fora do site que está protegendo. Ele funciona como um firewall de aplicativo da web.

Alguns dos recursos mais básicos do software de gerenciamento de bot incluem CAPTCHAs (para detectar humanos versus bots) e limitação de taxa de IP, que limita o número de solicitações que podem vir de um endereço IP.

Como parte de seus recursos, o iThemes Security detecta e bloqueia o tráfego de bots usando CAPTCHAs e outros métodos.

Oito tipos comuns de bots

Existem muitos tipos diferentes de bots, cada um com suas próprias tarefas e agendas.

Alguns dos bots mais comuns incluem:

  1. Os chatbots simulam conversas humanas e interagem com você como qualquer outra pessoa. Um dos primeiros chatbots é anterior à web mundial — Eliza. Eliza é um programa que funciona como um psicoterapeuta rogeriano que responde a perguntas com mais perguntas.
    • Os chatbots baseados em regras interagem com as pessoas, fornecendo solicitações predefinidas para que elas possam escolher. Os chatbots que são intelectualmente independentes usam o aprendizado de máquina para aprender e entender a entrada humana e responder a palavras-chave conhecidas.
    • Os chatbots AI (inteligência artificial) combinam as características de bots intelectualmente independentes e bots baseados em regras. Esses sofisticados bots de IA usam ferramentas de processamento de linguagem natural, correspondência de padrões e geração de linguagem natural para replicar a interação humana de maneiras muito realistas.
  2. Shopbots escaneiam a internet em nome de um usuário. O trabalho de um Shopbot é localizar o menor custo para qualquer produto, item ou serviço que um usuário esteja procurando. Bots como o OpenSesame observam os padrões de navegação do site do usuário e personalizam o site para cada usuário.
  3. Os bots sociais operam no Facebook, Twitter e outras plataformas de mídia social.
  4. Os knowbots coletam informações específicas sobre assuntos definidos pela pessoa que os controla.
  5. Rastreadores e aranhas AKA web crawlers ou web spiders são os bots mais comuns que você pode encontrar. Os mecanismos de pesquisa os utilizam para mapear e indexar a estrutura e o conteúdo dos sites.
  6. Os rastreadores de raspagem da Web coletam dados e extraem outro conteúdo que alguém os programou para encontrar.
  7. Bots transacionais completam transações em nome de um humano que os controla.
  8. Os bots de monitoramento observam a integridade geral de uma rede ou site.

Os bots em cada uma dessas categorias atendem a propósitos legítimos, como testar, monitorar e proteger sistemas. Claro, cada categoria também pode incluir bots maliciosos.

Bots Bons

Um bot de atendimento ao cliente pode estar disponível 24 horas por dia, sete dias por semana. Para responder a perguntas comuns e dar assistência básica, esta é uma boa maneira de usar um bot. Isso ajuda a liberar a equipe de atendimento ao cliente para que ela possa se concentrar em questões mais complexas que exigem interação humana.

Você provavelmente já conversou com bots de atendimento ao cliente, também conhecidos como agentes virtuais ou representantes virtuais. Há mais de duas décadas, “Andrette” e “Shallow Red” foram pioneiros entre os bots de atendimento ao cliente. Eles estavam na primeira geração de bots que podiam responder perguntas detalhadas sobre um produto ou serviço.

Hoje, muitos serviços que você provavelmente conhece usam bots:

  • Aplicativos de mensagens instantâneas como WhatsApp, Slack e Facebook Messenger.
  • Aplicativos de notícias como o The New York Times .
  • Aplicativos de compartilhamento de viagens como o Lyft.
  • Assistentes de agendamento que usam IA, como Clara e Trevor.

Esses exemplos nem sequer começam a arranhar a superfície dos muitos aplicativos que os bots têm em tecnologia e negócios. Infelizmente, existem muitos papéis ilegítimos que os bots desempenham no crime cibernético.

Bots ruins

Embora existam bots que servem a propósitos muito positivos para pessoas e empresas, também existem bots maliciosos que oferecem suporte a hackers e crimes cibernéticos. Esses bots maliciosos são muito diferentes dos Chatbots úteis. Por um lado, os chatbots não vagam livremente pela web procurando por problemas. Bots ruins sim.

Alguns dos bots maliciosos ou “ruins” mais comuns incluem:

  • Os bots DDoS ou DoS trabalham juntos em uma “botnet” ou “enxame” para sobrecarregar os recursos de um servidor de destino, levando a uma negação de serviço (DoS) para usuários legítimos. A maioria das redes de bots é distribuída em muitas redes e dispositivos, portanto, seu vetor de ataque é melhor definido como uma “negação de serviço distribuída”.
  • Os spambots injetam conteúdo comercial indesejado em sites direcionados com a intenção de direcionar seus visitantes para um site diferente.
  • Hackerbots atacam a infraestrutura de um site e distribuem malware.

Alguns tipos adicionais de bots maliciosos incluem coletores de e-mail, rastreadores da web maliciosos, crackers de senha de força bruta e bots de preenchimento de credenciais ou senhas.

As vantagens e desvantagens dos bots

Assim como em outras áreas da tecnologia, o uso de bots pode oferecer algumas vantagens positivas para pessoas com objetivos comerciais legítimos:

  • Eles executam tarefas repetitivas mais rápido do que as pessoas - e sem usar pessoas!
  • Os bots economizam tempo humano para interações diretas e pessoais com clientes e clientes.
  • Eles estão disponíveis a qualquer hora do dia e da noite.
  • Você pode alcançar muitas pessoas rapidamente com bots.
  • O atendimento ao cliente UX (experiência do usuário) melhora drasticamente com os bots.
  • As empresas podem usar a automação robótica de processos (RPA) para simplificar os fluxos de trabalho.

Por outro lado,

  • Os bots baseados em regras são limitados às tarefas e capacidades de sua programação. Eles empalidecem em comparação com a fluência e a inteligência dos chatbots com tecnologia de IA.
  • Mesmo os chatbots de IA geralmente “entendem mal” a intenção do usuário e frustram as pessoas.
  • Os criminosos usam constantemente bots para spam e fraude.
  • Os bots podem ser maliciosos se forem programados para causar danos.
  • É difícil fazer com que as pessoas “confiem” nos bots, então eles têm uso limitado onde uma experiência relacional em vez de meramente transacional é necessária.

Como faço para bloquear bots ruins no WordPress?

É importante aprender como parar o tráfego ruim de bots que o WordPress não consegue parar sozinho. Bots ruins representam ameaças reais e causam danos substanciais todos os dias. Seu site WordPress é um dos alvos deles e você deve bloqueá-los.

Aprender a interromper o tráfego de bots no WordPress começa com a compreensão de que um bot ruim é simplesmente aquele que atinge seu site WordPress sem nenhum benefício para você como proprietário do site.

Bots ruins consomem muitos recursos do servidor. Isso é especialmente verdadeiro se eles acessarem continuamente sua página wp-login ou outras áreas do seu site, procurando uma maneira de invadir.

Ao bloqueá-los, você não precisará lidar com tanto estresse do servidor. Você poderá economizar em custos de hospedagem e largura de banda. Isso acelerará seu site e evitará ataques DDoS.

Veja como começar a manter os bots ruins afastados:

1. Obtenha o plug-in gratuito iThemes Security

A primeira coisa a fazer é obter o plug-in gratuito iThemes Security. O iThemes Security é um plug-in de segurança do WordPress que adiciona segurança extra ao seu site WordPress.

Ao usar o plug-in iThemes Security, você obtém um log de segurança do WordPress em tempo real que coleta eventos de segurança em seu site, incluindo atividade de bot.

Baixe o iThemes Security agora

Usar um plug-in como o iThemes Security para gerar logs de segurança do WordPress é útil em muitos níveis. Os logs de segurança têm vários benefícios em sua estratégia geral de segurança do site.

Logs equipam você para:

  1. Identifique e interrompa o comportamento malicioso.
  2. Localize atividades que podem alertá-lo sobre uma violação de segurança.
  3. Avalie quanto dano foi feito no caso de uma violação.
  4. Auxílio no reparo de um site invadido.

Se o seu site for invadido, você desejará as melhores informações para dar suporte a uma rápida investigação e recuperação. Essa informação é o log de acesso ao servidor.

2. Obtenha o iThemes Security Pro e escolha um CAPTCHA para registro do usuário, redefinição de senha, login e comentários

De longe, o melhor recurso de eliminação de bots no plug-in iThemes Security Pro são as opções CAPTCHA.

Os sites do WordPress são constantemente visados ​​por bots que tentam invadir formulários de login com senhas roubadas ou adivinhadas, enviar spam de formulário e comentários de spam ou raspar e roubar seu conteúdo.

Escolha entre vários provedores de CAPTCHA diferentes

O noCAPTCHA Turnstile da Cloudflare, o hCaptcha da Intuition Machines e o reCAPTCHA do Google são todas as opções que você tem no iThemes Security Pro para manter os bots ruins bloqueados em seu site. Cada um desses CAPTCHAs identificará seus visitantes legítimos e permitirá que eles façam login, façam compras, visualizem páginas ou criem contas. Todos esses serviços CAPTCHA usam técnicas avançadas de análise de risco para diferenciar humanos de bots, às vezes sem sequer desafiar os humanos a provar que não são bots. (A catraca geralmente opera de forma bastante invisível.)

Para começar a usar o serviço CAPTCHA de sua escolha, ative o recurso CAPTCHA na página Recursos › Bloqueios em Segurança › Configurações .

Suas chaves CAPTCHA

A próxima etapa é selecionar qual tipo de CAPTCHA você deseja usar e gerar suas chaves para isso - você precisará configurar uma conta gratuita com o provedor de CAPTCHA escolhido para obter suas chaves.

Observação: o Turnstile da Cloudflare é atualmente a solução CAPTCHA menos intrusiva e mais sofisticada. Se você usa o Google reCAPTCHA, recomendamos usar a opção Invisible reCAPTCHA.

A conveniência de noCAPTCHA

O que é ótimo sobre o Turnstile da Cloudflare e o reCAPTCHA invisível do Google é que eles geralmente podem detectar o tráfego de bots em seu site sem nenhuma interação do usuário. Em vez de mostrar um desafio CAPTCHA visível, eles monitoram o comportamento do agente do navegador para determinar se é um humano ou um bot completamente nos bastidores.

Agora habilite o CAPTCHA escolhido em suas telas de registro de usuário do WordPress, redefinição de senha, login e comentários.

Por fim, defina o número de CAPTCHAs com falha necessários para acionar um bloqueio com o Limite de Erro de Bloqueio quando um teste CAPTCHA manual for usado. Os bots que investigam sua tela de login e outros formulários têm maior probabilidade de falhar nos testes repetidamente, portanto, bloqueá-los automaticamente é uma boa maneira de fortalecer sua lista de bloqueio.

Após a ativação, o selo da plataforma CAPTCHA é exibido no canto inferior direito de todas as páginas em que está ativo, informando que você está protegido contra bots mal-intencionados.

3. Identifique e bloqueie automaticamente bots ruins com a proteção de força bruta local do iThemes Security

As edições Free e Pro do iThemes Security podem banir automaticamente bots e usuários ruins que repetidamente falham nas tentativas de login ou usam o nome de usuário “Admin”. Esse é o comportamento típico de bots que fazem tentativas de login de força bruta. Para começar a usar o recurso Local Brute Force Protection , ative-o na página principal da página de configurações do iThemes Security Pro. Você pode modificar as configurações que determinam como esses bots são tratados na tela Configurar › Bloqueios › Força Bruta Local .

Ao diminuir o número de tentativas de login que você permite aos usuários do seu site, você bloqueará imediatamente os usuários e bots que inseriram repetidamente critérios de login inválidos na página wp-login .

O recurso Proteção contra força bruta local do iThemes Security Pro rastreia as tentativas de login inválidas feitas por um host ou endereço IP e um nome de usuário. Uma vez que um IP ou nome de usuário tenha feito muitas tentativas de login inválidas consecutivas, eles serão bloqueados e impedidos de fazer mais tentativas por um determinado período de tempo.

4. Identifique e bloqueie automaticamente bots ruins com a proteção de força bruta de rede da iThemes Security

Uma maneira muito eficaz de proteger seu site de bots ruins é optar pela rede de usuários do iThemes que estão compartilhando suas listas de bloqueio. Bots ruins que seu site bloqueia serão compartilhados e bloqueados por outras pessoas na rede, e você também se beneficiará ao receber suas listas de bloqueio. Você só precisa aceitar e nenhuma outra ação é necessária de sua parte.

5. Identifique e bloqueie listas de bots ruins manualmente

Seu painel de segurança do iThemes oferece uma exibição direta de informações importantes e atualizadas, incluindo o número de tentativas de ataques de força bruta e o número de bots e usuários que foram bloqueados. Esta é uma exibição visual das informações coletadas no log mantido pelo iThemes Security.

Familiarize-se com seus logs de segurança

Reserve alguns minutos para observar seu log de segurança em Security › Logs . Você provavelmente verá muitos bloqueios (tentativas de login incorretas) e tentativas de login de força bruta detectadas.

O iThemes Security procura solicitações suspeitas ou maliciosas que se destacam. Os bots que atingem seu site repetidamente não se parecem com solicitações normais de navegador operadas por humanos. Eles tendem a ser repetitivos. Se um IP está fazendo mais do que o número médio de solicitações, ou as solicitações estão sendo repetidas do mesmo IP regularmente (como a cada hora em ponto), provavelmente é um bot. Você pode pesquisar seus nomes de host no Google e procurar seus IPs para saber mais sobre eles e confirmar se são benignos ou prejudiciais.

Aumente o tempo de bloqueio e proíba os infratores reincidentes

Muitos dos IPs de host bloqueados e banidos aparecerão repetidamente. Você pode bani-los por períodos de tempo mais longos em suas configurações de limite de bloqueio e banimento.

Banir permanentemente grandes listas de IPs ruins

Você também pode banir permanentemente muitos IPs com o widget Usuários banidos em seu painel de segurança do iThemes. Apenas tome cuidado - uma lista muito grande pode deixar seu servidor lento.

Banir permanentemente grandes listas de agentes de usuários ruins

Bloquear agentes de usuários ruins é uma maneira eficaz de colocar bots conhecidos na lista negra. Isso também faz parte dos recursos de banimento de usuários do iThemes Security.

Você pode economizar muito tempo baseando sua lista de bots ruins em uma fonte comum atualizada rotineiramente. A lista de banimentos de Jim Walker já está integrada ao iThemes Security. Você pode adicionar outros, como a lista negra de bots ruins de 4G de Jeff Starr, que atualmente tem 1200 entradas para agentes de usuários ruins.
Lembre-se de que bots como o Googlebot são legítimos e não precisam ser bloqueados. Na verdade, você pode colocá-los na lista de permissões usando uma lista atual de bots benéficos.

Novidade com iThemes Security: Bloqueio de bots com atrito zero e melhor privacidade - Assista ao replay do webinar:

Bloquear bots ruins no WordPress facilitará sua vida

Se você é proprietário de um site WordPress há algum tempo, quase certamente já lidou com bots mal-intencionados atacando seu site. Neste eBook, você encontrará alguns conselhos simples para se preparar para um futuro mais seguro. Aprenda a bloquear bots ruins e outras técnicas de segurança para tornar seu site um alvo mais difícil.

Obtenha o conteúdo bônus: Um guia para a segurança do WordPress
Baixe o PDF

O melhor plugin de segurança do WordPress para proteger e proteger o WordPress

Atualmente, o WordPress é responsável por mais de 40% de todos os sites, tornando-se um alvo fácil para hackers com intenções maliciosas. O plug-in iThemes Security Pro elimina as suposições sobre a segurança do WordPress para facilitar a segurança e a proteção do seu site WordPress. É como ter um especialista em segurança em tempo integral na equipe que constantemente monitora e protege seu site WordPress para você.

Obtenha o iThemes Security Pro