Как остановить плохих ботов: руководство для пользователей WordPress

Опубликовано: 2023-04-05

Половина всего интернет-трафика — это не человеческая деятельность, а боты. Спам-боты, поисковые роботы, Twitter-боты и DDoS-боты — это лишь несколько распространенных типов веб-роботов. Они повсюду в онлайн-мире, и не все из них плохие. Но некоторые из них плохие, а плохие боты могут быть более чем неприятными. Они могут нарушить функциональность вашего сайта WordPress, замедлить рабочий процесс и оттолкнуть ваших пользователей или клиентов.

Когда пришло время остановить плохих ботов от вмешательства в ваш сайт WordPress, некоторые подходы работают лучше, чем другие. К счастью, WordPress предлагает несколько практических решений для борьбы с ботами.

В этом руководстве мы обсудим, что такое боты, почему некоторые из них хороши, как можно заблокировать плохих и как уберечь их от вреда для вашего сайта WordPress. Чтобы заблокировать ботов, которые привлекают уязвимые сайты WordPress, уделите несколько минут чтению этого руководства. К концу у вас будут ответы, необходимые для блокировки плохих ботов в WordPress. Давайте взглянем.

Что такое бот?

Как вы, наверное, уже поняли, термин «бот» является сокращением от «робот». Иногда люди называют ботов, которых мы здесь обсуждаем, «интернет-ботами» или «веб-ботами». Проще говоря, бот — это программное обеспечение, которое работает как независимый пользовательский агент для человека или более крупная программа управления и контроля, которая управляет действиями многих ботов.

По хорошим и плохим причинам люди часто используют ботов для имитации действий реальных людей, просматривающих веб-страницы и выполняющих повторяющиеся задачи. Боты немного быстрее людей выполняют рутинные задачи, поэтому люди используют ботов, чтобы делать многие простые вещи быстро и в больших масштабах. Вообще говоря, 40-50% всего интернет-трафика на самом деле составляют боты, взаимодействующие с веб-страницами, напрямую общающиеся с людьми, сканирующие определенный контент или выполняющие другие основные задачи.

Часто вы не получаете выгоды от этих задач, управляемых ботом. Вы не хотите их, и они бесполезны для вас. Это пустая трата серверных и энергетических ресурсов. Хуже того, некоторые из них являются вредоносными, и эти боты представляют постоянную угрозу.

остановить плохих ботов

Как именно работают боты?

В большинстве случаев бот работает по сети. Когда боты общаются друг с другом, они будут использовать различные службы, такие как IRC (Internet Relay Chat) или даже системы прямого обмена сообщениями на платформах социальных сетей.

Следуя различным наборам алгоритмов, которые определяют задачи, которые запрограммированы их дизайнерами, боты могут делать что угодно, от общения с людьми до сбора содержимого веб-сайтов со всего Интернета. Самые сложные боты пытаются имитировать истинное человеческое поведение, например, Google Duplex.

Управление ботами

Люди и организации, использующие ботов, обычно используют программное обеспечение для управления ботами, которое является частью платформы безопасности веб-приложений. Менеджеры ботов позволяют хорошим ботам работать должным образом, блокируя плохих ботов, которые могут причинить вред.

Когда менеджер ботов видит подозрительного или известного вредоносного бота, он перенаправляет его с защищаемого веб-сайта. Он работает как брандмауэр веб-приложений.

Некоторые из наиболее основных функций программного обеспечения для управления ботами включают CAPTCHA (для обнаружения людей и ботов) и ограничение скорости IP-адреса, которое ограничивает количество запросов, которые могут поступать с одного IP-адреса.

В рамках своих функций iThemes Security обнаруживает и блокирует бот-трафик с помощью CAPTCHA и других методов.

Восемь распространенных типов ботов

Есть много разных видов ботов, каждый со своими уникальными задачами и планами.

Некоторые из наиболее распространенных ботов включают в себя:

  1. Чат-боты имитируют человеческие разговоры и взаимодействуют с вами так, как это мог бы сделать другой человек. Один из первых чат-ботов появился еще до всемирной паутины — Eliza. Элиза — это программа, которая действует как роджерианский психотерапевт, который отвечает на вопросы еще большим количеством вопросов.
    • Чат-боты, основанные на правилах, взаимодействуют с людьми, предоставляя им заранее заданные подсказки на выбор. Интеллектуально независимые чат-боты используют машинное обучение для изучения и понимания человеческого ввода и ответа на известные ключевые слова.
    • Чат-боты с искусственным интеллектом сочетают в себе характеристики интеллектуально независимых ботов и ботов, основанных на правилах. Эти сложные боты с искусственным интеллектом используют инструменты обработки естественного языка, сопоставления с образцом и генерации естественного языка, чтобы очень реалистично воспроизвести человеческое взаимодействие.
  2. Shopbots сканируют Интернет от имени пользователя. Работа Shopbot заключается в том, чтобы найти самую низкую стоимость любого продукта, предмета или услуги, которые ищет пользователь. Боты, такие как OpenSesame, наблюдают за шаблонами навигации пользователя по веб-сайту и настраивают сайт для каждого пользователя.
  3. Социальные боты работают в Facebook, Twitter и других социальных сетях.
  4. Ноу-боты собирают конкретную информацию о субъектах, определенных человеком, контролирующим их.
  5. Поисковые роботы и пауки , также известные как веб-сканеры или веб-пауки, являются наиболее распространенными ботами, с которыми вы можете столкнуться. Поисковые системы используют их для отображения и индексации структуры и содержания веб-сайтов.
  6. Сканеры веб-скрапинга собирают данные и извлекают другой контент, на поиск которого их кто-то запрограммировал.
  7. Транзакционные боты совершают транзакции от имени контролирующего их человека.
  8. Боты-мониторы следят за общим состоянием сети или веб-сайта.

Боты в каждой из этих категорий служат законным целям, таким как тестирование, мониторинг и защита систем. Конечно, каждая категория также может включать вредоносных ботов.

Хорошие боты

Бот обслуживания клиентов может быть доступен 24 часа в сутки, семь дней в неделю. Для ответов на общие вопросы и оказания базовой помощи это хороший способ нам бот. Это помогает высвободить сотрудников службы поддержки клиентов, чтобы они могли сосредоточиться на более сложных вопросах, требующих взаимодействия с человеком.

Вы, вероятно, разговаривали с ботами обслуживания клиентов, также известными как виртуальные агенты или виртуальные представители. Более двух десятилетий назад «Andrette» и «Shallow Red» были пионерами среди ботов для обслуживания клиентов. Они были в первом поколении ботов, которые могли отвечать на подробные вопросы о продукте или услуге.

Сегодня многие сервисы, с которыми вы, вероятно, знакомы, используют ботов:

  • Приложения для обмена мгновенными сообщениями, такие как WhatsApp, Slack и Facebook Messenger.
  • Новостные приложения , такие как The New York Times .
  • Приложения для совместных поездок , такие как Lyft.
  • Помощники по планированию , использующие ИИ, такие как Клара и Тревор.

Эти примеры даже не касаются поверхности многих приложений ботов в технологиях и бизнесе. К сожалению, столько же незаконных ролей играют боты в киберпреступности.

Плохие боты

Хотя есть боты, которые служат очень позитивным целям для людей и бизнеса, есть также вредоносные боты, которые поддерживают взлом и киберпреступность. Эти вредоносные боты сильно отличаются от полезных чат-ботов. Во-первых, чат-боты не бродят по сети в поисках неприятностей. Плохие боты делают.

Некоторые из наиболее распространенных вредоносных или «плохих» ботов включают в себя:

  • Боты DDoS или DoS работают вместе в «ботнете» или «рое», чтобы перегрузить ресурсы целевого сервера, что приводит к отказу в обслуживании (DoS) для законных пользователей. Большинство ботнетов распределены по многим сетям и устройствам, поэтому их вектор атаки лучше определить как «распределенный отказ в обслуживании».
  • Спам-боты внедряют нежелательный коммерческий контент на целевые сайты с целью перенаправить посетителей на другой сайт.
  • Хакер-боты атакуют инфраструктуру веб-сайта и распространяют вредоносное ПО.

Некоторые дополнительные типы вредоносных ботов включают в себя сборщики электронной почты, вредоносные поисковые роботы, взломщики паролей методом грубой силы и боты для подстановки учетных данных или паролей.

Преимущества и недостатки ботов

Как и в других областях технологий, использование ботов может дать некоторые положительные преимущества людям с законными бизнес-целями:

  • Они выполняют повторяющиеся задачи быстрее, чем это могут делать люди, и без участия людей!
  • Боты экономят человеческое время для прямого взаимодействия между клиентами и клиентами.
  • Они доступны в любое время дня и ночи.
  • С помощью ботов вы можете очень быстро связаться с большим количеством людей.
  • UX обслуживания клиентов (пользовательский опыт) резко улучшается с ботами.
  • Предприятия могут использовать роботизированную автоматизацию процессов (RPA) для оптимизации рабочих процессов.

С другой стороны,

  • Боты на основе правил ограничены задачами и возможностями их программирования. Они меркнут по сравнению с беглостью и интеллектом чат-ботов с искусственным интеллектом.
  • Даже чат-боты с искусственным интеллектом часто «неправильно понимают» намерения пользователей и расстраивают людей.
  • Преступники постоянно используют ботов для рассылки спама и мошенничества.
  • Боты могут быть вредоносными, если они запрограммированы на причинение вреда.
  • Трудно заставить людей «доверять» ботам, поэтому они имеют ограниченное применение там, где требуется реляционный, а не просто транзакционный опыт.

Как заблокировать плохих ботов в WordPress?

Важно научиться останавливать плохой бот-трафик, который WordPress не может остановить сам по себе. Плохие боты представляют реальную угрозу и каждый день наносят существенный вред. Ваш сайт WordPress является одной из их целей, и вы должны заблокировать их.

Изучение того, как остановить трафик ботов в WordPress, начинается с понимания того, что плохой бот — это просто тот, который атакует ваш сайт WordPress без какой-либо пользы для вас как владельца сайта.

Плохие боты потребляют много ресурсов сервера. Это особенно верно, если они постоянно посещают вашу страницу wp-login или другие области вашего сайта в поисках способа взлома.

Заблокировав их, вам не придется сталкиваться с такой большой нагрузкой на сервер. Вы сможете сэкономить на стоимости хостинга и пропускной способности. Это ускорит работу вашего сайта и предотвратит DDoS-атаки.

Вот как начать защищаться от плохих ботов:

1. Получите бесплатный плагин безопасности iThemes.

Первое, что нужно сделать, это получить бесплатный плагин iThemes Security. iThemes Security — это плагин безопасности WordPress, который добавляет дополнительную безопасность вашему сайту WordPress.

Используя плагин iThemes Security, вы получаете журнал безопасности WordPress в реальном времени, который собирает события безопасности на вашем веб-сайте, включая активность ботов.

Загрузите iThemes Security прямо сейчас

Использование плагина, такого как iThemes Security, для создания журналов безопасности WordPress полезно на многих уровнях. Журналы безопасности имеют несколько преимуществ в общей стратегии безопасности веб-сайта.

Журналы позволяют:

  1. Идентификация и пресечение злонамеренного поведения.
  2. Отслеживайте активность, которая может предупредить вас о нарушении безопасности.
  3. Оцените, какой ущерб был нанесен в случае нарушения.
  4. Помощь в восстановлении взломанного сайта.

Если ваш сайт взломан, вам понадобится лучшая информация для быстрого расследования и восстановления. Эта информация является вашим журналом доступа к серверу.

2. Получите iThemes Security Pro и выберите CAPTCHA для регистрации пользователя, сброса пароля, входа в систему и комментариев.

На сегодняшний день лучшая функция защиты от ботов в плагине iThemes Security Pro — это его параметры CAPTCHA.

Сайты WordPress постоянно подвергаются атакам ботов, пытающихся взломать формы входа с украденными или угаданными паролями, отправить вам спам и спам-комментарии или очистить и украсть ваш контент.

Выбирайте из множества различных поставщиков CAPTCHA

Турникет noCAPTCHA от Cloudflare, hCaptcha от Intuition Machines и reCAPTCHA от Google — все это варианты, которые у вас есть в iThemes Security Pro, чтобы не допустить вредоносных ботов на ваш сайт. Каждая из этих CAPTCHA идентифицирует ваших законных посетителей и позволит им входить в систему, совершать покупки, просматривать страницы или создавать учетные записи. Все эти службы CAPTCHA используют передовые методы анализа рисков, чтобы отличить людей от ботов, иногда даже не требуя от людей доказать, что они не бот. (Турникет обычно работает совершенно незаметно.)

Чтобы начать использовать выбранный вами сервис CAPTCHA, включите функцию CAPTCHA на странице «Функции» › «Блокировки» в разделе «Безопасность» › «Настройки» .

Ваши ключи CAPTCHA

Следующий шаг — выбрать тип CAPTCHA, который вы хотите использовать, и сгенерировать для него ключи — вам нужно будет создать бесплатную учетную запись у выбранного поставщика CAPTCHA, чтобы получить ключи.

Примечание. Турникет Cloudflare в настоящее время является наименее навязчивым и наиболее сложным решением CAPTCHA. Если вы используете Google reCAPTCHA, мы рекомендуем использовать их опцию Invisible reCAPTCHA.

Удобство noCAPTCHA

Что хорошего в Turnstile от Cloudflare и Invisible reCAPTCHA от Google, так это то, что они обычно могут обнаруживать трафик ботов на вашем веб-сайте без какого-либо взаимодействия с пользователем. Вместо того, чтобы показывать видимый вызов CAPTCHA, они отслеживают поведение агента браузера, чтобы определить, является ли он человеком или ботом полностью за кулисами.

Теперь включите выбранную вами CAPTCHA на экранах регистрации пользователя WordPress, сброса пароля, входа и комментариев.

Наконец, установите количество неудачных CAPTCHA, необходимых для запуска блокировки с порогом ошибки блокировки при использовании ручного теста CAPTCHA. Боты, проверяющие ваш экран входа в систему и другие формы, скорее всего, неоднократно не проходят тесты, поэтому их автоматическая блокировка — хороший способ усилить ваш черный список.

После активации значок платформы CAPTCHA отображается в правом нижнем углу каждой активной страницы, сообщая вам, что вы защищены от вредоносных ботов.

3. Автоматически идентифицируйте и блокируйте плохих ботов с помощью локальной защиты iThemes Security от грубой силы.

И бесплатная, и профессиональная версии iThemes Security могут автоматически блокировать плохих ботов и пользователей, которые неоднократно терпят неудачу при попытке входа или используют имя пользователя «Администратор». Это типичное поведение ботов, которые пытаются войти в систему методом грубой силы. Чтобы начать использовать функцию локальной защиты от перебора , включите ее на главной странице страницы настроек iThemes Security Pro. Вы можете изменить настройки, определяющие, как обрабатываются эти боты, на экране Настройка › Блокировки › Локальный брутфорс .

Уменьшая количество попыток входа, которое вы разрешаете пользователям своего сайта, вы немедленно блокируете пользователей и ботов, которые неоднократно вводили неверные критерии входа на странице wp-login .

Функция iThemes Security Pro Local Brute Force Protection отслеживает недействительные попытки входа в систему с хоста или IP-адреса и имени пользователя. Как только IP-адрес или имя пользователя сделали слишком много последовательных неверных попыток входа в систему, они будут заблокированы, и им будет запрещено предпринимать дальнейшие попытки в течение установленного периода времени.

4. Автоматически идентифицируйте и блокируйте плохих ботов с помощью защиты сети от грубой силы iThemes Security.

Очень эффективный способ защитить свой сайт от вредоносных ботов — это подписаться на сеть пользователей iThemes, которые делятся своими черными списками. Плохие боты, заблокированные вашим сайтом, будут опубликованы и заблокированы другими пользователями сети, и вы также получите выгоду от получения их черных списков. Вам просто нужно зарегистрироваться, и никаких дополнительных действий с вашей стороны не требуется.

5. Определите и заблокируйте списки плохих ботов вручную

На панели управления iThemes Security отображается важная актуальная информация, в том числе количество предпринятых атак методом перебора и количество заблокированных ботов и пользователей. Это визуальное отображение информации, собранной в журнале, который ведет iThemes Security.

Ознакомьтесь с вашими журналами безопасности

Потратьте несколько минут на просмотр журнала безопасности в разделе Безопасность › Журналы . Вы, вероятно, увидите много блокировок (неудачных попыток входа) и обнаруженных попыток входа методом грубой силы.

iThemes Security ищет подозрительные или вредоносные запросы, которые выделяются. Боты, которые периодически посещают ваш сайт, не похожи на обычные запросы браузера, выполняемые человеком. Им свойственно повторяться. Если один IP-адрес делает больше, чем среднее количество запросов, или запросы регулярно повторяются с одного и того же IP-адреса (например, каждый час), это, скорее всего, бот. Вы можете погуглить их имена хостов и найти их IP-адреса, чтобы узнать о них больше и подтвердить, являются ли они безопасными или вредоносными.

Увеличьте время блокировки и запретите повторных нарушителей

Многие из заблокированных и запрещенных IP-адресов узлов будут появляться неоднократно. Вы можете захотеть заблокировать их на более длительный период времени в настройках блокировки и порога блокировки.

Навсегда заблокировать большие списки плохих IP-адресов

Вы также можете навсегда заблокировать многие IP-адреса с помощью виджета «Забаненные пользователи» на панели управления безопасностью iThemes. Только будьте осторожны — очень большой список может замедлить работу вашего сервера.

Навсегда запретить большие списки плохих пользовательских агентов

Блокировка плохих пользовательских агентов — эффективный способ внести известных ботов в черный список. Это также является частью функции блокировки пользователей iThemes Security.

Вы можете сэкономить много времени, составив список плохих ботов на регулярно обновляемом общем источнике. Список банов Джима Уокера уже интегрирован в iThemes Security. Вы можете добавить другие, например, черный список плохих ботов 4G Джеффа Старра, который в настоящее время содержит 1200 записей для плохих пользовательских агентов.
Имейте в виду, что такие боты, как Googlebot, являются законными, и их не нужно блокировать — на самом деле, вы можете добавить их в белый список, используя текущий список полезных ботов.

Новое в iThemes Security: блокировка ботов с нулевым трением и лучшей конфиденциальностью — посмотрите повтор веб-семинара:

Блокировка плохих ботов в WordPress сделает вашу жизнь проще

Если вы когда-либо владели сайтом WordPress, вы почти наверняка сталкивались с плохими ботами, атакующими ваш сайт. В этой электронной книге вы найдете несколько простых советов, как настроить себя на более безопасное будущее. Узнайте, как заблокировать плохих ботов и другие методы безопасности, чтобы сделать ваш сайт более сложной мишенью.

Получите бонусный контент: Руководство по безопасности WordPress
Скачать PDF

Лучший плагин безопасности WordPress для защиты и защиты WordPress

В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злым умыслом. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, чтобы упростить защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.

Получите iThemes Security Pro