Как включить Bot Protection в Cloudflare Печать

  • Cloudflare, Bot Protection, боты, защита сайта, website protection, защитить сайт
  • 0

Практически любой сайт в интернете ежедневно посещают не только реальные пользователи, но и тысячи автоматических ботов. Одни индексируют страницы для поисковых систем, другие проверяют сайт на наличие уязвимостей, пытаются подобрать пароль к панели управления, собирают контактные данные или создают лишнюю нагрузку на сервер.

Cloudflare позволяет автоматически отличать полезных ботов от вредоносных и блокировать подозрительную активность ещё до того, как она достигнет вашего сервера.

В этой статье разберём, как работает Bot Protection в Cloudflare, какие возможности доступны на разных тарифах и какие настройки рекомендуется использовать для большинства сайтов.

Что такое Bot Protection

Bot Protection — это набор инструментов Cloudflare, предназначенных для обнаружения и фильтрации автоматического трафика.

Во время обработки каждого запроса Cloudflare анализирует множество параметров:

  • IP-адрес посетителя;
  • репутацию сети;
  • поведение пользователя;
  • заголовки HTTP-запроса;
  • User-Agent;
  • частоту обращений;
  • использование JavaScript;
  • наличие признаков автоматизации.

На основании этих данных Cloudflare определяет, является ли посетитель человеком, поисковым роботом или вредоносным ботом.

Если активность выглядит подозрительно, запрос может быть заблокирован или отправлен на дополнительную проверку.

Какие боты считаются полезными

Не все автоматические посетители представляют опасность.

Например:

  • Googlebot;
  • Bingbot;
  • поисковые роботы других поисковых систем;
  • сервисы мониторинга;
  • проверка SSL-сертификатов;
  • сервисы проверки доступности сайта;
  • некоторые SEO-инструменты.

Cloudflare умеет распознавать большинство известных сервисов и не мешает их работе.

Поэтому не рекомендуется создавать правила, которые блокируют весь автоматический трафик без исключений.

Какие боты считаются вредоносными

Наиболее часто встречаются следующие виды вредоносных ботов:

  • подбор паролей;
  • поиск известных уязвимостей;
  • SQL Injection;
  • XSS-атаки;
  • массовое сканирование сайта;
  • сбор электронной почты;
  • копирование контента;
  • автоматическая регистрация аккаунтов;
  • отправка спама через формы;
  • попытки перегрузить сервер большим количеством запросов.

Именно такие запросы Bot Protection помогает обнаруживать и блокировать.

Какие функции доступны на разных тарифах

Возможности зависят от выбранного тарифа Cloudflare.

Free

  • Bot Fight Mode;
  • базовое обнаружение вредоносных ботов.

Pro

  • расширенные пользовательские правила;
  • дополнительные возможности WAF.

Business

  • Super Bot Fight Mode;
  • более гибкая настройка защиты.

Enterprise

  • полный набор инструментов управления ботами;
  • детальная аналитика;
  • API для управления политиками;
  • защита сложных веб-приложений.

Для большинства небольших сайтов возможностей бесплатного тарифа вполне достаточно.

Как включить Bot Fight Mode

Войдите в панель Cloudflare.

Выберите нужный сайт.

Откройте раздел:

Security → Bots

Если ваш тариф поддерживает функцию, включите:

Bot Fight Mode

После активации Cloudflare автоматически начнёт анализировать входящие запросы.

Никаких дополнительных настроек обычно не требуется.

Что делает Bot Fight Mode

После включения защита начинает автоматически:

  • обнаруживать известных вредоносных ботов;
  • замедлять работу автоматических сканеров;
  • блокировать подозрительные запросы;
  • уменьшать нагрузку на сервер;
  • препятствовать массовому сбору информации с сайта.

При этом обычные посетители практически не замечают работу защиты.

Что такое Super Bot Fight Mode

На тарифах Business и выше доступен более продвинутый режим:

Super Bot Fight Mode

Он позволяет отдельно управлять:

  • определёнными категориями ботов;
  • уровнем защиты;
  • действиями для разных типов запросов;
  • проверкой автоматических клиентов.

Также можно настроить разные правила для различных разделов сайта.

Как проверить работу защиты

После включения Bot Protection рекомендуется понаблюдать за журналом событий.

Перейдите:

Security → Events

Здесь можно увидеть:

  • какие запросы были заблокированы;
  • какие посетители прошли проверку;
  • какие правила сработали;
  • IP-адрес;
  • страну;
  • причину срабатывания.

Если количество подозрительных запросов уменьшилось, значит защита работает корректно.

Настройка совместно с WAF

Максимальный эффект достигается при совместном использовании Bot Protection и WAF.

Обычно рекомендуется следующая схема:

  • WAF анализирует содержимое HTTP-запросов;
  • Bot Protection определяет автоматический трафик;
  • Rate Limiting ограничивает количество запросов;
  • Managed Challenge проверяет подозрительных посетителей.

Такой подход обеспечивает многоуровневую защиту сайта.

Использование Managed Challenge

Во многих случаях не стоит сразу блокировать посетителя.

Лучше использовать:

Managed Challenge

Cloudflare самостоятельно определяет, требуется ли дополнительная проверка.

Для обычных пользователей она зачастую проходит незаметно, а большинство вредоносных ботов не способны её выполнить.

Именно поэтому Managed Challenge считается наиболее безопасным вариантом для большинства сайтов.

Ограничение доступа к странице входа

Одной из самых популярных целей для автоматических атак является:

/wp-login.php

Рекомендуется создать правило WAF, которое будет применять:

Managed Challenge

или:

Rate Limiting

к странице входа.

Это значительно уменьшает количество попыток подбора пароля.

Нужно ли блокировать поисковых роботов

Нет.

Google, Bing и другие поисковые системы должны иметь возможность индексировать сайт.

Cloudflare умеет распознавать большинство проверенных поисковых роботов автоматически.

Если вручную создать слишком жёсткие правила, сайт может частично исчезнуть из результатов поиска.

Поэтому не рекомендуется блокировать поисковые системы без веской причины.

Просмотр аналитики

В разделе:

Analytics

можно посмотреть:

  • количество заблокированных ботов;
  • общий объём трафика;
  • распределение по странам;
  • самые активные IP-адреса;
  • динамику атак.

Эта информация помогает понять, насколько эффективно работает защита.

Если защита мешает обычным посетителям

Иногда Bot Protection может ошибочно определить легитимного пользователя как автоматического клиента.

Если вы получили жалобы от посетителей:

  1. Проверьте журнал событий.
  2. Найдите соответствующий запрос.
  3. Посмотрите, какое правило сработало.
  4. При необходимости измените действие с Block на Managed Challenge.
  5. Если проблема повторяется, создайте исключение для конкретного URL или доверенного IP-адреса.

Полностью отключать Bot Protection из-за единичных ложных срабатываний обычно не требуется.

Частые ошибки

Блокируются собственные запросы

Если вы используете VPN, прокси или необычную сеть, Cloudflare может считать такие подключения подозрительными.

В этом случае добавьте свой IP-адрес в список исключений.

API перестал работать

Проверьте, не применяется ли Bot Protection к API.

Для доверенных интеграций лучше создать отдельное правило с исключением.

Поисковые системы перестали индексировать сайт

Проверьте пользовательские правила.

Чаще всего проблема возникает после ручной блокировки всех автоматических запросов.

Рекомендации

Для большинства сайтов достаточно следующей конфигурации:

  • включён Bot Fight Mode;
  • включены Managed Rules;
  • используется Managed Challenge для страницы входа;
  • настроен Rate Limiting для /wp-login.php;
  • регулярно просматривается журнал событий;
  • не блокируются проверенные поисковые роботы.

Такой набор настроек обеспечивает хорошую защиту без лишних сложностей и подходит как для небольших сайтов, так и для крупных проектов.

Bot Protection — это одна из тех функций Cloudflare, которую стоит включить сразу после подключения сайта к сервису. Она не требует сложной настройки, практически не влияет на обычных посетителей и при этом помогает значительно сократить количество вредоносного трафика.

В сочетании с WAF, SSL, ограничением частоты запросов и своевременным обновлением CMS Bot Protection позволяет создать надёжную систему защиты, которая будет работать автоматически и снизит риск большинства распространённых атак.


Помог ли вам данный ответ?

« Назад