Jak zablokować boty i spamowy ruch na stronie – instrukcja krok po kroku (Cloudflare)

Fałszywe zgłoszenia z formularzy kontaktowych, dziwne skoki w statystykach Analytics, podejrzany ruch z nietypowych lokalizacji – jeśli któryś z tych problemów brzmi znajomo, to znak, że Twoja strona przyciąga niechcianą uwagę botów. Może to być efekt wcześniejszych działań SEO (zwłaszcza tych “taniej i szybko”), naturalnego skanowania sieci przez automaty, albo po prostu śladów spamerów testujących luki w zabezpieczeniach.

Dobra wiadomość? Nie musisz być specjalistą od cyberbezpieczeństwa, żeby się tego pozbyć. Wystarczy przeniesienie DNS do Cloudflare i włączenie kilku podstawowych zabezpieczeń – całość na darmowym planie. Poniżej znajdziesz dokładną instrukcję, która pomoże Ci oczyścić ruch na stronie.

Jeżeli wolisz instrukcje wideo, sprawdź nasz materiał na YouTube!

Podstawowa konfiguracja

Krok 1: Dodaj domenę do Cloudflare

Zanim Cloudflare zacznie chronić Twoją stronę, musisz dodać do niego swoją domenę i przeprowadzić podstawową konfigurację DNS.

1. Zaloguj się do Cloudflare
2. Po rejestracji dodaj swoją domenę (u nas jest to apartamentymarzena.pl)

• W czasie dodawania domeny użyj opcji „Quick scan for DNS Records”, aby Cloudflare (skaner) odnalazł rekordy DNS.
  
  
• Wybierz poziom na jakim chcesz kontrolować boty AI i kliknij Continue

3. Wybierz plan – wystarczy pakiet darmowy

4. Cloudflare pokaże wyniki szybkiego skanu (lista rekordów DNS).

Uwaga: Skaner nie zawsze znajdzie wszystko. Koniecznie porównaj znalezione rekordy z tym, co masz aktualnie w panelu hostingu. W naszym przypadku skaner znalazł 12 rekordów, a w rzeczywistości było ich 15 – trzeba było ręcznie dodać brakujące.

• Policz rekordy i porównaj z tym, co masz w aktualnym panelu hostingu (u nas jest ich 12)

• Przejdź do miejsca gdzie do tej pory znajdują się Twoje DNS’y i sprawdź ich ilość (u nas jest ich 15, więc coś się nie zgadza)

Krok 2: Dodawanie brakujących rekordów DNS do Cloudflare

1. W zakładce DNS dodaj brakujące rekordy:

• Kliknij Add record.
• Wybierz typ (A, CNAME, MX, TXT itp.), wypełnij Name i Value (skopiuj z hostingu).

• Wybierz status Proxy dla poszczególnych DNS’ów
  
  – Włącz proxy (pomarańczowa chmurka) dla rekordów, które obsługują www/aplikację – dzięki temu ruch przejdzie przez ochronę Cloudflare.
  
  – Wyłącz proxy (szara chmurka) dla rekordów autokonfiguracji (w naszym przypadku np. autoconfig, autodiscover).

• Po tym kliknij Continue to activation

Krok 3: Zmień serwery (NS) na Cloudflare

• Cloudflare pokaże dwa serwery NS – skopiuj je.

• Przejdź do panelu rejestratora domeny i podmień rekordy NS na te z Cloudflare.
  
  W niektórych panelach kropka na końcu nazwy NS ma znaczenie (nsX.cloudflare.com.). Dodaj ją, jeśli panel tego wymaga.

• Usuń stare NS-y operatora

• W Cloudflare naciśnij contine

Uwaga: Zmiana NS-ów może trwać od kilku minut do kilku godzin. To normalne. W tym czasie Cloudflare może jeszcze pokazywać komunikat „pending”.

Krok 4: Sprawdź, czy strefa DNS jest w Cloudflare

Gdy dostaniesz maila od Cloudflare o aktywacji domeny, sprawdź zakładkę DNS w panelu Cloudflare – to od teraz jedyna właściwa strefa. Nowe rekordy dodawaj już tutaj, nie u poprzedniego operatora.

Krok 5: Włącz podstawową ochronę przed botami

• Przejdź do Security → Settings

• Bot Fight Mode → On
  
  Odfiltruje dużą część prostych, zautomatyzowanych skanerów i botów.

• Browser Integrity Check → On
  
  W większości przypadków te dwa przełączniki już znacząco czyszczą Analytics i formularze.
  

Security Rule – dla lepszego zabezpieczenia

Załóżmy, że Twoi klienci internetowi są z Polski, więc ruch z zagranicy jest dla Ciebie mało istotny. Nie chcesz go blokować, ale chcesz mieć taką dodatkową warstwę bezpieczeństwa.

Krok 1: Przejdź do panelu reguł bezpieczeństwa

• Z panelu Cloudflare wybierz Security –> Security Rules
  

• Kliknij -> Create rule -> Custom Rule

Krok 2: Nazwij regułę

• W polu nazwy wpisz coś opisowego, np. ruch zagraniczny

Krok 3: Zbuduj warunki reguły

Używając kreatora, dodaj po kolei następujące warunki:

Warunek 1 – kraj

• Field: Country
• Operator: does not equal
• Value: Poland

• Warunek 2 — wyklucz znane, zaufane boty

Niektóre boty są pożądane (np. indeksy wyszukiwarek, narzędzia do sprawdzania dostępności, bramki płatności, narzędzia analityczne).

Jeśli nie wyłączysz ich z reguły, mogą zostać niepotrzebnie poddane challenge’owi lub zablokowane, co spowoduje problemy (np. brak indeksowania, przerwane płatności, nieprzyjmowane webhooki).

Aby temu zapobiec wybierz warunek “And” i wybierz:

• Field: Known Bots
• Operator: equals
• Wyklucz je odznaczając zielony przycisk.

• Znane boty można podejrzeć na stronie radar.cloudflare.com w zakładce boty.

• Warunek 3 — wyklucz ACME CHALLENGE

• Field: URI full
• Operator: does not equal
• Value: acme-challenge

Krok 4: Wybierz akcję

Masz kilka opcji — wybierz jedną w zależności od tolerancji ryzyka:

• Managed Challenge – bezpieczna opcja. Użytkownicy realni zobaczą captcha challenge; większość botów odpadnie.
• Interactive Challenge – blokuje proste boty, mniejsze tarcie dla prawdziwych użytkowników niż CAPTCHA.
• Block – natychmiastowe zablokowanie (ryzykowne, używaj tylko gdy jesteś pewien).

Rekomendacja: Challenge na początek (mniej ryzykowny niż Block).

Krok 5: Zapisz ustawienie

• Kliknij Deploy
• Po wdrożeniu reguła zacznie działać natychmiast.

Podsumowanie

Gratulacje! Właśnie wdrożyłeś skuteczną ochronę swojej strony przed botami i spamowym ruchem. Dzięki Cloudflare Twoja witryna jest teraz zabezpieczona przed większością automatycznych ataków, a Analytics pokaże wreszcie rzeczywiste dane o odwiedzających.