Jak ochránit WordPress před škodlivými roboty a zbytečným zatížením webu

Váš web nemusí být zrovna cílem hackerského útoku, aby se potýkal s problémy. Mnohem častěji ho trápí něco nenápadnějšího – roboti, kteří na něj neustále „lezou“, aniž byste o tom věděli. Zatěžují server, zpomalují načítání stránek a v některých případech dokonce představují bezpečnostní riziko. Pokud běžíte na WordPressu, měli byste zbystřit – právě ten je pro boty často otevřenou bránou.

Co jsou zač a proč vás to má zajímat

Robot, crawler nebo bot – různá jména pro programy, které automatizovaně navštěvují weby. Některé jsou užitečné (např. Googlebot pro indexaci), jiné ale na váš web přicházejí jen proto, aby z něj vytěžily data, nebo našly slabinu, přes kterou by se dostaly dál. A zatímco vy si v klidu spíte, ony mohou provádět stovky požadavků za minutu.

Podle dat z roku 2024 tvoří boti téměř polovinu celkového provozu na webu. A z toho více než třetina jsou škodlivé nebo obtěžující roboty, které:

kopírují obsah a produkty (tzv. scrapování)
testují zabezpečení WordPressu (brute force, xmlrpc útoky)
neustále načítají stránky, čímž přetěžují server
zbytečně generují náklady na provoz a snižují rychlost načítání pro reálné návštěvníky

Jak poznáte, že vás boti trápí

Nejčastější příznaky:

web se zpomaluje, i když ho zrovna nikdo nenavštěvuje
hosting vás upozorňuje na nadměrné zatížení serveru
v logu přibývají požadavky z podivných IP adres
vidíte mnoho přístupů na adresy typu /wp-login.php, /xmlrpc.php nebo neexistující URL

Zde je příklad z access logu, který zachycuje typickou botickou aktivitu:


185.191.171.22 - - [29/Jul/2025:14:27:05 +0200] "POST /xmlrpc.php HTTP/1.1" 403 183 "-" "AhrefsBot/7.0 (+http://ahrefs.com/robot/)"
66.249.66.1 - - [29/Jul/2025:14:27:32 +0200] "GET /product/12345 HTTP/1.1" 200 8912 "-" "Bytespider"

Tohle nejsou vaši zákazníci. Tohle je zátěž, kterou platíte vy.

Seznam notoricky známých škodlivých robotů

Níže uvádíme jen malou část nejčastějších „nepřátelských návštěvníků“:

AhrefsBot – kopíruje strukturu a obsah stránek
SemrushBot – agresivní crawler konkurenční analýzy
Bytespider – bot provozovaný TikTokem, často se vydává za Google
ClaudeBot, ImagesiftBot, DataForSeoBot – web scrapery
meta-externalagent, facebookexternalhit – zbytečně načítají stovky stránek kvůli náhledům

Jak se dá web proti botům chránit

Ochrana webu se dá nastavit na několika úrovních. Tady jsou nejčastější způsoby:

1. Zákaz přístupu na problémové soubory jako xmlrpc.php

Útočníci ho používají k neautorizovanému přístupu. V .htaccess lze přidat:


<Files "xmlrpc.php">
  <IfModule mod_authz_core.c>
    Require all denied
  </IfModule>
  <IfModule !mod_authz_core.c>
    Order deny,allow
    Deny from all
  </IfModule>
</Files>

2. Blokace škodlivých robotů podle User-Agenta


<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteCond %{HTTP_USER_AGENT} Bytespider [NC,OR]
  RewriteCond %{HTTP_USER_AGENT} ClaudeBot [NC,OR]
  RewriteCond %{HTTP_USER_AGENT} AhrefsBot [NC]
  RewriteRule .* - [F,L]
</IfModule>

3. Zabezpečení přihlášení do WordPressu

přejmenování URL administrace
dvoufaktorové ověření
omezení počtu pokusů

4. Použití bezpečnostního pluginu

Např. Wordfence nebo iThemes Security umožní detekovat útoky, omezit přístupy a logovat pokusy o přihlášení.

5. Vnější ochrana (Cloudflare, Sucuri)

Tyto služby odfiltrují škodlivý provoz ještě před tím, než doputuje na váš server.

Pozor: špatně nastavená ochrana může web úplně odstavit

Možná se to zdá jednoduché, ale drobná chyba v .htaccess, nesprávně definovaný bot nebo nevhodně zvolený plugin může způsobit:

zablokování přístupu i pro legitimní návštěvníky nebo vyhledávače
chyby 403, 500 nebo nedostupnost webu
ztrátu indexace z Googlu

A to nechcete. Proto je vždy lepší obrátit se na profesionály, kteří ochranu webu nastaví správně, bezpečně a s ohledem na funkčnost vašeho byznysu.

Nejste si jisti, jestli se vás to týká?

Nabízíme bezplatnou kontrolu WordPressu, při které zjistíme:

jestli na vás někdo útočí nebo vás scrapuje
které části webu jsou ohrožené nebo zbytečně zatížené
jaká opatření jsou pro váš web nejvhodnější

Vy se soustřeďte na byznys. My zajistíme, aby vám web někdo nenápadně neničil.

Nezávazná poptávka

Podrobné zadání

Po vyplnění formuláře náš pracovník vyhodnotí požadované úpravy a bude vás kontaktovat.

Cookie	Délka	Popis
_lscache_vary	2 dny	Soubor cookies kontroluje cacheování stránek pro rychlejší načítání webu
cookielawinfo-checkbox-advertisement	1 rok	Soubor cookie se používá k zaznamenání souhlasu uživatele s cookies v kategorii „Marketing“
cookielawinfo-checkbox-analytics	11 měsíců	Soubor cookie se používá k zaznamenání souhlasu uživatele s cookies v kategorii „Statistické“
cookielawinfo-checkbox-functional	11 měsíců	Soubor cookie se používá k zaznamenání souhlasu uživatele s cookies v kategorii „Výkonnostní“
cookielawinfo-checkbox-necessary	11 months	Soubor cookie se používá k zaznamenání souhlasu uživatele s cookies v kategorii „Nezbytné“
cookielawinfo-checkbox-others	11 months	Soubor cookie se používá k zaznamenání souhlasu uživatele s cookies v kategorii „Ostatní“
cookielawinfo-checkbox-performance	11 měsíců	Soubor cookie se používá k zaznamenání souhlasu uživatele s cookies v kategorii „Výkonnostní“
pll_language	1 rok	Tento soubor cookie se používá k uložení jazykových preferencí uživatele k poskytování obsahu v tomto uloženém jazyce při příští návštěvě webové stránky.
viewed_cookie_policy	11 měsíců	Soubor cookie se používá se k uložení, zda uživatel souhlasil nebo nesouhlasil s používáním souborů cookie. Neukládá žádné osobní údaje.

Cookie	Délka	Popis
_ga	2 roky	Soubor cookie _ga je nainstalovaný službou Google Analytics a ukládá údaje o návštěvnících, relacích a kampaních a také sleduje využití webu pro analytický přehled webu. Soubor cookie ukládá informace ANONYMNĚ a přiřazuje náhodně vygenerované číslo k rozpoznání unikátních návštěvníků.
_gat	1 minuta	Tento soubor cookie ukládá Google Universal Analytics, aby omezil četnost požadavků a tím omezil shromažďování údajů na webech s vysokou návštěvností.
_gid	1 den	Soubor cookie _gid ukládá Google Analytics a získává informace o tom, jak návštěvníci používají webovou stránku, a zároveň vytváří statistický přehled o výkonu webu. Údaje, která jsou shromažďována, zahrnují počet návštěvníků, jejich zdroj a stránky, které anonymně navštěvují.

Cookie	Délka	Popis
auth	1 rok
cmppersisttestcookie	40 dní

Cookie	Délka	Popis
APNUID	6 měsíců	Společnost Seznam používá tyto cookies pro personalizaci reklamních sdělení. Cookie se začne zobrazovat až při předchozí návštěvě stránky seznam.cz, není tedy přímo ovlivněná souhlasem na stránkách.
KADUSERCOOKIE	6 měsíců	Společnost Seznam používá tyto cookies pro personalizaci reklamních sdělení. Cookie se začne zobrazovat až při předchozí návštěvě stránky seznam.cz, není tedy přímo ovlivněná souhlasem na stránkách.
ps	5 let	Cookie se začne zobrazovat až při předchozí návštěvě stránky seznam.cz, není tedy přímo ovlivněná souhlasem na stránkách.
sid	1 měsíc	Společnost Seznam používá tyto cookies pro personalizaci reklamních sdělení. Cookie se začne zobrazovat až při předchozí návštěvě stránky seznam.cz, není tedy přímo ovlivněná souhlasem na stránkách.
szncsr	28 dní	Společnost Seznam používá tyto cookies pro personalizaci reklamních sdělení. Cookie se začne zobrazovat až při předchozí návštěvě stránky seznam.cz, není tedy přímo ovlivněná souhlasem na stránkách.