Váš web nemusí být zrovna cílem hackerského útoku, aby se potýkal s problémy. Mnohem častěji ho trápí něco nenápadnějšího – roboti, kteří na něj neustále „lezou“, aniž byste o tom věděli. Zatěžují server, zpomalují načítání stránek a v některých případech dokonce představují bezpečnostní riziko. Pokud běžíte na WordPressu, měli byste zbystřit – právě ten je pro boty často otevřenou bránou.
Co jsou zač a proč vás to má zajímat
Robot, crawler nebo bot – různá jména pro programy, které automatizovaně navštěvují weby. Některé jsou užitečné (např. Googlebot pro indexaci), jiné ale na váš web přicházejí jen proto, aby z něj vytěžily data, nebo našly slabinu, přes kterou by se dostaly dál. A zatímco vy si v klidu spíte, ony mohou provádět stovky požadavků za minutu.
Podle dat z roku 2024 tvoří boti téměř polovinu celkového provozu na webu. A z toho více než třetina jsou škodlivé nebo obtěžující roboty, které:
- kopírují obsah a produkty (tzv. scrapování)
- testují zabezpečení WordPressu (brute force, xmlrpc útoky)
- neustále načítají stránky, čímž přetěžují server
- zbytečně generují náklady na provoz a snižují rychlost načítání pro reálné návštěvníky
Jak poznáte, že vás boti trápí
Nejčastější příznaky:
- web se zpomaluje, i když ho zrovna nikdo nenavštěvuje
- hosting vás upozorňuje na nadměrné zatížení serveru
- v logu přibývají požadavky z podivných IP adres
- vidíte mnoho přístupů na adresy typu
/wp-login.php,/xmlrpc.phpnebo neexistující URL
Zde je příklad z access logu, který zachycuje typickou botickou aktivitu:
185.191.171.22 - - [29/Jul/2025:14:27:05 +0200] "POST /xmlrpc.php HTTP/1.1" 403 183 "-" "AhrefsBot/7.0 (+http://ahrefs.com/robot/)"
66.249.66.1 - - [29/Jul/2025:14:27:32 +0200] "GET /product/12345 HTTP/1.1" 200 8912 "-" "Bytespider"
Tohle nejsou vaši zákazníci. Tohle je zátěž, kterou platíte vy.
Seznam notoricky známých škodlivých robotů
Níže uvádíme jen malou část nejčastějších „nepřátelských návštěvníků“:
- AhrefsBot – kopíruje strukturu a obsah stránek
- SemrushBot – agresivní crawler konkurenční analýzy
- Bytespider – bot provozovaný TikTokem, často se vydává za Google
- ClaudeBot, ImagesiftBot, DataForSeoBot – web scrapery
- meta-externalagent, facebookexternalhit – zbytečně načítají stovky stránek kvůli náhledům
Jak se dá web proti botům chránit
Ochrana webu se dá nastavit na několika úrovních. Tady jsou nejčastější způsoby:
1. Zákaz přístupu na problémové soubory jako xmlrpc.php
Útočníci ho používají k neautorizovanému přístupu. V .htaccess lze přidat:
<Files "xmlrpc.php">
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order deny,allow
Deny from all
</IfModule>
</Files>
2. Blokace škodlivých robotů podle User-Agenta
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} Bytespider [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ClaudeBot [NC,OR]
RewriteCond %{HTTP_USER_AGENT} AhrefsBot [NC]
RewriteRule .* - [F,L]
</IfModule>
3. Zabezpečení přihlášení do WordPressu
- přejmenování URL administrace
- dvoufaktorové ověření
- omezení počtu pokusů
4. Použití bezpečnostního pluginu
Např. Wordfence nebo iThemes Security umožní detekovat útoky, omezit přístupy a logovat pokusy o přihlášení.
5. Vnější ochrana (Cloudflare, Sucuri)
Tyto služby odfiltrují škodlivý provoz ještě před tím, než doputuje na váš server.
Pozor: špatně nastavená ochrana může web úplně odstavit
Možná se to zdá jednoduché, ale drobná chyba v .htaccess, nesprávně definovaný bot nebo nevhodně zvolený plugin může způsobit:
- zablokování přístupu i pro legitimní návštěvníky nebo vyhledávače
- chyby 403, 500 nebo nedostupnost webu
- ztrátu indexace z Googlu
A to nechcete. Proto je vždy lepší obrátit se na profesionály, kteří ochranu webu nastaví správně, bezpečně a s ohledem na funkčnost vašeho byznysu.
Nejste si jisti, jestli se vás to týká?
Nabízíme bezplatnou kontrolu WordPressu, při které zjistíme:
- jestli na vás někdo útočí nebo vás scrapuje
- které části webu jsou ohrožené nebo zbytečně zatížené
- jaká opatření jsou pro váš web nejvhodnější
Vy se soustřeďte na byznys. My zajistíme, aby vám web někdo nenápadně neničil.