0
0

Анти Бот (WordPress)

1. Установка плагина

Скачайте архив плагина по кнопке «Попробовать бесплатно» или по ссылке из письма после покупки плагина.

В панели WordPress перейдите в Плагины → Добавить новый → Загрузить плагин. Выберите скачанный ZIP-архив и нажмите «Установить». После установки нажмите «Активировать».

После активации в левом меню WordPress появится раздел «Анти Бот».

Плагин автоматически зарегистрирует 7-дневный триал для вашего домена — никаких дополнительных действий не требуется.

2. Вкладка «Настройки»

Время кэша (секунды) — время кэширования результата геолокации в секундах. По умолчанию 86400 (24 часа). Уменьшайте только если вам важна актуальность данных в реальном времени — это увеличит количество запросов к API.

Источник IP — откуда плагин берёт IP-адрес посетителя:

  • Авто — рекомендуется для большинства случаев
  • REMOTE_ADDR — обычный хостинг без прокси
  • CF-Connecting-IP — если сайт за Cloudflare
  • X-Forwarded-For — если сайт за nginx или балансировщиком
  • Кастомный заголовок — укажите имя заголовка вручную

Выбор неверного источника IP приведёт к некорректному определению страны. Если вы не уверены — оставьте «Авто».

Сообщение блокировки — текст который увидит заблокированный посетитель. Допускается простой HTML: жирный текст, ссылки.

JS Челендж – включите чтобы заблокированные посетители видели пазл вместо страницы 403. Если решат — пропускаются на 24 часа. Боты решить пазл не могут, реальные пользователи — могут. Пользователям с VPN не придется его отключать.

Статистика — включает запись событий в базу данных. При включении все блокировки и разрешения фиксируются с IP, страной и User-Agent. Данные хранятся 7 дней и очищаются автоматически.

Debug — включает запись подробного лога в файл wp-content/uploads/anti-bot/debug.log. Удобно для диагностики проблем. Отключите на продакшене после настройки — лог пишется на каждый запрос.

3. Вкладка «Страны»

Здесь вы выбираете страны, посетители которых будут видеть страницу блокировки. Все остальные страны имеют обычный доступ.

Используйте поле поиска для быстрого нахождения нужной страны. Кнопки «Выбрать все видимые» и «Снять все» помогают при массовом выборе. После выбора нажмите «Сохранить заблокированные страны».

Обратите внимание: если IP посетителя есть в белом списке, блокировка по стране не применяется. Если включены правила ботов, поисковые роботы из заблокированных стран по умолчанию также пропускаются.

Рекомендация: мы рекомендуем два подхода блокировок по странам:
а) Сразу заблокировать Германию, Францию, Нидерланды, Финляндию, Эстонию, Литву, Китай, Индонезию, США это самые популярные и доступные локации для спамеров, а далее исходя из статистики дополнять блокировки другими странами.  Этот вариант уберет до 70-80% всего спама.
б) более радикальный метод, заблокировать сразу все страны кроме России, Беларуси, Казахстана, Украины. Этот вариант уберет 90+% спама.

4. Вкладка «Белый список»

IP-адреса из белого списка всегда пропускаются — независимо от страны, настроек ботов и чёрного списка. Используйте для:

  • IP вашего офиса или команды
  • IP сервисов мониторинга (UptimeRobot, Pingdom и др.)
  • Собственных IP для тестирования

Для каждого IP можно указать метку (например «Офис Москва») для удобства. Узнать свой текущий IP можно на сайте 2ip.ru.

5. Вкладка «Чёрный список»

IP-адреса из чёрного списка всегда блокируются — это первое правило которое проверяется, до определения страны и User-Agent. Даже если IP есть в белом списке, чёрный список не применяется — белый список имеет приоритет.

Используйте для блокировки конкретных спамеров, ботов или злоумышленников независимо от их страны.

Плагин эффективно работает с большими списками: при 200 000 IP в чёрном списке проверка занимает менее 0.1 мс благодаря кэшированию и O(1) поиску.

6. Вкладка «Боты»

Встроенные группы ботов — плагин распознаёт четыре группы:

  • Поисковые системы (Google, Bing, Yandex и др.)
  • Социальные сети (Facebook, Telegram, LinkedIn и др.)
  • Сервисы мониторинга (UptimeRobot, Pingdom и др.)
  • Общие боты и CLI-инструменты (curl, wget и др.)

По умолчанию все группы разрешены — это безопасно для SEO. Отметьте группу чтобы заблокировать её. Например, если вы хотите запретить парсерам и CLI-инструментам доступ к сайту — включите группу «Общие боты».

Кастомные заблокированные User-Agent — введите строки по одной на строку. Если эта строка найдена в User-Agent запроса — он блокируется независимо от страны. Поиск без учёта регистра, частичное совпадение.

Кастомные разрешённые User-Agent — введите строки по одной на строку. Если эта строка найдена в User-Agent — запрос всегда пропускается, геоправила игнорируются. Используйте для своих инструментов мониторинга или внутренних краулеров.

Приоритет проверки: разрешённые UA → заблокированные UA → встроенные группы → геоблокировка.

Рекомендация: если вы используете запрещенные и\или замедленные соцсети и мессенджеры в своей работе, добавьте в белый список юзер-агентов два значения: «Telegram» и «Instagram» чтобы ваши клиенты смогли использовать сайт через встроенный в приложения браузер.

7. Вкладка «Статистика»

Показывает последние 50 событий за выбранный период: 24 часа, 3 дня или 7 дней. Для каждого события отображается время, IP-адрес, страна с флагом, действие (заблокировано / разрешено), User-Agent, провайдер, url запросов.

Блок «Топ заблокированных стран» показывает из каких стран чаще всего приходят заблокированные запросы.

Если статистика не ведётся — включите её в настройках. Данные хранятся 7 дней и очищаются автоматически через WordPress Cron.

8. Вкладка «Блокировка ASN»

Вы можете заблокировать трафик по ASN. Это эффективный инструмент борьбы со спам трафиком из России, например сети VDSINA, Biterika. Посетители из заблокированных автономных систем (хостинги, провайдеры, VPN) блокируются до проверки страны. Указывайте номер ASN без префикса AS — например: 15169, а не AS15169.

9. Вкладка «Лицензия»

Отображает текущий статус лицензии: тип, домен привязки и дату окончания.

Для активации лицензии введите ключ в формате XXXXXXXX-XXXXXXXX-XXXXXXXX-XXXXXXXX и нажмите «Активировать лицензию». Ключ можно получить после покупки на solutions.wbhr.ru.

После истечения триала или лицензии плагин перестаёт блокировать запросы — сайт работает в штатном режиме, но без защиты. Для продления перейдите на solutions.wbhr.ru.

Кнопка «Перепроверить» сбрасывает кэш статуса лицензии и немедленно обращается к серверу. Используйте если только что активировали ключ, а статус ещё не обновился.

Дополнения для разработчиков

Кастомные PHP-обработчики форм

Если на вашем сайте есть файлы которые принимают POST-запросы напрямую (обработчики форм, скрипты отправки почты, кастомные API-endpoints) расположенные вне WordPress — плагин их не видит. При прямом обращении к PHP-файлу WordPress не загружается и хуки не срабатывают.

Решение — добавьте в начало таких файлов подключение WordPress:

require_once $_SERVER['DOCUMENT_ROOT'] . '/wp-load.php';

После этого WordPress загрузится полностью и Anti Bot будет фильтровать запросы к этому файлу так же как и к обычным страницам сайта.

Если не хотите загружать весь WordPress, можно добавить минимальную проверку прямо в файл — по стране через кэш или по User-Agent.

WordPress Multisite

При сетевой активации плагин автоматически устанавливается на каждый сайт сети. Каждый сайт получает собственный триал, настройки и статистику независимо от других сайтов. При добавлении нового сайта в сеть плагин активируется на нём автоматически.

Redis и Memcached

Плагин использует WordPress Object Cache API для кэширования белого и чёрного списка IP. Если на вашем сервере установлен Redis (через плагин Redis Object Cache) или Memcached — Anti Bot автоматически использует их без какой-либо дополнительной настройки с вашей стороны.

Это особенно важно при больших списках: весь список загружается из Redis один раз и кэшируется на 5 минут, поиск выполняется в памяти за O(1). При PHP-FPM без Redis каждый воркер загружает список из БД независимо. С Redis все воркеры используют общий кэш — это снижает нагрузку на базу данных и ускоряет проверку при высоком трафике.

Cloudflare

Если сайт стоит за Cloudflare, обязательно установите IP Source в «Cloudflare — CF-Connecting-IP» в настройках плагина. Иначе плагин будет видеть IP серверов Cloudflare вместо реальных IP посетителей, и геоблокировка не будет работать корректно.

Отладка

Включите Debug в настройках и проверьте файл wp-content/uploads/anti-bot/debug.log. Лог показывает полный путь принятия решения для каждого запроса: определение IP, обращение к кэшу или API, результат проверки UA и финальное решение. После диагностики обязательно отключите Debug — запись лога на каждый запрос создаёт дополнительную нагрузку на диск.

Мы используем cookies. Используя сайт, вы соглашаетесь с обработкой данных с целью сбора аналитики. Cookies можно отключить в любой момент в настройках вашего браузера.

Задать вопрос

Отправьте контактные данные и ваш вопрос, мы свяжемся с Вами в ближайшее время

Предпочтительный способ связи

Заявка дошла к нам.
В ближайшее время выйдем на связь