Как обезопасить веб-сайт от атак ботов через Cloudflare

[DennisP]

То есть, чтобы пройти сквозь эту защиту, боту достаточно выставить useragent от гуглбота?

[pae174]

User-agent: Not Google

И не придерешься :-)

[Nasferatus]

Чтобы прикинутся гугл ботом тебе нужно ещё и использовать официальные IP адреса от гугла, не думай что если ты поменяешь свой User-agent: и не поменяешь свой IP адрес ты станешь этим ботом. Свой IP адрес сменить на официальный адрес бота ты не сможешь.

[fobo]

del

[beehunt9r]

Как подметили ранее, всю Вашу защиту можно разрушить одним лишь подставлением заголовка User-Agent (ведь если это правило проходит, то все остальные пропускаются). Если хотите проверять оригинальность поискового бота, то здесь стоит смотреть в сторону верификации IP-адреса с которого идет запрос (списки этих адресов публичные и находятся по первому же запросу).

Вам стоит детальнее изучить как возможности выражений CloudFlare, так и возможные директивы. Например, правило вида ip.geoip.country in {"CN" "UA" "IR"} выглядит гораздо короче и лаконичнее, чем предложенный вариант or-hell вида (ip.geoip.country eq "CN") or (ip.geoip.country eq "UA") or (ip.geoip.country eq "IR".

В целом материал больше на похож на список правил и инструкцию для тех, кто первый раз в жизни видит CloudFlare, нежели чем на что-то полезное.

[zmrzjke]

99%, не смеши. Те кто крутит поведенческие факторы на раз два обходят эту байду. Это лишь закроет доступ для ботов-болванчиков, которые в любую дырку лезут. Да и вообще, открывать своего провайдера по асн, но поисковикам открывать доступ по юзерагенту, это да, сразу видны 15 лет опыта. Чел даже не смог в первом же обзаце без ошибок.