Il web è più trafficato che mai, non solo dai visitatori umani, ma anche da un’ondata crescente di bot automatizzati, crawler e strumenti di intelligenza artificiale che scansionano costantemente i siti web alla ricerca di contenuti e dati.

Mentre alcuni bot sono utili, come i crawler dei motori di ricerca che aiutano a scoprire i tuoi contenuti, altri possono gonfiare rapidamente le tue metriche di traffico, alterare i dati analitici e persino innescare inutili sovraccarichi di hosting.

In questa guida mostriamo come utilizzare gli strumenti di sicurezza gratuiti di Cloudflare, come la modalità “lotta ai bot”, le verifiche JavaScript e gestite e altre impostazioni di Cloudflare per aiutarti a ridurre il traffico bot indesiderato, proteggere il tuo sito WordPress e garantire che le risorse dell’hosting siano riservate ai visitatori reali.

Imposta Cloudflare per la protezione dai bot

Non è necessario un account premium o una configurazione complessa per bloccare il traffico bot indesiderato con Cloudflare. Il piano gratuito di Cloudflare offre diverse funzioni che possono fare la differenza.

Ecco come iniziare.

Collega il tuo sito a Cloudflare

Se stai ospitando il tuo sito WordPress su Kinsta, stai già beneficiando di una potente integrazione con Cloudflare, che include prestazioni di livello enterprise e un CDN globale. Tuttavia, per accedere a strumenti di sicurezza avanzati, devi collegare il tuo account Cloudflare.

Fortunatamente, questo processo è rapido e semplice. Ecco un tutorial dettagliato che ti guiderà passo dopo passo attraverso l’intero processo, dall’aggiunta del dominio alla configurazione dei record DNS e dei nameserver. Segui questa guida per collegare il tuo sito:

👉 Come installare e configurare Cloudflare su un sito WordPress

Quando il dominio sarà connesso e attivo su Cloudflare, sarà il momento di attivare le funzioni che aiutano a proteggere il sito dal traffico indesiderato di bot e scraper, senza impattare sui visitatori reali.

Abilita la modalità di lotta ai bot

Una volta che il sito è connesso a Cloudflare, uno dei modi più rapidi ed efficaci per iniziare a filtrare il traffico automatico indesiderato è quello di attivare la modalità di lotta ai bot.

Questa funzione gratuita di Cloudflare aiuta a rilevare e ad attenuare i bot noti che possono effettuare crawling, scrape o sovraccaricare il sito web, anche quando cercano di camuffarsi da visitatori umani.

Per attivare la modalità di lotta ai bot, segui questi passaggi:

  1. Dal menu di sinistra, vai su Sicurezza > Impostazioni.
  2. Nella sezione Filtra per, seleziona Traffico bot.
  3. Trova la Modalità lotta ai bot e attivala.
Dashboard Cloudflare che mostra le opzioni di configurazione della modalità Bot Fight per una maggiore sicurezza.
La dashboard di Cloudflare mostra l’opzione Modalità Lotta ai Bot.

Dopo l’attivazione, potrai monitorare i risultati all’interno della sezione Statistiche di MyKinsta: il numero di visite inizierà a diminuire poiché Cloudflare filtra un numero maggiore di richieste non umane prima che raggiungano il sito.

Se utilizzi un piano Cloudflare a pagamento, puoi accedere alla modalità Lotta ai Super Bot, una versione migliorata della modalità Bot fight con maggiore flessibilità. Si basa sulla stessa tecnologia, ma permette di scegliere come gestire diversi tipi di traffico, abilitando i rilevamenti JavaScript per catturare i browser headless, gli scraper e altro traffico dannoso.

Ad esempio, invece di bloccare tutti i crawler, puoi configurare lo strumento in modo da bloccare solo il “traffico sicuramente automatizzato” e consentire i “bot verificati” come i crawler dei motori di ricerca:

Cloudflare’s Super Bot Fight Mode dashboard displaying bot protection settings and analytics.
Modalità Lotta ai Super Bot di Cloudflare.

Imposta le verifiche JavaScript e gestite

Anche con la modalità di lotta ai bot attiva, alcuni crawler automatizzati o strumenti di intelligenza artificiale possono ancora sfuggire, soprattutto quelli che imitano il normale comportamento di navigazione.

Le regole di sicurezza di Cloudflare permettono di applicare una protezione aggiuntiva sotto forma di verifiche, che controllano che i visitatori siano umani prima di concedere l’accesso.

Puoi applicare le verifiche JS a tutto il sito, ma per la maggior parte dei siti WordPress è meglio utilizzarle su percorsi mirati come:

  • /wp-login.php (pagina di accesso a WordPress)
  • /xmlrpc.php (obiettivo comune dei bot)
  • /wp-admin/ (area di amministrazione)

Per aggiungere una regola di verifica JavaScript o gestita:

  • Vai su Sicurezza > Regole di sicurezza.
  • Clicca su Crea regola > Regole personalizzate.
  • Inserisci il nome della regola (ad esempio, JS Challenge for wp-login).
  • Alla voce Quando le richieste in entrata corrispondono a…, configura:
    • Campo: URI Path
    • Operatore: contains
    • Valore: /wp-login.php
Configurazione di regole personalizzate in Cloudflare per la gestione e il filtraggio del traffico web.
Regola personalizzata impostata in Cloudflare.

Puoi aggiungere altre condizioni in base alle tue esigenze facendo clic su Modifica espressione, quindi puoi aggiungere un’espressione come quella riportata di seguito:

(http.host in {"example.com" "www.example.com"} and 
 starts_with(http.request.uri.path, "/wp-admin") and 
 not cf.client.bot and 
 not http.request.uri.path contains "/wp-admin/admin-ajax.php")

L’esempio qui sopra si rivolge all’area /wp-admin, salta i bot verificati ed esclude l’endpoint AJAX utilizzato dai plugin di WordPress.

In corrispondenza della voce Intraprendere l’azione, scegli una delle seguenti opzioni:

  • Verifica JavaScript – esegue un test del browser per ogni visitatore.
  • Verifica gestita – lascia che sia l’intelligenza artificiale di Cloudflare a decidere quando effettuare il test, in base al comportamento e al livello di rischio.

Infine, clicca su Distribuisci per attivare la regola. Se vuoi testarla prima, scegli Salva come bozza.

Monitora i risultati

Una volta attivata la modalità Lotta ai bot o impostate le tue regole Cloudflare, è importante verificare che le modifiche apportate funzionino e che il traffico automatico che ha gonfiato le visite venga filtrato in modo efficace.

Sia Cloudflare che MyKinsta offrono strumenti di analisi che permettono di misurare l’impatto. Ecco come usarli insieme.

Controlla le analisi di sicurezza di Cloudflare

Nella dashboard di Cloudflare, vai su Sicurezza > Analytics > Traffico Bot.

Dashboard Cloudflare Bot Analytics che mostra le statistiche sul traffico dei bot e le tendenze delle attività.
Traffico Bot di Cloudflare.

Questa vista fornisce una chiara ripartizione della percentuale di traffico totale del sito generata dagli esseri umani rispetto ai bot.

Cloudflare assegna un punteggio di bot a ogni richiesta in arrivo sulla base di pattern, apprendimento automatico e segnali comportamentali. Questi punteggi sono raggruppati in base a tipi di traffico quali:

  • Automatizzato – Bot chiaramente non umani.
  • Probabilmente automatizzato – Richieste sospette, simili a quelle di un bot (ad esempio, browser headless o scrapers AI).
  • Probabilmente umani – Visitatori normali che utilizzano browser reali.
  • Bot verificati – Bot legittimi (come Googlebot o PayPal).

Il grafico del Traffico Bot mostra queste categorie in tempo reale. Puoi utilizzare i filtri (per paese, indirizzo IP, browser o sistema operativo) per identificare la provenienza della maggior parte del traffico automatizzato.

Interfaccia analitica Cloudflare che mostra l'analisi del traffico filtrato e informazioni sulla sicurezza.
Filtra l’analisi del traffico.

Controlla le statistiche di MyKinsta

Successivamente, apri la dashboard di MyKinsta > Statistiche > Visite.

Visualizza le statistiche delle visite in MyKinsta che mostrano le tendenze del traffico e le informazioni sull'utilizzo.
Visualizzazione delle statistiche delle visite in MyKinsta.

Poiché Kinsta misura le visite in base agli indirizzi IP unici visti ogni giorno (e non in base al tracciamento JavaScript come Google Analytics), fornisce una visione accurata di tutto il traffico che arriva sul sito, compresi i bot che passano attraverso altri filtri.

Dopo che Cloudflare ha iniziato a bloccare le richieste automatiche, dovresti notare un calo delle visite totali (poiché i bot non raggiungono più la tua origine).

Se continui a vedere dei picchi, esamina i report Richieste principali e IP client principali per identificare eventuali URL o IP che vengono richiesti ripetutamente. Questi sono probabilmente candidati a nuove verifiche di Cloudflare o a blocchi geolocalizzati.

Indirizzi IP dei principali clienti visualizzati nelle analisi di MyKinsta per monitorare le fonti di traffico del sito.
Indirizzi IP dei client principali mostrati nelle statistiche di MyKinsta.

Riepilogo

La gestione del traffico bot indesiderato è diventata parte integrante della gestione di un sito web moderno. Con gli strumenti gratuiti di Cloudflare, puoi filtrare rapidamente i crawler e gli scraper automatici prima che abbiano un impatto sulle prestazioni o sovraccarichino l’utilizzo dell’hosting.

Per i clienti di Kinsta, abbinare queste protezioni di Cloudflare alla propria configurazione di hosting aiuta le statistiche a riflettere con precisione i visitatori reali e a mantenere un utilizzo coerente delle risorse. Se desideri una maggiore prevedibilità, i nuovi piani basati sulla larghezza di banda di Kinsta offrono un’alternativa ai piani basati sulle visite.

Insieme, Cloudflare e Kinsta offrono la visibilità e il controllo necessari per concentrarti sui tuoi contenuti e sui tuoi utenti, anziché dare la caccia ai bot.

Joel Olawanle Kinsta

Joel è uno Frontend developer che lavora in Kinsta come redattore tecnico. È un insegnante appassionato che ama l'open source e ha scritto oltre 200 articoli tecnici principalmente su JavaScript e i suoi framework.