Kinstaでは、サイトのニーズに応じて自動化トラフィックを制御できるボット対策機能を導入しました。

以前は「良いボット」と「悪いボット」があり、その違いについてもおおよその共通認識がありましたが、今日では、自動化されたトラフィックのあり方が急速に変化しています。

特にサイト運営者にとってわかりやすいのが、トラフィック量の増加です。サイバーセキュリティ企業Thalesが公開した「2026 Bad Bot Report」によると、2025年のウェブトラフィックの53%をボットが占めており、人間によるアクセスは47%でした。2025年版のレポートではボットが51%、人間が49%だったことから、自動化トラフィックは増加を続けています。

また、このレポートには「Bad Bots in the Agentic Age(エージェント型AI時代の悪質ボット)」という副題が付けられています。AIの発展により、新たな自動化エージェントが次々と登場している中、その受け止め方はサイトによって異なります。さらに、AIによって高度化した悪意あるボットも増えています。

こうしたボットは、サーバーリソースへの負荷やアクセス解析データのゆがみを引き起こし、さらにはサーバー費用の増加につながることもあります。このような現状を受け、Kinstaではボット対策機能を開発しました。以下、その概要をご紹介します。

ボット対策機能のベータリリース

クローズドテストにご参加いただいたお客様からのフィードバックを受け、改善を行い、この度ボット対策機能の最新ベータ版をすべてのお客様に提供開始します。今後も機能の強化を進めながら、より多くのお客様にご活用いただけるよう改善を続けていきます。

特定のWordPressサイトでこの機能を利用するには、「サイト」> (サイト名)>「ボット対策」 に移動します。

MyKinstaで特定のWordPressサイトにボット対策を適用
MyKinstaで特定のWordPressサイトにボット対策を適用

ボット対策」画面では、以下4つの主要機能を利用できます。

  • 対策レベルの選択
  • AIクローラーをブロック
  • 通常のWordPress自動化処理を許可
  • 例外を追加できる「常に許可」リスト

それぞれの機能については、後ほど詳しくご紹介します。この画面を下にスクロールすると、過去24時間の自動化トラフィックの分析結果やブロック状況を確認することができます。

MyKinstaに表示される、過去24時間のサイトトラフィックとボット対策の結果
MyKinstaに表示される、過去24時間のサイトトラフィックとボット対策の結果

リクエストの内訳」チャートの数値を確認することで、どのようなボット対策が必要かを判断できます。また、「ボット対策の結果」チャートでは、現在の設定が効果を発揮しているかどうかが表示されます。

より長期的な傾向を把握したい場合は、「サイト」>(サイト名)>「分析」に移動し、「ボット・自動化トラフィック」タブを開きます。このタブでは、過去24時間を超える期間のボットトラフィック分析データを確認可能です。

長期間にわたるボットトラフィックの分析データとボット対策の適用結果
長期間にわたるボットトラフィックの分析データとボット対策の適用結果

ボット対策レベルの選択

対策レベル」セクションの「変更」をクリックすると、サイトの受信トラフィックを制御するレベルを選択することができます。

対策レベルの変更
対策レベルの変更

各対策レベルは以下のとおりです。

  • 悪意のあるトラフィックをブロック:Kinstaでホスティングするサイトにデフォルトで適用されている対策レベル。悪意のあるトラフィックには、DDoS攻撃への対策や、悪意のあるアクセスにのみ使用されるIPアドレスやエンドポイントを対象としたグローバルルールが含まれる。
  • 自動化されたアクセスをブロック:悪意のあるトラフィックに加えて、自動化トラフィックもブロック。ただし、認証済みボットや積極的なAIクローラーは対象外となる。一方で、WordPress管理プラグイン、一部のカスタムAPI連携、稼働監視ツール、デプロイスクリプト、適切な識別情報を送信しないサードパーティサービスなど、正当なツールが影響を受ける場合がある。
  • ボットを検証:自動化トラフィックや悪意のあるトラフィックをブロックし、ボットと判断されたアクセスや分類できないアクセスには検証を行う。検索エンジンのクローラーなどの認証済みボットは引き続き許可され、人間による利用と判断されたブラウザもそのままアクセスできる。
  • すべてのアクセスを検証:緊急時向けの設定。長期的な運用には適していないが、問題の原因を調査している間に、過剰なトラフィックを一時的に抑制する手段として有効。

上記のうち2つのレベルでは「検証」が行われます。検証の内容は、アクセス元のデバイスがJavaScriptに対応しているかを確認する簡単なテストから、本格的なCAPTCHA認証までさまざまです。

AIクローラーの管理、自動化、例外の追加

AIクローラーのブロック」および「通常のWordPress自動処理を許可」のトグルを使って、特定の種類のボットトラフィックに対する制御をまとめてオン・オフすることができます。その下にある「常に許可」セクションでは、厳格なルールを適用している場合でも、必要なクローラーやツールに対して個別にアクセスを許可できます。

例えば、あるサイトでは有用なAIクローラーでも、別のサイトでは望ましくないボットと見なされる場合があります。AIクローラーに価値を感じない場合は、「AIクローラーのブロック」をオンにしてください。一部のAIクローラーだけを許可したい場合は、この機能をオンにした上で、「常に許可」セクションで例外を追加することができます。

通常のWordPress自動処理を許可」をオンにすると、WordPressが利用する既知のAPIや、REST APIを通じてサイトと連携する既知のサードパーティツール、その他のバックグラウンド処理を行うツールはブロックされません。また、自動化されたアクセスを広くブロックしつつ、必要なツールだけを「常に許可」に例外を追加して個別に許可することもできます。

常にアクセスを許可する例外を追加
常にアクセスを許可する例外を追加

常に許可する」に追加する例外は、トラフィック元のIPアドレス、ユーザエージェント、またはサイト上のターゲットパスで指定します。

複数のサイトのボット対策をまとめて管理

1つのサイトだけでなく、管理する複数のサイトに対してボット対策を一度に適用・管理することも可能です。「サイト」画面で対象のWordPress環境を選択し、右上の「操作」ドロップダウンをクリックします。

その後、対策レベルの変更や、AIクローラーのブロック、WordPress自動処理の許可設定を一括でオン、またはオフにすることができます。

複数のWordPress環境のボット対策を一括設定
複数のWordPress環境のボット対策を一括設定

ボット対策を効果的に活用

以上、Kinstaが新たに導入したボット対策機能の概要をご紹介しました。機能の詳細は、ドキュメントでもご覧いただけます。

なお、本機能を利用する際は、重要なアクセスまでブロックしてしまわないよう、十分にテストを行うことをおすすめします。

また、本機能は現在ベータ版として提供されています。お客様からのフィードバックをもとに、今後も引き続き改善を進めてまいりますので、ぜひご意見をお聞かせください。