Ao longo do último ano, o tráfego de bots deixou de ser algo que os proprietários de sites conseguiam ignorar e passou a afetar diretamente o comportamento da infraestrutura. A mudança não está apenas no volume. Está na forma como o tráfego automatizado interage com sites modernos, especialmente lojas WooCommerce.
À primeira vista, pode parecer que uma solicitação é apenas uma solicitação. Mas nem todas as solicitações são iguais, e o WooCommerce torna essa diferença ainda mais evidente.
Neste artigo, você verá por que sites WooCommerce são mais sensíveis ao tráfego de bots, o que acontece nos bastidores quando bots acessam endpoints importantes e por que crenças comuns sobre tráfego e desempenho não se sustentam em um contexto de eCommerce.
Por que o WooCommerce transforma tráfego em carga de trabalho
Em um site WordPress comum, a maioria das páginas é armazenada no Edge Caching por uma CDN como o Cloudflare, permitindo que as solicitações sejam atendidas sem envolver o servidor de origem. Mesmo em volumes maiores, o custo permanece relativamente baixo porque o sistema é otimizado para reutilizar a saída armazenada em cache.
O WooCommerce funciona de forma diferente. Uma grande parte das solicitações depende de dados em tempo real e de contexto específico do usuário, e não pode ser atendida pelo cache. Cada solicitação precisa ser processada do zero pelo servidor de origem. Isso inclui:
- Executar PHP para processar a lógica da solicitação
- Consultar o banco de dados em busca de informações de produtos, preços ou sessões
- Gerar a resposta dinamicamente antes de enviá-la ao usuário
A execução de PHP para cada solicitação ocupa uma thread PHP durante todo o processo, e o número de threads disponíveis para cada site é limitado. Quando todas estão em uso, novas solicitações precisam esperar. Você também pode perceber que seu site está atingindo constantemente o limite de threads PHP.
Ao mesmo tempo, o banco de dados está sendo consultado para obter dados e informações de sessão. Também há gerenciamento de sessão acontecendo em segundo plano.
Mesmo sem considerar o comportamento dos bots, já fica claro que as solicitações do WooCommerce são inerentemente caras. Quando o tráfego automatizado entra em cena, esse custo se multiplica.
Onde os bots causam mais danos em sites WooCommerce
O impacto do tráfego de bots em sites WooCommerce tende a se concentrar em um pequeno conjunto de endpoints projetados para interações de usuários reais.
Essas são as áreas do site onde as solicitações são mais caras e menos adequadas para cache:
- Endpoints de carrinho e checkout (
/cart,/checkout,?add-to-cart=) - Consultas de pesquisa
- Páginas de produtos filtradas e baseadas em parâmetros
- Interações acionadas por AJAX e componentes dinâmicos
Cada um desses elementos se comporta de maneira diferente, mas todas as solicitações acionam processamento real no servidor.
Os endpoints de carrinho e checkout são os exemplos mais evidentes. Uma solicitação para /cart ou qualquer URL envolvendo ?add-to-cart= aciona a lógica do aplicativo para validar a sessão, atualizar o estado do carrinho, consultar dados de produtos e preparar uma resposta específica. Quando isso acontece repetidamente em grande escala, os recursos do servidor são rapidamente consumidos.
Em nosso relatório publicado recentemente, “A realidade do tráfego de IA e bots”, nossa equipe de engenharia identificou mais de sete milhões de solicitações de bots atingindo URLs de adicionar ao carrinho na infraestrutura da Kinsta em apenas 24 horas.
Para colocar os números em perspectiva, 3,75 milhões de solicitações em 24 horas provenientes do ClaudeBot equivalem a aproximadamente uma solicitação a cada 23 milissegundos, dia e noite, sendo cada uma tratada como uma nova solicitação.
Além dos endpoints de carrinho e checkout, os recursos de pesquisa e filtragem também introduzem outro tipo de pressão. Lojas WooCommerce geralmente permitem que os usuários filtrem produtos por atributos como preço, categoria, tamanho ou disponibilidade. Cada combinação gera uma URL ligeiramente diferente e, do ponto de vista de um crawler, cada variação merece ser explorada.
Em nosso relatório, identificamos que o meta-externalagent (crawler de IA da Meta/Facebook) ficou preso em páginas de comparação do WooCommerce e entrou em loop em variações sem sentido de páginas de calendário durante dias.
Isso acontece porque crawlers não entendem contexto. O crawler segue a primeira variação, encontra outra ligeiramente diferente, e então mais uma, e continua expandindo seu caminho. Em nenhum momento ele reconhece que está, na prática, visitando a mesma página repetidamente.
Em sites WooCommerce, isso se torna especialmente problemático porque muitas dessas variações estão associadas a funcionalidades dinâmicas.
Por que o tráfego de bots não parece um ataque (mas se comporta como um)
Um dos motivos pelos quais esse problema é fácil de ignorar é que ele não se parece com um ataque malicioso.
Quando ocorre um ataque malicioso, você percebe picos de tráfego vindos de uma única origem, com sinais claros de abuso e, possivelmente, cargas maliciosas. Já no caso do tráfego de bots, as solicitações parecem normais porque seguem a estrutura do site, acessam URLs válidas e recebem respostas válidas.
Visto de fora, muitas vezes parece uma atividade legítima de rastreamento. Mas o sistema não avalia intenções. Ele apenas processa solicitações.
Quando crawlers ineficientes ou mal configurados operam em grande escala, eles criam padrões que lembram abuso, mesmo que essa não tenha sido a intenção. Solicitações repetidas, loops e acessos frequentes a endpoints dinâmicos acabam se traduzindo em carga contínua para o servidor.
É por isso que a distinção entre bots “bons” e “ruins” funciona cada vez menos na prática.
Um crawler pode ser legítimo e, ainda assim, gerar padrões de tráfego que prejudicam o desempenho. O problema não é apenas quem está fazendo a solicitação, mas o que essa solicitação obriga o sistema a fazer.
O que isso significa para o desempenho do WooCommerce
Quando esse tipo de tráfego cresce, os efeitos aparecem de formas fáceis de interpretar incorretamente.
- As páginas começam a carregar mais lentamente, especialmente durante períodos de maior atividade.
- Os fluxos de checkout passam a parecer lentos ou inconsistentes.
- Em alguns casos, as solicitações começam a entrar em fila porque as threads PHP estão ocupadas processando interações automatizadas repetidas.
Visto de fora, parece um problema de desempenho. Mas a causa subjacente geralmente é a pressão contínua de tráfego automatizado atingindo endpoints que não podem ser armazenados em cache.
Isso também afeta a forma como o tráfego é interpretado. Grandes volumes de solicitações automatizadas podem inflar as contagens de visitas sem contribuir para a atividade real dos usuários. Um pico de tráfego pode não corresponder a um aumento de engajamento, conversões ou receita. Sem visibilidade sobre o que está gerando esse tráfego, torna-se difícil separar demanda real de carga automatizada.
Em larga escala, isso se transforma tanto em um problema duplo: de desempenho e de tomada de decisão.
Por que bloquear bots não é uma solução completa
Se você ainda não está familiarizado com o tráfego de bots, sua reação natural a esse comportamento provavelmente será bloqueá-lo. Em alguns casos, isso funciona. Mas, na maioria deles, cria novas consequências.
A verdade é que nem todo tráfego automatizado é prejudicial. Os crawlers de mecanismos de pesquisa são essenciais para a visibilidade. Os crawlers de IA desempenham um papel importante na forma como o conteúdo é apresentado por agentes de IA, algo que atualmente faz parte das práticas de GEO e AEO.
Bloquear tudo elimina o problema do tráfego, mas também elimina os benefícios. Permitir tudo evita interrupções, mas deixa o sistema exposto a carga desnecessária.
O desafio é que sites WooCommerce não precisam de uma única regra para todo o tráfego. Eles precisam de comportamentos diferentes dependendo do destino da solicitação e da origem do tráfego.
Uma forma mais prática de pensar sobre o tráfego de bots
Em vez de perguntar se os bots devem ser permitidos ou bloqueados, a pergunta mais útil é: que tipos de tráfego devem ter acesso a que partes do site?
Endpoints de carrinho e checkout não precisam ser acessados por crawlers. Páginas de pesquisa e páginas filtradas podem ter acesso limitado sem afetar a funcionalidade principal. Ao mesmo tempo, páginas de produtos e categorias precisam permanecer acessíveis aos mecanismos de pesquisa.
Esse tipo de separação é o que torna o tráfego de bots gerenciável.
Em nossa análise de mais de 10 bilhões de solicitações na infraestrutura gerenciada pela Kinsta, esses padrões aparecem repetidamente em sites WooCommerce reais. Se você quiser explorar o conjunto completo de dados e entender como esses comportamentos evoluem em diferentes tipos de sites, o relatório sobre tráfego de IA e bots oferece mais detalhes.
Ao mesmo tempo, gerenciar tudo isso manualmente raramente é prático. Isso exige ajustes periódicos, visibilidade clara dos padrões de tráfego e uma forma de aplicar decisões sem prejudicar o uso legítimo. É exatamente essa lacuna que a ferramenta Proteção contra bots da Kinsta foi criada para preencher, permitindo que proprietários de sites controlem como diferentes tipos de tráfego são tratados sem depender de regras genéricas.
Consulte nossa documentação ou fale com o nosso suporte caso precise de mais esclarecimentos sobre como isso pode funcionar para o seu site ou agência.
