A web está mais movimentada do que nunca, com não apenas visitantes humanos, mas também uma onda crescente de bots automatizados, rastreadores e ferramentas de IA analisando sites de forma contínua em busca de conteúdo e dados.

Embora alguns bots sejam úteis, como os rastreadores de mecanismos de pesquisa que ajudam a descobrir seu conteúdo, outros podem inflar rapidamente suas métricas de tráfego, distorcer suas análises e até gerar cobranças excedentes desnecessárias de hospedagem.

Neste guia, mostramos como usar as ferramentas de segurança gratuitas do Cloudflare, como Bot Fight Mode, JavaScript e Managed Challenges, além de outras configurações do Cloudflare para ajudar você a reduzir o tráfego indesejado de bots, proteger seu site WordPress e garantir que seus recursos de hospedagem sejam reservados para visitantes reais.

Como configurar o Cloudflare para proteção contra bots

Você não precisa de uma conta premium ou de uma configuração complexa para impedir o tráfego indesejado de bots com o Cloudflare. O plano gratuito do Cloudflare oferece vários recursos poderosos que podem fazer uma grande diferença.

Vamos mostrar como começar.

Conecte seu site ao Cloudflare

Se você está hospedando seu site WordPress com a Kinsta, já está se beneficiando de uma poderosa integração com o Cloudflare, incluindo desempenho de nível empresarial e um CDN global. No entanto, para acessar ferramentas de segurança avançadas, você precisa conectar sua própria conta do Cloudflare.

Felizmente, esse processo é rápido e simples. Oferecemos um tutorial detalhado, passo a passo, que orienta você em todo o processo, desde a adição do seu domínio até a configuração de registros DNS e servidores de nomes. Siga este guia para conectar seu site:

👉 Como instalar e configurar o Cloudflare em seu site WordPress

Quando seu domínio estiver conectado e ativo no Cloudflare, você poderá habilitar recursos que ajudam a proteger seu site contra tráfego indesejado de bots e scrapers, sem impactar visitantes reais.

Habilite o Bot Fight Mode

Depois que seu site estiver conectado ao Cloudflare, uma das maneiras mais rápidas e eficazes de começar a filtrar tráfego automatizado indesejado é habilitar o Bot Fight Mode.

Esse recurso gratuito do Cloudflare ajuda a detectar e mitigar bots conhecidos que podem rastrear, coletar dados ou sobrecarregar seu site, mesmo quando tentam se disfarçar como visitantes humanos.

Para habilitar o Bot Fight Mode, siga estas etapas:

  1. Acesse Security, Settings no menu lateral.
  2. Na seção Filter by, selecione Bot traffic.
  3. Encontre Bot Fight Mode e habilite o recurso.
Painel do Cloudflare mostrando as opções de configuração do Modo de Combate a Bots para segurança aprimorada.
Painel do Cloudflare mostrando a opção Bot Fight Mode.

Após a ativação, você pode monitorar os resultados dentro da análise do MyKinsta, enquanto a contagem de visitas começa a cair, pois o Cloudflare filtra mais solicitações não humanas antes que elas cheguem ao seu site.

Se estiver usando um plano pago do Cloudflare, terá acesso ao Super Bot Fight Mode, uma versão aprimorada do Bot Fight Mode com mais flexibilidade. Ele se baseia na mesma tecnologia, mas permite escolher como lidar com diferentes tipos de tráfego, habilitando detecções JavaScript para identificar navegadores headless, scrapers discretos e outros tipos de tráfego malicioso.

Por exemplo, em vez de bloquear todos os rastreadores, você pode configurar a ferramenta para bloquear apenas “tráfego definitivamente automatizado” e permitir “bots verificados”, como rastreadores de mecanismos de pesquisa:

Painel do Modo Super Bot Fight da Cloudflare exibindo configurações e análises de proteção contra bots.
Modo Super Bot Fight do Cloudflare.

Configure JavaScript e Managed Challenges

Mesmo com o Bot Fight Mode ativo, alguns rastreadores automatizados ou ferramentas de IA ainda podem passar, especialmente aqueles que imitam comportamento de navegação normal.

As regras de segurança do Cloudflare permitem que você aplique proteção adicional na forma de desafios, que verificam se os visitantes são humanos antes de conceder acesso.

Você pode aplicar JS Challenges em todo o site, mas para a maioria dos sites WordPress, é melhor usá-los em caminhos específicos, como:

  • /wp-login.php (página de login do WordPress)
  • /xmlrpc.php (alvo comum de bots)
  • /wp-admin/ (área de administração)

Para adicionar uma regra de JavaScript ou Managed Challenge:

  • Navegue até Security > Security Rules.
  • Clique em Create rule > Custom rules.
  • Insira um nome para a regra, como JS Challenge for wp-login.
  • Em Quando as solicitações de entrada corresponderem, configure:
    • Field: Caminho do URI
    • Operator: contains
    • Value: /wp-login.php
Configuração de regras personalizadas no Cloudflare para gerenciar e filtrar o tráfego da web.
Configuração de regra personalizada do Cloudflare.

Você pode adicionar mais condições conforme necessário clicando em Edit expression e inserindo uma expressão como:

(http.host in {"example.com" "www.example.com"} and 
 starts_with(http.request.uri.path, "/wp-admin") and 
 not cf.client.bot and 
 not http.request.uri.path contains "/wp-admin/admin-ajax.php")

O exemplo acima tem como alvo a área /wp-admin, ignora bots verificados e exclui o endpoint AJAX usado pelos plugins do WordPress.

Em Then take action, escolha uma das seguintes opções:

  • JavaScript Challenge – executa um teste de navegador para cada visitante.
  • Managed Challenge – permite que a IA do Cloudflare decida quando desafiar, com base no comportamento e no nível de risco.

Por fim, clique em Deploy para ativar a regra. Se quiser testar antes, selecione Save as Draft.

Monitore os resultados

Após habilitar o Bot Fight Mode ou configurar suas próprias regras no Cloudflare, é importante confirmar que as alterações estão funcionando e que o tráfego automatizado que inflava suas visitas está sendo filtrado de forma eficaz.

Tanto o Cloudflare quanto o MyKinsta oferecem ferramentas de análises que permitem medir o impacto. Veja como usá-las em conjunto.

Verifique as análises de segurança do Cloudflare

Em seu painel de controle do Cloudflare, acesse Security > Analytics > Bot Analysis.

Painel do Cloudflare Bot Analytics exibindo estatísticas de tráfego de bots e tendências de atividade.
Análise de bots do Cloudflare.

Essa visualização fornece um detalhamento claro de quanto do tráfego total do seu site é gerado por humanos e bots.

O Cloudflare atribui uma pontuação de bot a cada solicitação com base em padrões, Aprendizado de Máquina (Machine Learning) e sinais comportamentais. Essas pontuações são agrupadas em tipos de tráfego, como:

  • Automated – claramente bots não humanos.
  • Likely automated – solicitações suspeitas, semelhantes a bots (por exemplo, navegadores headless ou scrapers de IA).
  • Likely human – visitantes normais usando navegadores reais.
  • Verified bot – bots legítimos (como Googlebot ou PayPal).

O gráfico Bot Analysis exibe essas categorias em tempo real. Você pode usar os filtros (por país, endereço IP, navegador ou sistema operacional) para identificar a origem da maior parte do tráfego automatizado.

Interface de análise da Cloudflare mostrando análise de tráfego filtrado e informações de segurança.
Filtrar a análise de tráfego.

Verifique as análises do MyKinsta

Em seguida, abra o painel MyKinsta > Análises > Relatório de visitas.

Visualização de análises de visitas no MyKinsta, mostrando tendências de tráfego e informações sobre o uso.
Visualização da análise de visitas no MyKinsta.

Como a Kinsta contabiliza visitas com base nos endereços IP únicos vistos por dia, e não em rastreamento JavaScript como o Google Analytics, isso fornece uma visão precisa de todo o tráfego que atinge seu site, incluindo bots que passam por outros filtros.

Depois que o Cloudflare começa a bloquear solicitações automatizadas, você deve notar uma queda no total de visitas, já que os bots deixam de alcançar sua origem.

Se você ainda observar picos, revise seus relatórios de Principais solicitações e Principais IPs de clientes para identificar URLs ou IPs que estão sendo solicitados repetidamente. Eles são fortes candidatos para novos desafios no Cloudflare ou bloqueios por país.

Principais endereços IP de clientes exibidos na análise do MyKinsta.
Principais endereços IP de clientes exibidos nas análises do MyKinst.

Resumo

Gerenciar o tráfego indesejado de bots tornou-se parte da administração de um site moderno. Com as ferramentas gratuitas do Cloudflare, você pode filtrar rapidamente os rastreadores e scrapers automatizados antes que eles afetem o desempenho ou aumentem o uso da hospedagem.

Para clientes da Kinsta, combinar essas proteções do Cloudflare com sua hospedagem ajuda suas análises a refletirem com precisão os visitantes reais e mantém o uso dos recursos consistente. Se você quiser ainda mais previsibilidade, os novos planos baseados em largura de banda da Kinsta oferecem uma alternativa ao preço baseado em visitas.

Cloudflare e Kinsta trabalham juntos para oferecer a visibilidade e o controle de que você precisa para focar no seu conteúdo e nos seus usuários, em vez de perder tempo lidando com bots.

Joel Olawanle Kinsta

Joel é um desenvolvedor Frontend que trabalha na Kinsta como Editor Técnico. Ele é um professor apaixonado com amor pelo código aberto e já escreveu mais de 200 artigos técnicos, principalmente sobre JavaScript e seus frameworks.