Cloudflare attivo e visite anomale da tutto il mondo: Come difendersi dai bot
Molti siti italiani che attivano Cloudflare notano subito un cambiamento evidente: improvvisamente compaiono visite da paesi come Cina, India, Brasile o Russia. Le statistiche sembrano crescere, ma il tempo di permanenza è nullo, le pagine viste sono minime e le interazioni inesistenti.
Non si tratta di nuovi lettori internazionali. Nella maggior parte dei casi è traffico automatico, composto da bot, scanner e crawler che esplorano continuamente la rete.
Perché succede dopo aver attivato Cloudflare
Cloudflare espone il sito su una rete globale. Questo significa maggiore velocità e sicurezza, ma anche maggiore visibilità verso:
- bot automatici
- scanner di vulnerabilità
- script che analizzano domini in modo massivo
Strumenti come Wordfence lo mostrano chiaramente: gran parte di queste richieste non è umana e non raggiunge nemmeno WordPress, perché viene intercettata prima.
Il vero problema non è il server, ma le statistiche e AdSense
Dal punto di vista tecnico, Cloudflare regge senza problemi questo traffico. Il problema nasce quando:
- Google Analytics registra visite anomale
- le metriche di qualità peggiorano
- Google AdSense rileva traffico poco credibile
AdSense non paga per il numero di visite, ma per la qualità. Traffico automatico da paesi lontani, senza interazioni, può abbassare RPM e valore degli annunci.
Bloccare o verificare: la strategia corretta
Cloudflare offre diverse azioni di sicurezza. La scelta giusta dipende dal paese e dal tipo di pubblico.
- Blocca: accesso negato completamente
- Verifica gestita: Cloudflare decide se far passare l’utente o fermarlo
- Verifica JS: controllo leggero, meno efficace
- Verifica interattiva: più invasiva, spesso inutile
La combinazione migliore è:
- bloccare solo i paesi senza valore
- usare verifica gestita dove possono esserci utenti reali
Paesi consigliati: cosa fare nello specifico
Blocca completamente
Paesi che generano quasi solo bot per un sito in italiano:
- Cina
- Iran
- Bangladesh
- Pakistan
- Nigeria
- Vietnam
- Indonesia
Qui il blocco totale non comporta perdite reali.
Verifica gestita
Paesi con traffico misto (bot + utenti reali):
- Russia
- Brasile
- Turchia
- Romania
- Ucraina
In questo modo i bot vengono fermati, ma i clienti reali possono accedere.
Nessuna restrizione
Da lasciare liberi:
- Italia
- Unione Europea
- Stati Uniti
- Canada
- Regno Unito
- Svizzera
Bloccarli sarebbe dannoso per SEO, servizi e pubblicità.
Come impostare le regole in Cloudflare (passo per passo)
1. Accedi al pannello Cloudflare
- Entra nel tuo account Cloudflare
- Seleziona il dominio
2. Vai alle regole di sicurezza
Percorso:
Security → WAF → Custom rules
3. Regola di blocco (esempio Cina)
Crea una nuova regola:
- Campo: Country
- Operatore: equals
- Valore: China
- Condizione: OR (se aggiungi altri paesi)
- Azione: Blocca
Salva e attiva la regola.
Importante: se aggiungi più paesi nella stessa regola, usa OR, non AND.
4. Regola di verifica gestita (esempio Russia)
Nuova regola:
- Campo: Country
- Operatore: equals
- Valore: Russia
- Condizione: OR (per aggiungere altri paesi)
- Azione: Verifica gestita
Questa è la soluzione ideale se hai clienti o visitatori reali.
5. Ordine delle regole
Assicurati che:
- le regole di blocco siano in alto
- poi quelle di verifica gestita
Cloudflare applica la prima che corrisponde.
6. Attiva la Modalità Lotta ai bot
Percorso:
Security → Bots
- Attiva Modalità Lotta ai bot
- Non disattivare le altre protezioni
Questa funzione riduce automaticamente il traffico non umano.
Perché la Cina continua a comparire in Analytics anche se bloccata
È normale. Le cause principali sono:
- ritardi nei dati di Analytics
- richieste bloccate dopo il primo contatto
- IP mascherati tramite proxy o VPN
Per verificare se il blocco funziona davvero:
- vai in Security → Events su Cloudflare
- filtra per Country = China
- controlla che l’azione sia Block
Cloudflare è la fonte tecnica affidabile, non Analytics.
FAQ – Cloudflare, bot e traffico anomalo
Bloccare un paese elimina subito le visite da Google Analytics?
No. Google Analytics può continuare a mostrare dati storici o richieste parziali. Per verificare se il blocco funziona davvero bisogna controllare i Security Events di Cloudflare, non solo le statistiche di Analytics.
Bloccare la Cina può causare problemi SEO o ad AdSense?
No, se il sito è in italiano e non ha pubblico reale in Cina. Ridurre traffico automatico migliora la qualità delle visite e può avere effetti positivi anche sul rendimento degli annunci.
Quando conviene usare il blocco totale invece della verifica gestita?
Il blocco totale è consigliato solo per paesi che generano esclusivamente bot e non hanno alcun valore reale per il sito. La verifica gestita è preferibile quando esistono possibili utenti legittimi.
Perché nelle regole Cloudflare bisogna usare OR e non AND?
Perché una richiesta può provenire da un solo paese alla volta. Usando AND la regola non scatterebbe mai e il traffico non verrebbe filtrato.
Wordfence è ancora utile se Cloudflare filtra i bot?
Sì. Cloudflare blocca il traffico a livello di rete, mentre Wordfence protegge WordPress dall’interno. Le due soluzioni svolgono ruoli diversi e complementari.
NAVIGA SICURO CON LE VPN – AMAZON
- WordPress 6.9.1 aggiornamento ufficiale: correzioni bug e fix
- Bloccare avvisi aggiornamento WordPress con interruttore nella barra admin
- Nascondere le notifiche di aggiornamento del core WordPress nell’area admin
- PHP 8.5 novità e differenze rispetto a PHP 8.4
- WordPress 6.9: novità, funzionalità e compatibilità plugin
