Vous consultez les statistiques de votre site WordPress et découvrez des visiteurs aux noms étranges : PetalBot, MJ12bot, AhrefsBot… Ils visitent des dizaines de pages, consomment les ressources de votre serveur, mais ne sont clairement pas des clients potentiels. Sont-ils amis ou ennemis ?
Le trafic des bots représente plus de 40% du trafic internet global. L’ignorer, c’est risquer de voir son site WordPress ralentir, ses statistiques faussées et même sa sécurité compromise.
Dans ce guide pratique spécialement conçu pour les utilisateurs de WordPress, nous allons démystifier le monde des bots. Vous apprendrez à différencier les robots utiles des nuisibles et, surtout, vous découvrirez les méthodes les plus efficaces pour les gérer via votre tableau de bord.
Le trafic des bots représente plus de 40% du trafic internet global. L’ignorer, c’est risquer de voir son site WordPress ralentir, ses statistiques faussées et même sa sécurité compromise.
Dans ce guide pratique spécialement conçu pour les utilisateurs de WordPress, nous allons démystifier le monde des bots. Vous apprendrez à différencier les robots utiles des nuisibles et, surtout, vous découvrirez les méthodes les plus efficaces pour les gérer via votre tableau de bord.
Qu’est-ce qu’un Bot et Pourquoi votre Site WordPress Doit s’en Préoccuper ?
Un bot (abréviation de « robot »), aussi appelé « crawler » ou « spider », est un programme automatisé conçu pour parcourir les sites web. Leurs missions sont variées, allant de l’indispensable au carrément malveillant. Pour un site WordPress, leur impact est double.
L’impact positif : les bots essentiels à votre visibilité
Certains bots sont vos meilleurs alliés. Ce sont principalement les robots des moteurs de recherche. Sans eux, votre site serait invisible.
Indexation : Googlebot parcourt vos pages et articles pour les ajouter à l’index de Google. C’est la base du référencement naturel (SEO).
Analyse SEO : Des outils comme Rank Math ou Yoast utilisent des données collectées par des bots pour vous aider à optimiser votre site.
Veille : D’autres bots vous aident à surveiller la disponibilité de votre site ou à agréger des flux d’information.
Indexation : Googlebot parcourt vos pages et articles pour les ajouter à l’index de Google. C’est la base du référencement naturel (SEO).
Analyse SEO : Des outils comme Rank Math ou Yoast utilisent des données collectées par des bots pour vous aider à optimiser votre site.
Veille : D’autres bots vous aident à surveiller la disponibilité de votre site ou à agréger des flux d’information.
L’impact négatif : quand les bots ralentissent et menacent votre site
C’est là que les choses se compliquent. Un trafic de bots non maîtrisé peut causer de sérieux problèmes sur WordPress :
Surcharge du serveur : Des bots trop agressifs peuvent envoyer des centaines de requêtes par minute, épuisant les ressources de votre hébergement (surtout sur une offre mutualisée) et ralentissant le site pour vos vrais visiteurs.
Consommation de la bande passante : Chaque page visitée par un bot consomme de la bande passante, ce qui peut engendrer des coûts supplémentaires chez certains hébergeurs.
Scraping de contenu : Des bots malveillants volent vos articles et fiches produits pour les dupliquer sur d’autres sites.
Spam : Les spambots inondent vos sections de commentaires et vos formulaires (Contact Form 7, Fluent Forms, etc.) de messages indésirables.
Recherche de failles : Des bots scannent en permanence les sites WordPress à la recherche de vulnérabilités connues (plugins non mis à jour, failles dans
Surcharge du serveur : Des bots trop agressifs peuvent envoyer des centaines de requêtes par minute, épuisant les ressources de votre hébergement (surtout sur une offre mutualisée) et ralentissant le site pour vos vrais visiteurs.
Consommation de la bande passante : Chaque page visitée par un bot consomme de la bande passante, ce qui peut engendrer des coûts supplémentaires chez certains hébergeurs.
Scraping de contenu : Des bots malveillants volent vos articles et fiches produits pour les dupliquer sur d’autres sites.
Spam : Les spambots inondent vos sections de commentaires et vos formulaires (Contact Form 7, Fluent Forms, etc.) de messages indésirables.
Recherche de failles : Des bots scannent en permanence les sites WordPress à la recherche de vulnérabilités connues (plugins non mis à jour, failles dans
wp-login.php, etc.).Le Who’s Who des Bots : Identifier les Visiteurs de votre Site WordPress
Pour agir, il faut d’abord identifier. Voici les principales familles de bots que vous croiserez.
Les « Bons » Bots Indispensables (Good Bots)
Ceux-ci sont à accueillir sans hésitation. Ne les bloquez jamais !
Googlebot
Propriétaire : Google
Rôle : Indexation pour le moteur de recherche Google. Vital pour votre SEO.
Rôle : Indexation pour le moteur de recherche Google. Vital pour votre SEO.
Bingbot
Propriétaire : Microsoft
Rôle : Indexation pour le moteur de recherche Bing.
Rôle : Indexation pour le moteur de recherche Bing.
DuckDuckBot
Propriétaire : DuckDuckGo
Rôle : Indexation pour le moteur de recherche respectueux de la vie privée DuckDuckGo.
Rôle : Indexation pour le moteur de recherche respectueux de la vie privée DuckDuckGo.
Les Bots « Gourmands » à Surveiller (Gray Bots)
Ces bots ne sont pas malveillants, mais ils sont souvent très agressifs et consomment beaucoup de ressources pour des bénéfices indirects.
AhrefsBot, SemrushBot, MJ12bot, DotBot…
Propriétaires : Ahrefs, Semrush, Majestic, Moz (des outils SEO majeurs).
Rôle : Ils parcourent le web pour analyser les backlinks, les mots-clés et la structure des sites.
Conseil de gestion : Utiles si vous utilisez ces outils, mais leur crawl intensif peut ralentir votre site. Il est souvent judicieux de les ralentir ou de les bloquer si vous n’en avez pas l’utilité.
Rôle : Ils parcourent le web pour analyser les backlinks, les mots-clés et la structure des sites.
Conseil de gestion : Utiles si vous utilisez ces outils, mais leur crawl intensif peut ralentir votre site. Il est souvent judicieux de les ralentir ou de les bloquer si vous n’en avez pas l’utilité.
Le cas spécifique de PetalBot
Propriétaire : Huawei (pour son moteur de recherche Petal Search).
Rôle : Indexation. Cependant, il est connu pour être extrêmement agressif et ignorer souvent les règles du fichier
Rôle : Indexation. Cependant, il est connu pour être extrêmement agressif et ignorer souvent les règles du fichier
robots.txt. Pour un site ciblant une audience française ou européenne, son intérêt SEO est quasi nul. Il est fortement recommandé de le bloquer.Les « Mauvais » Bots à Bloquer (Bad Bots)
Ceux-ci n’apportent aucune valeur et ne cherchent qu’à nuire ou exploiter votre site WordPress. Il est important de noter qu’une liste exhaustive est impossible car de nouveaux bots apparaissent chaque jour et beaucoup masquent leur identité. Cependant, voici une liste précise des user-agents malveillants les plus connus et fréquemment rencontrés, classés par catégorie.
Scrapers de Contenu et de Prix
Leur but est de voler votre contenu textuel et vos images pour le dupliquer (ce qui nuit à votre SEO) ou de scanner les prix de vos produits e-commerce pour vous concurrencer de manière déloyale.
Bots génériques : Bloquez les user-agents contenant des termes comme
Bytespider : Le bot du géant chinois ByteDance (TikTok). Extrêmement agressif, il consomme énormément de ressources pour un bénéfice SEO nul en Europe.DataForSeoBot : Se présente comme un bot SEO mais est principalement utilisé pour extraire massivement des données des sites web (scraping de SERP, de contenu…).GrapeshotCrawler : Un bot d’Oracle qui scanne le contenu pour la catégorisation publicitaire. Il peut être très volumineux et n’apporte aucun bénéfice direct au SEO.Scrapy : N’est pas un bot en soi, mais un framework (un ensemble d’outils) très populaire pour créer des scrapers. Beaucoup de bots de scraping personnalisés contiendront le mot « Scrapy » dans leur user-agent.Neevabot : Le bot du moteur de recherche Neeva (qui a cessé son activité grand public). Il continue de crawler mais n’apporte plus de trafic. Il est devenu inutile de le laisser accéder au site.Bots génériques : Bloquez les user-agents contenant des termes comme
masscan, zgrab, nutch, Go-http-client. Ces outils sont souvent utilisés pour du scraping à grande échelle.Spambots (Commentaires & Formulaires)
Ils ciblent vos formulaires et commentaires pour y poster des liens (black-hat SEO), des messages de phishing ou du contenu malveillant. Bien qu’ils masquent souvent leur user-agent, certains sont identifiables.
Leur principale caractéristique est leur comportement : ils postent sur des dizaines de formulaires en quelques secondes.
La meilleure défense sur WordPress n’est pas de bloquer un nom, mais d’utiliser des outils spécialisés :
Akismet : Le plugin anti-spam le plus connu, pré-installé avec WordPress. Il analyse les commentaires et les soumissions de formulaires pour les comparer à sa base de données globale de spam.
Honeypot (Pot de miel) : Une technique qui ajoute un champ invisible aux formulaires. Les humains ne le voient pas, mais les bots le remplissent. Si le champ est rempli, la soumission est automatiquement rejetée. Le plugin Honeypot for Contact Form 7 en est un bon exemple.
Leur principale caractéristique est leur comportement : ils postent sur des dizaines de formulaires en quelques secondes.
La meilleure défense sur WordPress n’est pas de bloquer un nom, mais d’utiliser des outils spécialisés :
Akismet : Le plugin anti-spam le plus connu, pré-installé avec WordPress. Il analyse les commentaires et les soumissions de formulaires pour les comparer à sa base de données globale de spam.
Honeypot (Pot de miel) : Une technique qui ajoute un champ invisible aux formulaires. Les humains ne le voient pas, mais les bots le remplissent. Si le champ est rempli, la soumission est automatiquement rejetée. Le plugin Honeypot for Contact Form 7 en est un bon exemple.
Bots de Recherche de Failles (Scanners de Vulnérabilités)
Ces bots sont parmi les plus dangereux. Ils ne s’intéressent pas à votre contenu, mais à votre code. Ils scannent en permanence des millions de sites WordPress à la recherche de la moindre porte d’entrée.
Ils testent en boucle des URL critiques :
Ils recherchent des plugins et thèmes vulnérables : Leur objectif est de trouver une version non mise à jour d’un plugin populaire (Ex: Elementor, WooCommerce, etc.) pour exploiter une faille connue.
User-agents connus à bloquer sans hésiter :
Conseil final pour cette section :
La gestion manuelle de ces bots est un combat perdu d’avance. La meilleure stratégie est d’utiliser un pare-feu applicatif (WAF) via un plugin de sécurité comme Wordfence, SecuPress ou Solid Security. Ces outils maintiennent et mettent à jour en temps réel des listes noires de bots et d’adresses IP, vous protégeant ainsi des menaces nouvelles et connues sans que vous ayez à intervenir.
Ils testent en boucle des URL critiques :
wp-login.php (attaques par force brute), xmlrpc.php, et recherchent des fichiers readme.html pour connaître votre version de WordPress.Ils recherchent des plugins et thèmes vulnérables : Leur objectif est de trouver une version non mise à jour d’un plugin populaire (Ex: Elementor, WooCommerce, etc.) pour exploiter une faille connue.
User-agents connus à bloquer sans hésiter :
Nikto : Un des scanners de vulnérabilités web les plus connus. Sa présence dans vos logs est un drapeau rouge immédiat.sqlmap : Un outil puissant qui automatise la détection et l’exploitation des failles d’injection SQL.Wget et curl : Bien que ce soient des outils en ligne de commande légitimes, ils sont très souvent utilisés dans des scripts malveillants pour tester des vulnérabilités. Un blocage prudent (en autorisant les IP légitimes si besoin) est conseillé.WPScan : Un scanner de vulnérabilités spécifique à WordPress. S’il n’est pas utilisé par vous ou votre administrateur pour un audit légitime, sa présence indique que quelqu’un essaie de trouver des failles sur votre site.Conseil final pour cette section :
La gestion manuelle de ces bots est un combat perdu d’avance. La meilleure stratégie est d’utiliser un pare-feu applicatif (WAF) via un plugin de sécurité comme Wordfence, SecuPress ou Solid Security. Ces outils maintiennent et mettent à jour en temps réel des listes noires de bots et d’adresses IP, vous protégeant ainsi des menaces nouvelles et connues sans que vous ayez à intervenir.
Guide Pratique : Maîtriser le Trafic des Bots sur WordPress
Maintenant que vous savez qui est qui, passons à l’action. Voici trois méthodes pour reprendre le contrôle, de la plus simple à la plus technique.
Méthode 1 : Utiliser une Extension de Sécurité (La Solution Recommandée)
Pour la majorité des utilisateurs WordPress, c’est la voie royale. Ces plugins fournissent un pare-feu applicatif (WAF) qui bloque automatiquement les mauvais bots connus et vous permettent de créer vos propres règles.
Wordfence (Freemium)
Comment faire : Allez dans
Wordfence > Firewall > Blocking. Dans l’onglet « Custom Pattern », entrez le nom du bot (ex: *PetalBot*) dans la section « User Agent », donnez-lui un nom, et cliquez sur « Block ». Wordfence bloque aussi nativement une grande liste de bots malveillants. Son outil « Live Traffic » est excellent pour voir en temps réel qui visite votre site.SecuPress (Freemium)
Comment faire : Dans le module « Firewall » de la version pro, vous pouvez activer la « Protection des Bad Bots » qui bloque les crawlers agressifs et indésirables.
Solid Security (anciennement iThemes Security
Comment faire : L’option « Ban Users » permet de bloquer des « user agents » facilement. La protection réseau intégrée bloque également les adresses IP malveillantes connues.
Méthode 2 : Le fichier robots.txt, la voie diplomate
Ce fichier donne des instructions aux bots « polis ». Les bots malveillants ou agressifs l’ignorent souvent, mais c’est une première étape indispensable.
Comment l’éditer sur WordPress : Le plus simple est d’aller dans
Quel code ajouter ?
Comment l’éditer sur WordPress : Le plus simple est d’aller dans
Rank Math > Réglages Généraux > Modifier le robots.txt.Quel code ajouter ?
# Ralentir les bots SEO gourmands
User-agent: AhrefsBot
Crawl-delay: 10
User-agent: SemrushBot
Crawl-delay: 10
# Bloquer les bots inutiles et agressifs
User-agent: PetalBot
Disallow: /
User-agent: MJ12bot
Disallow: /
Votre site WordPress est lent ou vous suspectez un trafic anormal ?
Le trafic des bots peut être complexe à analyser. Si vous voulez vous assurer que votre site est à la fois performant pour vos visiteurs et protégé contre les menaces automatisées, je peux vous aider.
Méthode 3 : Le fichier .htaccess (Pour les utilisateurs avancés)
Cette méthode est radicale et efficace contre les bots qui ignorent le
Où le trouver : À la racine de votre installation WordPress, via un client FTP (FileZilla) ou le gestionnaire de fichiers de votre hébergeur.
Quel code ajouter ?
robots.txt. Attention, une erreur dans ce fichier peut rendre votre site inaccessible. Faites une sauvegarde avant toute modification.Où le trouver : À la racine de votre installation WordPress, via un client FTP (FileZilla) ou le gestionnaire de fichiers de votre hébergeur.
Quel code ajouter ?
# Blocage de bots nuisibles par User-Agent
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (PetalBot|MJ12bot|AhrefsBot) [NC]
RewriteRule .* - [F,L]
</IfModule>Cette règle bloquera complètement l’accès aux bots listés.
Conclusion : Devenez le Maître du Trafic sur votre Site
Gérer le trafic des bots n’est pas une option, c’est une composante essentielle de la maintenance, de la performance et de la sécurité de tout site WordPress. En ignorant les visiteurs automatisés, vous laissez la porte ouverte aux ralentissements et aux menaces.
En utilisant les outils intégrés à WordPress comme les plugins de sécurité et le fichier
En utilisant les outils intégrés à WordPress comme les plugins de sécurité et le fichier
robots.txt, vous pouvez facilement mettre en place une stratégie de filtrage efficace : accueillir les bons, surveiller les gourmands et bloquer les mauvais. Un audit régulier de vos logs ou du trafic en direct de votre plugin de sécurité vous permettra de garder une longueur d’avance.Si je bloque un bot, est-ce que je risque de nuire à mon référencement (SEO) ?
La réponse dépend du bot que vous bloquez.
Bloquer les « mauvais bots » (scrapers, scanners de failles) et les bots « gourmands » inutiles (comme PetalBot pour une audience européenne) n’aura aucun impact négatif sur votre SEO. Au contraire, en améliorant la performance de votre site, cela peut même être bénéfique.
Bloquer les « bons bots » (Googlebot, Bingbot) est catastrophique pour votre SEO. Votre site sera désindexé et disparaîtra des résultats de recherche. Il ne faut jamais les bloquer.
Comment savoir quels bots visitent concrètement mon site WordPress ?
La méthode la plus simple sur WordPress est d’utiliser un plugin de sécurité. Wordfence, par exemple, dispose d’un outil appelé « Live Traffic » (Trafic en direct) qui vous montre en temps réel chaque visite, y compris celle des bots, avec leur nom (user-agent) et l’adresse IP. C’est le moyen le plus direct de les identifier. Pour les utilisateurs plus avancés, vous pouvez consulter les « logs d’accès » bruts de votre serveur via votre panel d’hébergement (cPanel, Plesk, etc.).
Mon site est sur un hébergement mutualisé. Suis-je plus concerné par le trafic des bots ?
Oui, absolument. Sur un hébergement mutualisé, vous partagez les ressources du serveur (processeur, mémoire RAM) avec des dizaines, voire des centaines d’autres sites. Un ou plusieurs bots agressifs qui ciblent votre site peuvent consommer une part disproportionnée de ces ressources, non seulement en ralentissant votre propre site, mais aussi celui de vos « voisins ». Une bonne gestion des bots est donc encore plus cruciale sur ce type d’hébergement.
Googlebot visite mon site trop souvent et le ralentit. Puis-je le limiter ?
Ne bloquez JAMAIS Googlebot via robots.txt ou .htaccess ! Cependant, si vous constatez que la fréquence de ses visites (le « crawl budget ») est si élevée qu’elle impacte les performances de votre serveur, il existe une méthode officielle pour le ralentir. Vous pouvez le faire directement dans votre Google Search Console, dans les paramètres d’exploration. Vous pourrez y demander à Google de réduire sa vitesse d’exploration maximale. N’utilisez cette option qu’en cas de réelle nécessité.
Est-ce que le blocage de bots peut réellement accélérer mon site ?
Oui, de manière significative. Chaque visite d’un bot, bonne ou mauvaise, est une requête que votre serveur doit traiter. En bloquant des dizaines de bots inutiles qui font des centaines de requêtes chaque jour, vous réduisez la charge de votre serveur, libérez de la mémoire et diminuez le nombre de requêtes vers votre base de données. Le résultat est un site plus rapide pour vos visiteurs humains et un back-office (wp-admin) plus réactif.
