Quando você olha para o painel de estatísticas do seu site e vê mil visitas por dia, uma parcela significativa dessas visitas nunca existiu — pelo menos não como você imagina. Não foi um ser humano que abriu o navegador, leu o seu conteúdo e tomou uma decisão. Foi um programa automatizado, rodando sem parar, acessando suas páginas, consultando seu banco de dados e consumindo os recursos do servidor pelo qual você paga todo mês.
Segundo o Relatório de Bots Maliciosos 2026 da Thales — a maior pesquisa anual sobre tráfego automatizado na internet, agora em sua 13ª edição consecutiva — bots já respondem por 53% de todo o tráfego web. O tráfego humano caiu para 47% e continua em queda. Dos 53% automatizados, 40% são bots maliciosos — um aumento de 3 pontos percentuais em relação ao ano anterior. Isso significa que dois quintos de todo o tráfego da internet está ativamente causando dano.
Para donos de sites hospedados, esse número tem uma consequência muito concreta: recursos sendo consumidos sem gerar nenhum resultado.
Conteúdo
O que é um bot, afinal?
Um bot é simplesmente um programa de computador que realiza tarefas automatizadas na internet. Nem todo bot é ruim — os “spiders” do Google que indexam seu site são bots, por exemplo. Esses são chamados de bots legítimos ou benignos.
O problema são os bots maliciosos. O relatório da Thales classifica o tráfego automatizado em três categorias:
Bots benignos (13% do total): rastreadores de mecanismos de busca, verificadores de disponibilidade, ferramentas de monitoramento. Esses são úteis e necessários.
Bots maliciosos (40% do total): programas criados para realizar ações prejudiciais — desde scraping de conteúdo e tentativas de invasão até fraude de cliques, preenchimento de formulários automatizado e ataques de força bruta.
Agentes de IA (categoria nova em 2026): sistemas de IA que navegam autonomamente, coletam dados e executam tarefas em nome de usuários. Essa é a categoria que mais cresceu — ataques de bots com IA aumentaram 12,5 vezes em 2025 em relação ao ano anterior.
Como bots maliciosos prejudicam sua hospedagem
O impacto mais imediato e menos discutido dos bots maliciosos é o consumo de recursos do servidor.
Pense no comportamento de um visitante humano: ele acessa uma página, passa dois ou três minutos lendo, clica em um link e navega para outra seção. Esse ritmo gera uma carga previsível e gerenciável no servidor.
Agora pense no comportamento de um bot agressivo: ele pode acessar 50 páginas em dois segundos, cada uma gerando uma consulta ao banco de dados, processamento PHP, carregamento de arquivos e registro de log. Um único bot pode gerar o equivalente ao tráfego de centenas de usuários humanos — sem jamais converter, comprar ou se tornar um cliente.
Em ambientes de hospedagem compartilhada, esse impacto é amplificado. Os recursos do servidor — CPU, memória RAM, conexões de banco de dados — são divididos entre múltiplos clientes. Quando bots sobrecarregam um site, os outros sites no mesmo servidor também sofrem. É por isso que plataformas como CloudLinux utilizam isolamento por conta (LVE — Linux Virtual Environment): para garantir que o tráfego excessivo de um site não degrade os demais.
O efeito prático para o dono do site inclui:
Lentidão: páginas demoram mais para carregar porque os recursos estão sendo consumidos por requisições automatizadas que nunca vão converter.
Limite de bandwidth consumido: em planos com limite de transferência, bots consomem sua cota sem gerar resultado algum.
Banco de dados sobrecarregado: cada requisição de bot que gera uma consulta SQL concorre com os usuários reais pelo mesmo recurso.
Logs poluídos: dificulta identificar comportamento real dos visitantes e detectar problemas legítimos.
Risco de blacklist: bots que usam seu servidor como intermediário podem fazer seu IP aparecer em listas de bloqueio de spam.
Infográfico
O que os bots maliciosos estão fazendo no seu site
O relatório da Thales identifica os principais tipos de ataque automatizado em 2025:
Automação geral (29% dos ataques): varredura em busca de vulnerabilidades, coleta de dados, mapeamento da estrutura do site. É o tipo mais comum — bots que simplesmente exploram tudo que encontram.
Scraping de conteúdo: cópia automatizada do conteúdo do seu site para uso em outros lugares, sem autorização. Afeta tanto o desempenho quanto o SEO.
Credential stuffing: tentativas automatizadas de login usando combinações de usuário e senha vazadas de outros sites. Alveja páginas de login do WordPress, áreas de membros e painéis administrativos.
Account takeover (ATO): em 2024, ataques de tomada de conta aumentaram 40% impulsionados por bots com IA. Em 2025, o número continuou crescendo.
Ataques a APIs: 27% de todos os ataques de bots têm como alvo endpoints de API — incluindo a REST API do WordPress, que é amplamente utilizada por plugins e temas.
Form spam: preenchimento automatizado de formulários de contato, cadastro e comentários. Além de gerar spam, consome processamento e pode acionar disparadores de e-mail.
Por que os bots estão ficando mais difíceis de detectar
Até pouco tempo atrás, identificar um bot era relativamente simples: endereços IP suspeitos, user-agents fora do padrão, padrões de requisição muito rápidos.
Isso mudou. Bots maliciosos agora operam através de navegadores legítimos, fingerprints válidos, proxies residenciais e padrões de interação semelhantes aos humanos. Como resultado, bots maliciosos se misturam perfeitamente ao tráfego normal.
A IA acelerou esse processo de forma dramática. Bots modernos:
- Alteram endereços IP automaticamente para evitar bloqueios por reputação
- Simulam movimentos de mouse e pausas entre cliques
- Resolvem CAPTCHAs usando serviços especializados ou IA
- Distribuem as requisições ao longo do tempo para parecerem humanos
- Usam redes residenciais reais (proxies) para mascarar a origem
O resultado é que estratégias simples de bloqueio — como bloquear IPs suspeitos ou usar rate limiting básico — não são mais suficientes. Detecção comportamental e análise de contexto são necessárias.
O problema do tráfego de IA legítimo
O relatório de 2026 introduz uma complicação nova: a distinção entre bots maliciosos e agentes de IA legítimos está se tornando cada vez mais difícil de fazer.
Ferramentas como o ChatGPT (SearchGPT), o Perplexity, o Google Gemini e o Claude navegam ativamente em sites para coletar informações e responder perguntas dos usuários. Esses são bots legítimos — mas se comportam de forma muito similar aos maliciosos: acessam muitas páginas rapidamente, não convertem e consomem recursos.
Para donos de sites, isso cria uma decisão de gestão: bloquear todo o tráfego automatizado pode prejudicar sua visibilidade nos mecanismos de busca baseados em IA. Permitir tudo indiscriminadamente significa arcar com os custos de recursos.
A solução é um controle granular — algo que vai além do simples bloqueio e envolve identificar a intenção do tráfego automatizado.
Como proteger seu site e sua hospedagem
1. Cache agressivo com LiteSpeed
O LiteSpeed Web Server, presente nos planos de hospedagem da Homehost, tem uma vantagem significativa contra bots: páginas em cache são servidas diretamente pelo servidor web, sem acionar o PHP ou consultar o banco de dados. Um bot que acessa uma página em cache consome uma fração ínfima dos recursos de um acesso não cacheado.
Ativar o LiteSpeed Cache no WordPress e configurar cache para usuários não logados reduz drasticamente o impacto do tráfego automatizado no desempenho do site.
2. Rate limiting
Configurar limites de requisição por IP é uma das proteções mais eficazes contra bots simples. No nível do servidor, isso pode ser feito via .htaccess ou configurações do LiteSpeed. No nível de aplicação, plugins de segurança para WordPress como Wordfence e Solid Security oferecem rate limiting integrado.
Uma regra simples: limitar cada IP a no máximo 30–60 requisições por minuto elimina a maioria dos bots sem impactar visitantes humanos.
3. Proteção da página de login
A página de login do WordPress (/wp-login.php) é o alvo favorito de ataques de credential stuffing. Medidas eficazes:
- Mover o URL de login para um endereço personalizado
- Bloquear acessos ao
/wp-login.phppor IP após um número definido de tentativas - Ativar autenticação de dois fatores para todos os usuários administradores
- Bloquear
xmlrpc.phpse não utilizar aplicativos que dependem dessa interface
4. Web Application Firewall (WAF)
Um WAF analisa o tráfego antes de chegar à aplicação e bloqueia padrões conhecidos de ataque. O Cloudflare oferece um WAF gratuito no plano básico que cobre a maioria das assinaturas de bots comuns. Para sites WordPress, o Wordfence tem um WAF integrado com regras atualizadas continuamente.
5. Bloqueio de user-agents conhecidos
Bots menos sofisticados ainda se identificam por user-agents reconhecíveis. Uma lista de bloqueio básica no .htaccess pode reduzir uma parcela do tráfego indesejado sem configuração complexa.
6. Monitoramento do tráfego real
Ferramentas como o Google Search Console mostram o que o Googlebot está indexando. O Google Analytics 4 com configuração adequada filtra parte do tráfego de bots. Para análise mais precisa, o Cloudflare Analytics mostra o tráfego antes da filtragem — o que frequentemente revela uma proporção surpreendentemente alta de requisições automatizadas.
O que esperar nos próximos anos
O relatório da Thales é explícito: a tendência não vai reverter. O tráfego humano continua a declinar como proporção da atividade total na internet. A IA vai acelerar esse processo — agentes autônomos que navegam, pesquisam e executam tarefas em nome de usuários são o próximo estágio, e eles já estão aqui.
Para donos de sites, isso significa que a gestão de tráfego automatizado deixa de ser um problema de segurança periférico e se torna parte da operação regular do site. Assim como você gerencia atualizações de plugins e backups, monitorar e controlar o tráfego de bots vai se tornar uma tarefa de manutenção padrão.
A boa notícia é que hospedagem bem configurada — com LiteSpeed, cache agressivo, WAF e rate limiting — absorve a maior parte desse tráfego sem impacto significativo para os usuários humanos reais. O segredo está em garantir que os recursos do servidor sirvam as pessoas que realmente importam para o seu negócio.
Resumo: o que fazer agora
| Ação | Impacto | Dificuldade |
|---|---|---|
| Ativar LiteSpeed Cache no WordPress | 🔴 Alto | Baixa |
| Configurar rate limiting básico | 🔴 Alto | Média |
Proteger /wp-login.php | 🔴 Alto | Baixa |
| Ativar WAF (Cloudflare ou Wordfence) | 🟡 Médio-alto | Baixa |
| Monitorar proporção de tráfego real | 🟡 Médio | Baixa |
| Bloquear user-agents conhecidos | 🟢 Complementar | Média |
Fontes
- Thales 2026 Bad Bot Report: Bad Bots in the Agentic Age: https://cpl.thalesgroup.com/blog/application-security/bad-bots-in-the-agentic-age
- Imperva Bad Bot Report 2026 (blog): https://www.imperva.com/blog/bad-bot-report-2026-bots-agentic-age/
- Help Net Security — Bad bots make up 40% of internet traffic: https://www.helpnetsecurity.com/2026/04/30/thales-ai-driven-bot-traffic-rise-report/
- Business Wire — AI-driven Bot Attacks Surged 12.5x According to Thales Bad Bot Report: https://www.businesswire.com/news/home/20260428783532/en/AI-driven-Bot-Attacks-Surged-12.5x-According-to-Thales-Bad-Bot-Report
A Homehost oferece hospedagem de sites com LiteSpeed Web Server, CloudLinux com isolamento LVE e suporte técnico especializado. Nossos planos incluem infraestrutura otimizada para manter seu site rápido mesmo diante de tráfego automatizado elevado. Conheça nossos planos de hospedagem.
