Каждый день тысячи сайтов получают фейковые заявки от ботов. Менеджеры тратят время на обработку мусора, CRM захламляется, а реальные клиенты теряются в потоке спама. Как понять, что ваш сайт под атакой — и как это остановить?
В этом гайде — 12 конкретных признаков бот-атаки на формы и пошаговый план защиты, который можно реализовать за 24 часа.
Часть 1: Диагностика — 12 признаков атаки
Разделим признаки на три категории: поведенческие аномалии, технические индикаторы и бизнес-метрики.
Поведенческие аномалии
Технические индикаторы
Бизнес-метрики
Часть 2: План защиты за 24 часа
Защиту выстраиваем слоями: от простых мер к сложным. Каждый слой отсекает часть ботов.
Часы 0-4: Экстренные меры
Часы 4-12: Базовая защита
Часы 12-24: Продвинутая защита
Частые ошибки при защите форм
CAPTCHA отсекает часть простых скриптов, но плохо работает против дешёвых solver-сервисов, headless-браузеров и ручных ферм. Для форм лучше сочетать rate limit, honeypot-поля, JS-токен, поведенческие признаки и проверку качества лида.
Начните с времени заполнения формы, доли фейковых email/телефонов, повторяющихся User-Agent, ночных всплесков и IP-подсетей. Если несколько признаков совпадают одновременно, это почти всегда автоматизированный спам.
Добавьте лимиты на отправку формы, honeypot-поле, базовую валидацию телефона/email, алерты в CRM и временный challenge для подозрительных отправок. После стабилизации уже стоит внедрять WAF-правила и скоринг поведения.
Не блокируйте всех подряд. Введите мягкие режимы: audit/logging, дополнительные проверки только для подозрительных сессий, allowlist для рекламных кабинетов и ручную проверку спорных лидов перед полным block-режимом.
Что делать дальше
После экстренной защиты переходите к системной работе:
- Полный гид по защите от ботов и нечестной конкуренции — базовые принципы
- Почему CAPTCHA не спасает — современные обходы и альтернативы
- Очистка CRM от фейковых лидов — как навести порядок в воронке
- Боты и отказы — как атаки влияют на поведенческие факторы