Développement PrestaShop

Contrôle des visiteurs : bloquer les bots malveillants et le trafic indésirable

David Miller Publié : 14/06/2026 Créé : 28/02/2026 Mis à jour : 28/05/2026 Développement PrestaShop

Entre 40 % et 60 % de tout le trafic web est automatisé — des bots, des crawlers et des scripts qui visitent votre boutique pour diverses raisons. Certains sont bénéfiques : Googlebot indexe vos pages pour les résultats de recherche. Beaucoup ne le sont pas : les scrapers copient vos données produits, les attaques par bourrage d'identifiants essaient des mots de passe volés, et les spam bots créent de faux comptes. Ce trafic indésirable consomme des ressources serveur, ralentit votre boutique pour les vrais clients et pollue vos analyses.

Bons bots vs Mauvais bots

Bons bots (Autoriser ceux-ci)

Crawlers de moteurs de recherche : Googlebot, Bingbot, Yandex, DuckDuckBot — ceux-ci indexent votre boutique pour les résultats de recherche. Les bloquer détruit votre SEO.
Crawlers de réseaux sociaux : Facebook, Twitter/X, LinkedIn, Pinterest — ceux-ci génèrent des aperçus de liens quand vos URLs sont partagées.
Bots de vérification de paiement : PayPal, Stripe et d'autres fournisseurs de paiement peuvent vérifier votre site.
Bots de monitoring : Les services de surveillance de disponibilité que vous avez configurés (UptimeRobot, Pingdom, etc.).

Mauvais bots (Bloquer ceux-ci)

Scrapers de prix : Outils automatisés de concurrents qui copient vos données produits, prix et images. Ils consomment de la bande passante et donnent aux concurrents un accès en temps réel à votre stratégie de prix.
Scrapers de contenu : Bots qui copient vos descriptions de produits, contenus de blog et images pour les utiliser sur d'autres sites. Cela peut créer des problèmes de contenu dupliqué pour votre SEO.
Bourrage d'identifiants : Bots qui essaient des listes de combinaisons nom d'utilisateur/mot de passe volées contre votre page de connexion, espérant que certains clients réutilisent des mots de passe de sites piratés.
Spam bots : Créent de faux comptes, soumettent des formulaires de contact avec du spam, publient de faux avis ou abusent de votre inscription newsletter.
Scanners de vulnérabilités : Outils automatisés sondant les failles de sécurité — cherchant des pages admin exposées, des exploits CMS courants, des points d'injection SQL.
Bots de fraude publicitaire : Cliquent sur vos annonces payantes à répétition pour épuiser votre budget publicitaire sans aucune intention d'achat.

Identifier le trafic des mauvais bots

Anomalies dans les analyses

Vérifiez vos analyses pour des schémas suspects :

Trafic inhabituellement élevé vers des pages spécifiques (comme /login ou /contact-us)
Taux de rebond très élevés (99 %+) depuis des sources de trafic spécifiques
Pic de sessions d'une durée de 0 seconde
Distribution géographique inhabituelle (beaucoup de trafic depuis des pays que vous ne desservez pas)
Schémas de sessions identiques (mêmes pages visitées dans le même ordre, même timing)

Logs du serveur

Vos journaux d'accès serveur montrent chaque requête, y compris la chaîne User-Agent. Recherchez :

Requêtes sans User-Agent ou avec des User-Agents génériques/suspects
Taux de requêtes extrêmement élevé depuis des adresses IP uniques
Crawling séquentiel de toutes les pages produits (comportement typique de scraper)
Requêtes répétées vers /login, /password-recovery ou /create-account

Stratégies de protection

robots.txt

La ligne de défense la plus simple. Votre fichier robots.txt indique aux bots bien élevés quelles pages éviter. Les bons bots respectent robots.txt ; les mauvais bots l'ignorent. Mais il reste utile pour réduire la charge de crawl des crawlers légitimes sur les pages qui n'ont pas besoin d'être indexées (panier, paiement, pages de résultats de recherche).

Limitation de débit

Limitez le nombre de requêtes qu'une seule adresse IP peut effectuer par minute. Un vrai client charge peut-être 5-10 pages par minute. Un bot peut en charger 100. Fixez une limite (par ex. 30 requêtes par minute par IP) et renvoyez une réponse 429 (Too Many Requests) quand elle est dépassée.

La limitation de débit peut être implémentée au niveau du serveur web (nginx, Apache) ou via un CDN/WAF comme Cloudflare.

Cloudflare ou WAF similaire

Un Web Application Firewall (WAF) se place entre votre boutique et Internet, filtrant le trafic avant qu'il n'atteigne votre serveur. Cloudflare (même avec le plan gratuit) fournit :

Détection et blocage des bots connus
Protection DDoS
Règles de limitation de débit
Vérification d'intégrité du navigateur (défie les requêtes qui ne ressemblent pas à de vrais navigateurs)
Base de données de réputation IP (les IPs connues comme mauvaises sont automatiquement défiées)

CAPTCHA sur les formulaires clés

Protégez les formulaires les plus ciblés par les bots : inscription, connexion, contact et inscription newsletter. reCAPTCHA v3 fournit une protection invisible qui n'affecte pas les vrais utilisateurs tout en bloquant les soumissions automatisées.

Blocage d'IP

Pour les mauvais acteurs persistants, bloquez leurs adresses IP ou plages d'IP. Cela peut être fait via .htaccess, le pare-feu du serveur, les règles Cloudflare ou des modules PrestaShop. Les outils de bannissement d'IP dans PrestaShop gèrent cela au niveau de l'application.

Soyez prudent avec le blocage d'IP — les IPs dynamiques signifient que l'adresse pourrait être utilisée par un client légitime demain. Bloquez les plages d'IP uniquement quand vous êtes sûr qu'elles proviennent de fournisseurs d'hébergement ou de services VPN utilisés par des bots, pas de FAI résidentiels.

Techniques de pot de miel

Ajoutez des liens cachés ou des champs de formulaire invisibles pour les vrais utilisateurs mais suivis/remplis par les bots. Quand un bot interagit avec ces éléments pot de miel, vous savez que ce n'est pas un humain et pouvez le bloquer. C'est une méthode de détection passive qui attrape les bots sans aucun impact sur les vrais visiteurs.

Impact du trafic bot sur votre entreprise

Performance du serveur : Les bots consomment CPU, mémoire et bande passante. Sur l'hébergement mutualisé ou les VPS modestes, un trafic bot important peut ralentir votre boutique pour les vrais clients.
Précision des analyses : Les visites de bots gonflent vos chiffres de trafic, diminuent les taux de conversion et créent des rapports trompeurs. Les décisions basées sur des données polluées par les bots sont peu fiables.
Coûts publicitaires : Si des bots cliquent sur vos annonces (fraude au clic), vous payez pour un trafic qui ne convertira jamais. Google et Facebook ont une détection de fraude mais elle n'est pas parfaite.
Exposition des données : Les scrapers copient votre intelligence concurrentielle — prix, niveaux de stock, nouvelles fiches produits — et la donnent aux concurrents en temps réel.
Risque de sécurité : Le scan de vulnérabilités et le bourrage d'identifiants sont souvent des précurseurs d'attaques réelles. Bloquer ces sondes tôt fait partie de votre stratégie de sécurité de boutique.

Une approche pratique

Vous n'avez pas besoin d'une protection bot de niveau entreprise pour une petite boutique. Une approche pratique et multicouche :

Utiliser le tier gratuit de Cloudflare : Amélioration instantanée du filtrage des bots sans aucun coût.
Configurer robots.txt correctement : Bloquer l'accès à l'admin, au panier et aux autres pages non publiques pour tous les crawlers.
Ajouter reCAPTCHA aux formulaires clés : Inscription, connexion, contact, newsletter.
Surveiller les logs serveur mensuellement : Chercher les schémas inhabituels et bloquer les récidivistes.
Filtrer le trafic bot dans les analyses : Google Analytics dispose d'une option de filtrage des bots. Activez-la pour des données plus propres.

Cette combinaison arrête la majorité du trafic de mauvais bots avec un effort de configuration minimal et aucun impact sur les clients légitimes. Pour les boutiques avec des problèmes spécifiques de scraping ou d'attaques, passez à une limitation de débit plus agressive, des règles WAF personnalisées ou des services de gestion de bots dédiés.

Tags : PrestaShop Sécurité SEO

David Miller

Plus d'une décennie d'expertise pratique PrestaShop. David développe des modules e-commerce haute performance axés sur le SEO, l'optimisation du passage en caisse et la gestion de boutique. Passionné par le code propre et les résultats mesurables.

Cookie	Fournisseur	Finalité	Durée
PrestaShop-*	PrestaShop	Gestion de session et fonctionnalité du panier	Session
PHPSESSID	PHP	Identifiant de session PHP	Session
mprcr_consent	MPR Cookies Revolution	Enregistre les préférences de consentement des cookies	365 jour(s)
mprcr_version	MPR Cookies Revolution	Suit la version de la configuration du consentement	365 jour(s)

Cookie	Fournisseur	Finalité	Durée
TawkConnectionTime	Tawk.to	Suit le temps de connexion de la session de chat	Session
__tawkuuid	Tawk.to	Identifie les visiteurs récurrents du chat	6 mois

Cookie	Fournisseur	Finalité	Durée
_ga	Google Analytics	Distingue les utilisateurs uniques en attribuant un numéro généré aléatoirement	2 année(s)
_ga_*	Google Analytics	Utilisé pour maintenir la session entre les requêtes de pages	2 année(s)
_gid	Google Analytics	Distingue les utilisateurs uniques pendant 24 heures	24 heure(s)