Qualche mese fa ho ricevuto una chiamata da un cliente in panico. Il suo sito WordPress era diventato improvvisamente lento, le analytics mostravano un picco di traffico inspiegabile e i costi di hosting stavano lievitando. Il mio primo pensiero è stato un attacco DDoS. Il secondo, più realistico: bot.
Avevo ragione. Analizzando il traffico con gli strumenti di Kinsta, ho scoperto che oltre il 60% delle “visite” non erano umane. Crawler AI, scraper, bot automatizzati che colpivano pagine dinamiche centinaia di volte al giorno. Il sito stava essenzialmente lavorando il triplo per servire visitatori che non avrebbero mai comprato nulla, letto un articolo o compilato un modulo di contatto.
Questa non è un’eccezione. È la nuova normalità. E dopo aver gestito questa situazione su decine di siti clienti attraverso Codeable, ho sviluppato un approccio chiaro per affrontarla.
Il Problema: La Maggior Parte del Tuo Traffico Non È Umano
Parliamoci chiaro: se gestisci un sito WordPress nel 2026, una porzione significativa del tuo traffico è automatizzato. Non sto parlando di Googlebot o Bingbot — quelli sono bot “buoni” che indicizzano il tuo sito per i motori di ricerca. Parlo di tutto il resto.
I crawler AI sono esplosi. Da quando ChatGPT, Claude, Gemini e Perplexity sono diventati strumenti quotidiani per milioni di persone, i bot che alimentano questi servizi scansionano il web in modo aggressivo. GPTBot, ClaudeBot, CCBot, ByteSpider — ognuno di questi passa ripetutamente sul tuo sito per raccogliere dati di addestramento o servire risposte in tempo reale. Secondo un recente report basato su 10 miliardi di richieste analizzate, il traffico bot legato all’intelligenza artificiale è cresciuto in modo esponenziale nell’ultimo anno.
Gli scraper tradizionali non sono spariti. Bot che copiano contenuti, scraper di prezzi per i concorrenti, bot di spam che cercano form vulnerabili, scanner di sicurezza automatizzati — tutto questo continua come prima, più i nuovi arrivati AI.
Il risultato concreto per il tuo sito:
- Performance degradata. Ogni richiesta bot consuma risorse server — PHP, database, memoria. Se il tuo sito riceve centinaia di richieste bot al minuto, è come avere centinaia di visitatori fantasma che rallentano l’esperienza per quelli reali.
- Analytics falsate. Le tue metriche di traffico sono gonfiate. Quel picco di visite che ti ha reso felice la settimana scorsa? Potrebbe essere stato il 50% bot. Le decisioni di business basate su dati inquinati sono decisioni sbagliate.
- Costi hosting più alti. Su molti provider, il traffico bot conta come traffico reale. Più visite (anche automatizzate) = piano hosting più costoso. Stai pagando per servire contenuti a macchine che non ti porteranno mai un centesimo.
- Rischi di sicurezza. Non tutti i bot sono innocui. Alcuni cercano vulnerabilità, tentano accessi brute force alla tua pagina di login, o sondano i tuoi endpoint API alla ricerca di falle.
Perché “Installa un Plugin di Sicurezza” Non Basta Più
La vecchia risposta a questo problema era installare un plugin di sicurezza come Wordfence o Sucuri e dimenticarsene. E per anni, ha funzionato abbastanza bene. I bot erano più semplici, meno numerosi e più facili da identificare.
Nel 2026, la situazione è diversa. I bot moderni — specialmente quelli legati all’AI — sono sofisticati. Imitano il comportamento di un utente reale, ruotano gli IP, cambiano user agent, e alcuni usano browser headless che sono quasi indistinguibili dal traffico umano. Un plugin di sicurezza a livello applicativo fatica a gestire tutto questo perché interviene troppo tardi nel processo: la richiesta ha già raggiunto il tuo server, consumato risorse PHP e colpito il database prima che il plugin possa decidere se bloccarla.
La protezione efficace deve avvenire a livello di infrastruttura — prima che la richiesta tocchi il tuo server WordPress. Ed è esattamente qui che la scelta dell’hosting fa la differenza.
Come Kinsta Gestisce il Traffico Bot (E Perché Lo Raccomando)
Una delle ragioni per cui continuo a standardizzare i siti dei miei clienti su Kinsta è la loro gestione del traffico automatizzato. Non è un ripensamento o un add-on a pagamento — è integrato nell’infrastruttura.
Bot Protection integrato in MyKinsta
Kinsta ha introdotto uno strumento di Bot Protection direttamente nella dashboard MyKinsta. Funziona così:
Quattro livelli di protezione preimpostati. Non devi essere un esperto di sicurezza per configurarlo. Puoi scegliere tra livelli crescenti di protezione — dal blocco del traffico chiaramente malevolo fino alla verifica di ogni singolo visitatore. Ogni livello è applicabile per singolo ambiente (produzione, staging), quindi puoi essere più aggressivo sugli ambienti di staging senza rischiare di bloccare utenti reali in produzione.
Punteggi bot di Cloudflare. Il traffico viene analizzato in tempo reale usando i punteggi bot di Cloudflare. Ogni richiesta riceve un punteggio che indica la probabilità che provenga da un bot. Le richieste sospette vengono sfidate con un CAPTCHA — se sei un utente reale, lo superi senza problemi. Se sei un bot, vieni bloccato.
I bot verificati passano sempre. Questa è la parte cruciale: Googlebot, Bingbot e gli altri crawler dei motori di ricerca riconosciuti non vengono mai bloccati, a nessun livello di protezione. La tua SEO non ne risente. Questo è un dettaglio che spesso sfugge quando si usano soluzioni di protezione generiche — bloccare troppo aggressivamente può tagliare fuori i crawler che ti servono per il posizionamento.
Blocco specifico dei crawler AI. Puoi attivare un toggle dedicato in MyKinsta per bloccare i crawler AI. Questo è particolarmente utile se non vuoi che il tuo contenuto venga usato per addestrare modelli linguistici o servito come risposta nelle interfacce AI senza che il visitatore arrivi sul tuo sito.
Controlli in blocco. Se gestisci più siti (e come sviluppatore su Codeable, spesso ne gestisco decine per vari clienti), puoi applicare e aggiornare i livelli di protezione su più siti contemporaneamente. Questo da solo mi risparmia ore di configurazione.
Analytics del traffico. MyKinsta mostra come le richieste vengono classificate — permesse, sfidate o bloccate. Questo ti dà visibilità reale su quanta parte del tuo traffico è automatizzato e su come la protezione sta funzionando.
Kinsta non ti fa pagare per il traffico bot
Questo merita un paragrafo a parte perché è una decisione significativa. Molti provider hosting contano il traffico bot come traffico normale ai fini della fatturazione. Se un crawler AI colpisce il tuo sito 50.000 volte in un mese, su molti host paghi come se avessi avuto 50.000 visitatori reali.
Kinsta ha preso una posizione diversa: non addebita ai clienti il traffico generato da bot e scraper. Se consideri che per alcuni siti il traffico bot può rappresentare il 30–50% del traffico totale, questo si traduce in un risparmio concreto e significativo.
L’infrastruttura Cloudflare enterprise fa il lavoro pesante
La protezione bot di Kinsta si appoggia sull’infrastruttura enterprise di Cloudflare, la stessa che protegge alcune delle più grandi aziende del mondo. Questo significa:
- Firewall a livello edge. Il traffico malevolo viene filtrato prima di raggiungere il tuo server — non dopo.
- Protezione DDoS. Gli attacchi distribuiti vengono mitigati automaticamente sulla rete globale di Cloudflare.
- WAF (Web Application Firewall). Regole di sicurezza aggiornate costantemente che bloccano exploit noti.
- Monitoraggio continuo. Kinsta monitora attivamente i siti per attività sospette e interviene proattivamente.
La Decisione Strategica: Bloccare o Non Bloccare i Crawler AI?
Questa è una domanda che mi fanno sempre più spesso i clienti, e la risposta non è semplice come sembra.
Quando ha senso bloccare i crawler AI
Se il tuo contenuto è il tuo vantaggio competitivo. Se hai investito migliaia di euro in contenuti originali, ricerche approfondite o dati proprietari, potresti non volere che vengano usati per addestrare modelli AI o serviti come risposte sintetiche — risposte che tengono i visitatori lontani dal tuo sito.
Se i crawler stanno impattando le performance. Ho visto crawler AI generare volumi di richieste tali da rallentare visibilmente il sito. In questi casi, il blocco non è una scelta filosofica — è una necessità tecnica.
Se i costi hosting sono legati al traffico. Su provider che fatturano per visite o bandwidth, il traffico AI può far lievitare i costi senza alcun ritorno. (Un motivo in più per considerare Kinsta, che non addebita il traffico bot.)
Quando potrebbe convenirti lasciare passare i crawler AI
Se vuoi apparire nelle risposte AI. ChatGPT, Perplexity, Google AI Overviews — tutti attingono dal web. Se blocchi i loro crawler, il tuo contenuto non apparirà nelle loro risposte. Per alcuni business, questa visibilità è preziosa. È lo stesso ragionamento che applico alla strategia del blog /insights/ di questo sito — voglio che il mio contenuto sia citato dagli assistenti AI perché questo genera traffico e autorevolezza.
Se il volume è gestibile. Non tutti i siti ricevono volumi problematici di traffico AI. Se il tuo hosting gestisce il carico senza problemi e i costi non ne risentono, il blocco potrebbe non essere necessario.
Il mio approccio
Per i siti dei miei clienti, applico una strategia differenziata:
- Siti e-commerce e ad alto traffico: Protezione aggressiva. I crawler AI non generano conversioni dirette e consumano risorse preziose.
- Siti content-driven che vogliono visibilità: Protezione selettiva. Blocco gli scraper aggressivi ma lascio passare i crawler AI principali.
- Siti sotto attacco o con performance degradate: “Challenge everyone” temporaneo fino alla stabilizzazione, poi riduco gradualmente il livello.
La configurazione su Kinsta rende questi cambiamenti istantanei — posso alzare o abbassare il livello di protezione in pochi secondi dalla dashboard MyKinsta, senza toccare codice, senza installare plugin, senza rischiare di rompere qualcosa.
Cosa Puoi Fare Subito (Anche Senza Cambiare Hosting)
Se non sei su Kinsta, ci sono comunque alcune azioni che puoi intraprendere:
Configura il file robots.txt. Puoi aggiungere direttive per bloccare specifici crawler AI:
User-agent: GPTBot
Disallow: /
User-agent: ClaudeBot
Disallow: /
User-agent: CCBot
Disallow: /Questo funziona per i bot “educati” che rispettano robots.txt. Purtroppo, molti non lo fanno.
Usa Cloudflare (anche il piano gratuito). Attiva il “Bot Fight Mode” e configura regole di sicurezza personalizzate. Questo aggiunge un livello di protezione a livello di rete, prima che il traffico raggiunga il tuo server. Se sei su Kinsta, la Bot Protection integrata rende questo step non necessario per la maggior parte dei siti.
Monitora il tuo traffico reale. Usa Google Analytics (che per definizione traccia solo traffico con JavaScript, escludendo la maggior parte dei bot) e confrontalo con le statistiche del tuo hosting. Se c’è una discrepanza significativa, hai un problema di traffico bot.
Blocca l’accesso diretto a wp-login.php e xmlrpc.php. Questi sono gli endpoint più colpiti dai bot. Limita l’accesso per IP, aggiungi l’autenticazione HTTP, o disabilita XML-RPC se non lo usi (e probabilmente non lo usi).
Il Quadro Generale: Sicurezza Come Infrastruttura, Non Come Ripensamento
La lezione più grande che ho imparato gestendo siti WordPress per oltre 20 anni è che la sicurezza efficace è un attributo dell’infrastruttura, non un plugin che installi dopo il fatto. I plugin di sicurezza hanno il loro ruolo, ma la protezione veramente robusta — contro bot, DDoS, exploit, brute force — deve avvenire a livello di rete e server, prima che il traffico malevolo tocchi la tua applicazione WordPress.
Questo è uno dei motivi fondamentali per cui raccomando Kinsta ai miei clienti. Non è solo l’hosting veloce, il CDN globale, o il supporto eccellente (tutti aspetti che ho trattato nel mio articolo sulle migrazioni hosting). È il fatto che la sicurezza è integrata a ogni livello dell’infrastruttura:
- Firewall enterprise Cloudflare che filtra a livello edge
- Protezione DDoS automatica
- Bot Protection configurabile dalla dashboard
- Container isolati (il tuo sito non condivide risorse con altri)
- Monitoraggio continuo con intervento proattivo
- Backup giornalieri automatici
- Aggiornamenti automatici dei plugin con rollback visivo
Ogni singolo elemento di questa lista è qualcosa che su altri hosting dovresti configurare manualmente, installando plugin separati, pagando servizi aggiuntivi, o semplicemente sperando per il meglio.
Quando Chiamare un Esperto
Se stai notando rallentamenti inspiegabili, picchi di traffico senza un corrispondente aumento di conversioni, o costi hosting che crescono senza motivo apparente, è il momento di fare un audit approfondito.
È il tipo di lavoro che faccio regolarmente per i clienti tramite Codeable. Un audit del traffico e della sicurezza tipicamente include: analisi del traffico reale vs bot, configurazione della protezione appropriata, ottimizzazione delle risorse server, e un piano per il monitoraggio continuativo.
Se vuoi affrontare la questione da solo, inizia con i passi che ho descritto sopra. Se preferisci avere qualcuno che se ne occupi per te, trovami su Codeable.
In Conclusione
Il traffico bot non è un problema che sparirà — anzi, con la crescita dell’AI è destinato ad aumentare. La domanda non è se il tuo sito è colpito dal traffico automatizzato, ma quanto e cosa stai facendo al riguardo.
La buona notizia è che gli strumenti per gestirlo esistono e sono sempre più accessibili. La Bot Protection di Kinsta è un esempio perfetto di come questo tipo di protezione dovrebbe funzionare: integrata nell’infrastruttura, configurabile in pochi secondi, efficace senza rompere nulla, e inclusa nel prezzo senza costi aggiuntivi.
Il tuo sito merita di servire le persone che contano — i tuoi clienti, i tuoi lettori, i tuoi utenti. Non i bot.
Sono Luca Ottolini — costruisco siti web dal 2002 e sono un Esperto WordPress Certificato Codeable. Amo creare siti web che siano sia belli che veloci. Se vuoi lavorare con me, trovami su Codeable o visita lucaottolini.com.
Strumenti e risorse menzionati in questo articolo:
- Kinsta Hosting WordPress Gestito — Hosting con Bot Protection integrata e protezione enterprise Cloudflare
- Codeable — Esperti WordPress verificati per audit di sicurezza e ottimizzazione
- Assumi me su Codeable — Il mio profilo sviluppatore
Alcuni link in questo articolo sono link affiliati. Raccomando solo prodotti e servizi che uso personalmente e di cui mi fido. Questo non influisce sul prezzo che paghi.