Коли я перший раз побачив у логах сервера запити на /wp-includes/, /phpmyadmin/ та /xmlrpc.php з IP-адрес, яких ніколи не бачив, я подумав: «Хтось намагається взломати сайт?». Так і є. Але це не одинокий хакер — це автоматизовані боти, які безперервно сканують весь інтернет, наче сонари, шукаючи слабкі місця. І ваш сайт — лише одна з тисяч точок на їхній карті.

Такі запити — не помилка, не технічний збій і вже точно не випадковість. Це систематична розвідка перед можливою атакою. У цій статті я розкажу, чому боти «стукаються» до вашого сайту, що вони шукають, яку загрозу несуть і, головне — як зробити так, щоб вони прийшли… і одразу пішли геть. Ви дізнаєтеся про реальні сценарії атак, мої власні спостереження та практичні кроки для захисту.

Зміст статті:

Що шукають підозрілі боти?

Ці боти — не просто «шум» у мережі. Вони мають чіткий алгоритм розвідки. Кожен запит типу /vendor/ або /backup.zip — частина сканування, мета якого — зібрати максимум інформації про ваш сервер.

1. Визначення CMS та технологічного стеку

Боти шукають характерні файли, щоб визначити, що використовується:

  • /wp-includes/ → WordPress;

  • /joomla/ або /administrator/ → Joomla;

  • /sites/default/ → Drupal;

  • /static/admin/ → кастомна адмінка.

⚡ Наприклад: запит на /wp-content/plugins/ одразу сигналізує, що це WordPress, і далі бот перевірятиме відомі уразливості плагінів.

2. Пошук адмін-панелей та інструментів керування

Боти масово сканують поширениі шляхи до панелей:

  • /admin/

  • /cms/

  • /phpmyadmin/

  • /mysql/

  • /panel/

👉 Приклади: я бачив понад 500 запитів за добу на /phpMyAdmin/ з різних IP — всі з однаковою метою: знайти вразливу панель управління БД.

3. Пошук відомих уразливих файлів

Деякі файли — «золота копалка» для хакерів:

  • /xmlrpc.php — у WordPress може бути використаний для брутфорсу;

  • /backup.sql, /dump.zip — можуть містити базу даних;

  • /vendor/ — у PHP-проектах може містити composer.json із списком пакетів;

  • /config.php — доступ до конфігурації.

4. Тестування на нестандартні помилки

Боти викликають /error, /test, /debug, щоб отримати деталі сервера: версію PHP, назву хостингу, структуру каталогів. Це допомагає підготувати персоналізовану атаку.

⚠️ Важливо: навіть якщо файл не існує, сам факт відповіді з детальним повідомленням про помилку може розкрити інформацію.

Навіщо їм це потрібно?

1. Взлом адмінки для завантаження шкідливого коду

Якщо бот знаходить /admin/, він починає брутфорс паролі або шукає уразливості у формі входу. Якщо успішно — завантажує PHP-шелл або редирект.

2. Крадіжка даних користувачів

Доступ до бази даних = доступ до імен, email, хешів паролів, замовлень. Ці дані продаються на темних форумах або використовуються для фішингу.

3. Спам і SEO-паразитизм

Після взлому хакери додають приховані сторінки з ключовими словами («купити криптовалюту», «онлайн казино») або iframe з рекламою. Це підвищує рейтинг чужих сайтів за рахунок вашого домену.

4. Перетворення сайту на «зомбі» для DDoS-атак

Заражений сервер може стати частиною ботнету. Ваш хостинг почне атакувати інші сайти, через що вас можуть заблокувати.

«Ваш сайт може бути зброєю в руках хакера, навіть якщо ви про це не підозрюєте».

Що буде, якщо бот знайде уразливість?

Сценарій: сайт вразливий

  1. Бот знаходить /backup.zip → скачує архів із базою даних;

  2. Аналізує логіни адміністратора;

  3. Пробує увійти через /wp-login.php методом брутфорсу;

  4. Отримавши доступ — завантажує шелл і додає редирект на казино.

Результат: сайт блокується Google, клієнти втрачені, доводиться відновлювати з нуля.

Сценарій: сайт безпечний

Бот запитує /phpmyadmin/ → отримує 404 → переходить до наступного IP. Ніякої загрози. Самі по собі такі запити не шкідливі — це лише розвідка.

👉 Приклади: на одному з моїх проектів щодня буває 200–300 таких запитів. Але оскільки немає /admin/, /backup/, а WAF блокує підозрілі IP — ніяких наслідків.

⚠️ Важливо: регулярно аналізуйте логи. Якщо бачите серії запитів на одну й ту ж адресу — це може бути початок атаки.

Як захистити сайт від таких ботів?

1. Використовуйте WAF або Cloudflare

WAF (Web Application Firewall) фільтрує запити ще до того, як вони досягнуть сервера. Cloudflare автоматично блокує відомі шкідливі IP та підозрілі патерни запитів.

2. Обмежте доступ до адмін-панелей

  • Змініть шлях до адмінки (наприклад, не /admin/, а /dashboard-secret-2025);

  • Обмежте IP-доступ до /wp-admin/ або /phpmyadmin/;

  • Увімкніть двофакторну автентифікацію.

3. Видаляйте непотрібні файли та директорії

Не залишайте:

  • backup.zip, dump.sql у корені;

  • install/, setup/ після налаштування;

  • phpinfo.php або тестові файли.

4. Моніторинг логів та активності

Налаштуйте сповіщення про:

  • велику кількість 404-помилок за короткий час;

  • запити з однакового IP на критичні шляхи;

  • зміни у файлах через інструменти типу Logwatch або Fail2ban.

«Чим менше слідів — тим менше шансів стати мішенню».

Часто задавані питання (FAQ)

Чи нормально, що на мій сайт «стукаються» боти?

Так, це абсолютно нормально. Будь-який сайт у мережі стає мішенню. Головне — щоб вони нічого не знайшли.

Чи можна повністю зупинити такі запити?

Повністю — ні. Але можна значно зменшити їх вплив через WAF, блокування IP та приховування слабких місць.

Чи небезпечний запит на /xmlrpc.php?

Сам по собі — ні. Але якщо файл існує і не захищений, його можуть використати для брутфорсу. Рекомендую вимкнути або обмежити доступ.

Чи потрібно ховати назву CMS?

Так. Наприклад, у WordPress можна видалити метатег generator і приховати версію. Це ускладнює роботу ботам.

Що робити, якщо бот знайшов backup.zip?

Негайно видаліть файл, змініть паролі, перевірте, чи не було доступу. Надалі не залишайте бекапи у веб-доступі.

Мій досвід

⚠️ Один із моїх клієнтів мав сайт на WordPress. У логах я помітив сотні запитів на /wp-json/ і /xmlrpc.php. На перший погляд — нічого страшного. Але через тиждень сайт почав редиректити на порносайт. Причина? Бот знайшов xmlrpc.php, провів брутфорс і увійшов під адміном з паролем "123456".

Ми видалили шкідливий код, змінили всі паролі, вимкнули xmlrpc і додали Cloudflare. З того моменту — жодної успішної атаки.

👉 Мораль: боти не зупиняються. Але ви можете зробити так, щоб ваш сайт був «непрожовчим горіхом».

Висновки

Підозрілі боти, які «стукаються» до вашого сайту, — це не виняток, а норма. Вони шукають уразливості, щоб використати ваш ресурс для взлому, крадіжки даних або спаму. Але самі по собі вони безпечні — поки ви не даєте їм шансу.

Головне правило: приховуйте слабкі місця, оновлюйте системи, використовуйте захист на рівні мережі та регулярно моніторьте активність.

«Боти не шукають вас. Вони шукають помилки. І якщо їх немає — ви невидимі».

Готові замовити послугу?

👉 Надаю аудит безпеки сайту, налаштування WAF, очистку від шкідливого коду та консультації з захисту. Напишіть мені — і я допоможу вашому сайту стати недосяжним.