Blog

Sobre a extensão StopBadBots

Blog Acessos: 29 0 minutes read

A extensão StopBadBots para phpBB (versão 2.0.0 dev, compatível com phpBB 3.3.x) é uma ferramenta em desenvolvimento projetada para bloquear bots maliciosos e melhorar a segurança de fóruns phpBB. Esta extensão foca em proteção contra crawlers, spiders, spam e sobrecarga no servidor, utilizando listas personalizáveis e mecanismos de bloqueio direto, sem redirecionamentos externos para DNS ou nuvem, evitando lentidão e impactos negativos em motores de busca. Aqui vai um resumo mais detalhado das funcionalidades de segurança, baseado em descrições atualizadas de 2025, com foco em aspectos específicos como listas, bloqueios, logs e integrações:Bloqueio de Bots Maliciosos

  • Bloqueia milhares de bots indesejados por meio de listas editáveis:
    • bots.txt: Para bloqueio baseado em user-agent (ex.: identifica e bloqueia crawlers como AhrefsBot, SemrushBot, DotBot, BLEXBot ou MajesticBot que consomem largura de banda ou roubam conteúdo).

Ícone O conteúdo gerado por IA pode estar incorreto.

    • botip.txt: Para bloqueio por endereço IP específico, incluindo IPs suspeitos de origens maliciosas ou botnets.
    • botsref.txt: Para bloqueio por referer (referral spam), prevenindo acessos falsos que simulam tráfego de sites maliciosos.

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Suporte a importação de listas padrão, incluindo listas específicas da extensão, permitindo atualizações manuais ou automáticas para incluir novos bots conhecidos.
  • Bloqueio seletivo de visitantes por região ou país, sem necessidade de bancos de dados pesados de IPs, ajudando a mitigar tráfego de áreas com alto índice de bots (ex.: bloqueio de origens como China ou Rússia se configurado).
  • Capacidade de adicionar bots individualmente via painel, com opções para bloquear user-agents, IPs ou referers específicos de forma granular.

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Previne roubo de conteúdo e danos ao SEO ao detectar e bloquear bots falsos que se disfarçam de crawlers legítimos (ex.: falsos Googlebots ou Bingbots).

Proteção contra Spam, DDoS e Ataques

  • Medidas anti-spam integradas para formulários de registro, login, postagens e tópicos, reduzindo inscrições automáticas e spam em mensagens (ex.: bloqueia bots que tentam postar links indesejados ou conteúdo repetitivo).

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Proteção implícita contra DDoS via limitação de taxa (rate limiting) para acessos excessivos de bots, interceptando sobrecargas antes de afetarem o desempenho do fórum.
  • Suporte a firewalls via .htaccess para bloquear bots no nível do servidor, incluindo detecção de user-agents maliciosos e prevenção de brute force em páginas de login.

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Integração com CAPTCHAs existentes do phpBB (ex.: Q&A CAPTCHA ou campos personalizados) para diferenciar humanos de bots em registros e postagens.

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Bloqueio de ferramentas HTTP maliciosas e queries suspeitas, com opções para desabilitar acessos a recursos sensíveis como XML-RPC se adaptado.

Logs, Alertas e Monitoramento

  • Logs aprimorados de bloqueios, registrando detalhes como user-agent, IP, referer, data/hora e motivo do bloqueio, com exportação em formato CSV para análise externa.

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Estatísticas de bloqueios, incluindo contagens diárias/mensais e gráficos interativos para visualizar padrões de ataques (ex.: número de bots bloqueados por tipo).
  • Função de busca nos logs por bot específico (user-agent, IP ou referer), facilitando a identificação de ameaças recorrentes.

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Visão geral otimizada com lista completa de todos os bots detectados, permitindo adicionar itens a blacklists ou whitelists com um clique.
  • Alertas para ameaças detectadas, com integração possível a e-mails ou notificações no painel de administração.
  • Opção para restaurar configurações padrão, limpando listas personalizadas se necessário.

Integrações e Recursos Adicionais

  • Tarefa Cron integrada para automação de tarefas, como atualizações de listas, limpeza de logs ou verificações periódicas de segurança.

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Compatível com outras extensões anti-spam do phpBB, como Akismet ou Stop Forum Spam, para camadas extras de proteção (ex.: consulta a bancos de dados externos para IPs conhecidos como spammers).

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Suporte a whitelists para permitir bots legítimos (ex.: Googlebot, Bingbot) sem interferir no indexing do fórum.
  • Verificação de vulnerabilidades básicas em temas e extensões phpBB, com alertas para atualizações pendentes se configurado.

 

O que é o X-Forwarded-For?

O X-Forwarded-For é um cabeçalho HTTP que pode ser incluído em uma requisição para indicar o endereço IP original do cliente quando a requisição passa por um ou mais proxies, balanceadores de carga ou serviços como Cloudflare. Em uma configuração típica de servidor web:

  • Sem proxy: O servidor web recebe diretamente a requisição do cliente, e o endereço IP do cliente é obtido do cabeçalho REMOTE_ADDR, que é confiável, pois é definido pelo servidor na camada de rede (TCP/IP).
  • Com proxy: O cliente se conecta ao proxy, que então se conecta ao servidor web. Nesse caso, o REMOTE_ADDR visto pelo servidor será o IP do proxy, não o do cliente. Para informar o IP original do cliente, o proxy adiciona o cabeçalho X-Forwarded-For, que contém o IP do cliente (e, potencialmente, uma lista de IPs de proxies intermediários).

 

Como a Configuração stopbadbots_use_x_forwarded_for Funciona?

A configuração stopbadbots_use_x_forwarded_for determina se a extensão StopBadBots deve usar o cabeçalho X-Forwarded-For para identificar o IP do cliente ou se deve confiar exclusivamente no REMOTE_ADDR. Aqui está como ela funciona:

  • Desativada (stopbadbots_use_x_forwarded_for = 0, padrão):
    • A extensão usa apenas o REMOTE_ADDR para determinar o IP do cliente.
    • Isso é mais seguro em ambientes sem proxies confiáveis, pois o REMOTE_ADDR não pode ser facilmente falsificado (é definido pelo servidor na camada de rede).
    • No caso do seu teste, com X-Forwarded-For: 114.119.128.237, o IP 114.119.128.237 seria ignorado, e o REMOTE_ADDR real da máquina que fez a requisição seria usado para verificar contra a lista negra (ip_blacklist).
  • Ativada (stopbadbots_use_x_forwarded_for = 1):
    • A extensão verifica primeiro o cabeçalho X-Forwarded-For. Se presente, extrai o primeiro IP da lista (o mais próximo do cliente) e o usa como o IP do cliente.
    • Se X-Forwarded-For não estiver presente, verifica o HTTP_CLIENT_IP (outro cabeçalho semelhante) e, como última opção, usa o REMOTE_ADDR.
    • Isso é útil em servidores que operam atrás de proxies confiáveis (como Cloudflare ou um balanceador de carga), onde o REMOTE_ADDR seria o IP do proxy, mas o X-Forwarded-For contém o IP real do cliente.

 

Instruções de Instalação

Ícone O conteúdo gerado por IA pode estar incorreto.

  • Faça upload dos arquivos para a pasta ext/ no diretório raiz do phpBB.
  • Acesse o Painel de Controle de Administração (ACP) > Personalizações > Gerenciar Extensões e ative a StopBadBots.
  • Configure as listas e opções no ACP > Extensões > StopBadBots, importando listas iniciais e ajustando blacklists/whitelists.
  • Como é uma extensão em desenvolvimento, verifique atualizações regulares no fórum phpBB para correções de bugs ou novos recursos (ex.: melhorias em logs e importações adicionadas em 2025).

Ícone O conteúdo gerado por IA pode estar incorreto.

Essa extensão torna o phpBB mais resistente a ameaças automatizadas, distinguindo tráfego legítimo de malicioso e fornecendo ferramentas para otimização contínua. Atualizações de 2025 incluem tarefas Cron, estatísticas de bloqueio, busca por bots e importações de listas, tornando-a mais robusta.