Резкий всплеск прямых заходов. Как бороться?

Вот я и не могу понять работает ли вообще капча. Block - это я позже исходя из вашей инструкции попробовал убрать Challenge (Captcha) и поставил Block. До этого стояла капча.

Что такое Managed Challenge

Как понять прошел "юзер" в каждом конкретном случае проверку или нет.

Судя по метрике - трафик с включенной опцией  Challenge (Captcha) так и прет. снизился как раз на 20-30% неразгаданной капчи. То есть остальные прямые заходы проходят проверку капчей.

Я согласен с вами, что наверное ботоводу было бы проще перекинуть траф на другой сайт, чем тратиться на разгадывание капчи на моем. Но факт остается фактом(

Мне дырочка не нужна - я поставил правило не только реферер, но и содержание в урле определенного слова, т.к. прямой трафик идет не на главную, а на внутряки по одной схеме. на один тип страниц. Поэтому я спокойно могу войти.

Кстати, боты то тоже блокируются. Вот пример

Я думаю Семраш бот является известным и хорошим ботом для Клауда.

Managed Challenge - это запрос капчи был и она была пройдена путём введения.

Отключил Privacy Pass Support и сбрось кэш сайта.

У тебя скорее проблемы с логикой работы файрволла. 

Не в приоритентости настраиваешь и не правильно.

Список Known Bots - то что пропускает Cloudflare

***

Если правило  Allow - то Known Bots - зеленая галочка 

Если Block - серая

У меня правила в Firewall rules расположены в таком порядке

1. Что жестко блокировать (Block - конкретные Usera Agents которые никак нельзя пропускать) 

2. Что Обязательно пропускать (первым Known Bots а дальше feedburner, pinterest, facebook и т.д.) 

3. Что пропускать через JS проверку ( все подозрительно и идущее через http/1.0 и 1.1, запросы к админке и т.п.)

ТО ЧТО ИДЕТ ВВЕРХУ ПО ПРАВИЛАМ CLOUDFLARE ПРИОРИТЕТНЕЕ К ВЫПОЛНЕНИЮ - то есть если вверху разрешить known bots а внизу логически запретить - то по общему правилу он разрешит.

Не нашел что это в справке Клауда - там только про расширение для браузера. У меня его нет. Вот текущие настройки.

По поводу Managed Captcha сейчас сам проверил - Клауд, если считает браузер "приличным", не показывает капчу. То есть заставить 100% всем пользователям, удовлетворяющим условиям показывать капчу я не могу.

Поэтому и процент прохождения капчи 65-80% был у меня на тесте. Бототрафик не разгадывает капчу - ему ее просто не показывают)

У меня правило Блок

О, спасибо за список ботов. Да фиг с ним с семрашем)))

https://developers.cloudflare.com/firewall/known-issues-and-faq#bots-currently-detected список тех, кого считает хорошими ботами по этому правилу.

тогда Вы убьете всех, у кого в браузере есть Yandex (не помню у каких они были, но они есть), в добавок вебвизор посещает страницы без указания, что он бот "YandexMetrika" — будет просто браузер, всегда разный User Agent. Это не вымышленное предположение, просто я сам нарвался на такое и обратился к саппорту метрике...

Это наверно лучше к провайдеру (reg.ru).

Финансовая тематика, боты начали отваливаться http://joxi.ru/8233YWoFz9W3X2 - с 3500 тыс в сутки прямых заходов до 700-800

Не знаю может связано с тем, что под конец года бюджеты исчерпались)) 

есть такое, снизилось число прямых

Хостинг тут ни при чём. Это записи DNS.