Резкий всплеск прямых заходов. Как бороться?

так у тебя уже стоит именно смарт капча? сколько по времени она уже стоит?

Стоит и не на одном сайте и стоит уже давно, даже не вспомню когда ставил, в какой сезон года 😀 Пишу некоторые данные с айпи, при необходимости проверяю через апи сервиса.

Вам нужно свои наработки хотя бы в скрипт оформить (это быстрее чем плагин) и написать к нему инструкцию.

Я бы купил на пробу такую штуку. И тут половина форума мучается с проблемами от ботов.

Попробую время выбрать, пока просто ограничен. С wp  есть тонкости касательно плагинов кеша, не все дают себя обойти, если не на все страницы ставить, то это не проблема. Вывел из под кеша нужные и все, но если ставить на весь сайт, уже придется что-то писать более серьезное.

так тут полно бесплатных решений озвучивалось. никому не надо. половина форума не мучается, а наслаждается этим, что у них боты и они типа от этого страдают ) а вторая половина накрутчики, которые это накручивают. 

есть еще третья половина 😀 которая заявляет что боты вообще миф и не проблема.

Еще раз:
То метрика капчи.
Она показывает прошел юзер капчу или нет.
Она не показывает поведение на сайте. За сайт отвечает другой счетчик :D Ничто никуда не сливается. Это вообще разные сервисы ;))

У тебя все так же работает: есть БД, по которой твоя капча вылетает юзеру или нет. Она показывается исходя из каких-то накопленных данных.
А копит она изначально их, подсовывая капчу абсолютно всем. Прошел - молодец, на куку на какое-то время и грузит метрику. Не прошел? - подозрительно, метрику не грузит. Опять не прошел - в бан, метрики опять нет. Ну, тебе виднее как оно на самом деле и вариаций тьма может быть, но принцип один.

Точно так же работает смарт капча от Яндекс, Гугл, Шмугл и т.д.
Метрика сайта не грузится до тех пор, пока юзер не пройдет капчу.

Просто с капчей надо шаманить и лезть в код, а у тебя шаманишь капчу ты сам за баксы.

ты работаешь в яндексе, откуда тебе знать? если чтото выглядит как обычная метрика, работает как обычная метрика, может это всетаки обычная метрика? ))

У Вас не совсем верный алгоритм правил. Вы в 1 правиле разрешаете "хороших ботов" по мнению клауда (оттуда идут разные зарубежные хостинги например ASN24940 Hetzner). Могу предположить что прямые заходы попадают в первое правило и разрешаются. Ростелеком тот же с ботами.
Все это исключается Вашим первым правилом и боты уже на другие правила проверки не попадают. Вам нужно первым правилом делать блокировку спамных сетей допустим, а потом уже разрешать хороших ботов, или же лучше разрешать ASN сети и User Agent`ы нужных сервисов точечно. Если условно сео сервисы размещены на спамных сетях, то должно быть самое первое правило, которое добавляет исключение (не всей сети а допустим по User Agent).

4 и 5 правило можно объединить через OR если конечно там нет лимита символов.
И пятым правилом, просто сделать логирование всех прямых заходов:  (http.referer eq "")

На основе этого правила и других, можно смотреть графики (логи) кого пропустили и на какую страницу обращались. Надеюсь логика понятна.
И условно - если вы блочите только AS сети, а не старые протоколы HTTP 1.* то в большинстве случае Known Bots - лишнее, т.к вы не затроните ас сети гугла, яндекса, microsoft. Там в логах клауд пишет чья сеть.
В условиях СНГ(ПФ ботов), вообще лучше делать белый лист исключения по сетям, урлам и юзер агентам.

Да, я там уже подредактировал немного и в том числе поставил для прямых заходов, только не skip, а челлендж, и сразу процесс оживился. С утра отказов было 32%, сейчас 29% и продолжает постепенно уменьшаться как и процент прямых заходов.