Резкий всплеск прямых заходов. Как бороться?

Так в этом и фишка. Даже если на уровне сервера по таблицам роботы какой-то сети будут отбиваться, ходить многие из них (уже прогретые) не перестанут, потому что вполне продолжат выполнять свою функцию - возврат к выдаче, чтобы продолжить прогулку и потом остаться на прогоняемом сайте надолго. Просто их не будет на сайте. Да даже если их запускать на сайт, а просто не отдавать визиты в метрику такие и не показывать рекламу РСЯ и Адсенс - возможно (не точно, конечно) хоть какой-то толк будет.

Попробуйте, напишите потом.

Я как то ради эксперимента ставил попап форму, ботов отрезало полностью.

Единственная еще проблема - нормально исключения настроить, чтобы нужных ботов не отрезать.

P.S. Вот еще один момент. Через CF можно фильтровать только прямые заходы, а тут "под удар" пойдет весь трафик.

И как например Яндекс будет оценивать визиты ботов, которые перешли на ваш сайт из поиска, а в метрику данные не подгрузились.

Получается по логике яндекса сайт не доступен. Учитывая, что ботов они не могут отличить от слова совсем, то я думаю это скорее негативно на ПФ сайта повлияет.

Ну если совсем тупой Яндекс - может подумать и так, а если заметит (если у него хоть как-то работают в сторону сравнения алгоритмы), что именно этих посетителей не пускает не только один сайт, а множество, то вполне может сделать правильные выводы.

Так я их и не отрезаю, им сайт показывается. Просто без метрики и рекламы (так что им даже "повезло" бы, если туда затесались бы люди - быстрее загрузка, отсутствие реламы - красотища!). Ну кроме спамных сетей, которые тут обсуждались много раз и я настроил через htaccess (не полез в конфиги nginx, я там полный профан), файлик стал на 13 кб, сравнительные тесты не показали какого-то увеличения времени обработки запросов (хотя оно какое-то точно появилось дополнительное), памяти больше тоже жрать не стало, хотя у меня всплесков более 50 запросов в секунду практически никогда не бывает на каждом из впс. 

Не берусь судить на сколько они тупые😁

Но такой эксперимент лучше делать на сайте, который не жалко, т.к риск в любом случае есть.

Вот это уже точно похоже на фантастику.

А какой риск, если сам Яндекс говорит, что проверка доступности страницы проверяется его определенным роботом ( Mozilla/5.0 (compatible; YandexAccessibilityBot/3.0; +http://yandex.com/bots), а не потому, что кто-то с выдачи на сайт ушёл, а в метрике не отобразился (в конце концов, мало ли где может теряться переход, не прогрузиться метрика, обрыв соединения и т.д.)?

Я заблочил почти все ботные сетки и стало даже немного скучно. Одни живые переходы из поиска остались. Боты стучатся, а им по мордам ответ сервера 403.

И никаких всплывашек и прыгающих капчей - просто блок сетей.

Дайте список всех сетей.

Да особых рисков нет, наоборот, имхо, вы всё правильно делаете, отсекая метрику и РСЯ от заходов ботов.

Только вот с юзер-агентом нужно быть осторожнее, у Яндекса их навалом, типа:

Mozilla/5.0 (compatible; YandexMetrika/2.0; +http://yandex.com/bots)
Mozilla/5.0 (compatible; YandexNews/4.0; +http://yandex.com/bots)
Mozilla/5.0 (compatible; YandexZenRss/1.0; +http://yandex.com/bots)
Mozilla/5.0 (compatible; YandexWebmaster/2.0; +http://yandex.com/bots)

И т.д.

Может получиться так, что один бот Я пройдет, а для другого сайт будет недоступен.

Ну и плюс Fake-боты будут проходить, с подставными юзер-агентами.

Если уж по уму, то нужно делать проверку на соответствие User-Agent -> IP -> PTR.

UPD: Я вас не верно понял, извиняюсь... вы же просто отсекаете Метрику и РСЯ, а не блокируете. Тогда вполне может прокатить, как защита от блока в РСЯ из-за ботного трафа и кликов.