Voltar ao blog
RUENZHESARPTDEFRJAKOITTRIDVIFAHI

Como configurar um proxy reverso para proteger seu site contra bots, scanners e parsers: guia completo

Bots e scanners atacam seu site 24/7, roubam conteúdo e sobrecarregam o servidor. Descubra como um proxy reverso protege seu negócio sem a necessidade de contratar um programador.

📅24 de abril de 2026
```html

Todos os dias, seu site é atacado por centenas de bots: alguns roubam preços e conteúdo, outros sobrecarregam o servidor com solicitações, e outros buscam vulnerabilidades. Se você possui uma loja online na Wildberries ou Ozon, gerencia landing pages para campanhas publicitárias no Facebook Ads ou administra sites de clientes — esse problema diz respeito diretamente a você. Um proxy reverso é a primeira linha de defesa que pode ser configurada sem conhecimentos técnicos profundos.

O que é um proxy reverso e como ele difere do convencional

A maioria das pessoas conhece o proxy como uma ferramenta para mudar o endereço IP: você se conecta a um servidor proxy, e os sites veem seu endereço em vez do seu. Isso é chamado de proxy direto — ele protege o usuário.

Um proxy reverso funciona do outro lado. Ele fica na frente do seu servidor e aceita todas as solicitações de entrada em vez dele. O visitante pensa que está se comunicando diretamente com seu site — mas na verdade, ele primeiro passa pelo servidor proxy, que verifica a solicitação, filtra atividades suspeitas e só então encaminha o tráfego legítimo para o seu servidor real.

Uma analogia simples:

Imagine que seu site é um armazém. O proxy direto é seu entregador, que retira produtos dos fornecedores de forma anônima. O proxy reverso é o segurança na entrada do armazém: ele verifica cada um que deseja entrar, permitindo a passagem de clientes e barrando ladrões antes mesmo de chegarem aos produtos.

A principal diferença em relação ao proxy convencional é que seu verdadeiro endereço IP do servidor permanece oculto. Criminosos e bots não sabem onde seu site está fisicamente — eles veem apenas o endereço do proxy reverso. Isso, por si só, corta uma parte significativa dos ataques.

Para proprietários de lojas online, profissionais de marketing e arbitradores que mantêm dezenas de landing pages, isso é crucial: concorrentes não conseguirão encontrar sua verdadeira hospedagem e atacá-la diretamente, passando pela proteção.

Por que bots e scanners são perigosos para o seu negócio

Muitos proprietários de sites subestimam a ameaça dos bots, considerando-a uma "questão técnica". Na verdade, isso resulta em perdas diretas para os negócios. Vamos analisar cenários específicos com os quais nossos leitores se deparam.

Raspagem de preços pelos concorrentes

Se você vende em marketplaces ou possui sua própria loja online, concorrentes podem iniciar um raspador que captura seus preços a cada 15-30 minutos e automaticamente coloca os deles 1-2% mais baixos. Você perde vendas sem entender o porquê. Bots raspadores também sobrecarregam o servidor: centenas de solicitações por minuto tornam o site lento para compradores reais, o que afeta diretamente a conversão.

Clique fraudulento (click fraud)

Arbitradores e profissionais de marketing que trabalham com Facebook Ads e Google Ads enfrentam regularmente a manipulação de cliques. Bots clicadores acessam seus anúncios, queimando o orçamento sem conversões. Segundo pesquisas, até 20-30% do tráfego publicitário em alguns nichos é gerado por bots. Um proxy reverso com as regras corretas ajuda a identificar e bloquear essas fontes.

Scanners de vulnerabilidades

Scanners automáticos como Shodan, Masscan e centenas de ferramentas menos conhecidas estão constantemente explorando a internet em busca de sites desprotegidos. Eles verificam versões desatualizadas de CMS, portas abertas e senhas padrão. Se seu site está em WordPress ou qualquer outra plataforma popular — ele provavelmente já está em suas bases. Sem proteção, é apenas uma questão de tempo até que uma vulnerabilidade seja encontrada.

Ataques DDoS e sobrecarga do servidor

Concorrentes ou simplesmente pessoas mal-intencionadas podem organizar um ataque que derrube seu site no momento mais inoportuno — por exemplo, durante uma liquidação ou uma campanha publicitária ativa. Mesmo um pequeno DDoS com algumas milhares de solicitações por segundo pode "derrubar" uma hospedagem barata.

Estatísticas reais:

Segundo dados da Imperva, mais de 47% de todo o tráfego da internet é gerado por bots. Desses, cerca de 30% são bots maliciosos. Se seu site recebe 1000 visitantes por dia, cerca de 300 deles são scripts automáticos que sobrecarregam o servidor e distorcem a análise.

Como um proxy reverso protege o site: mecanismo de funcionamento

Um proxy reverso protege o site em vários níveis. Compreender esses níveis ajudará você a configurar o sistema corretamente e não perder etapas importantes.

Nível 1 — Ocultação do IP real

Assim que você direciona o tráfego através de um proxy reverso, seu verdadeiro endereço IP do servidor deixa de ser público. Bots e atacantes não podem acessar o servidor diretamente — eles esbarram no proxy. Isso é especialmente importante para proteção contra DDoS: mesmo que um criminoso conheça o domínio do seu site, ele não conseguirá atacar o servidor contornando a proteção.

Nível 2 — Análise e filtragem de solicitações

Cada solicitação de entrada passa por verificação em vários parâmetros: User-Agent (qual navegador/bot está fazendo a solicitação), frequência de solicitações de um IP, geolocalização, padrões de comportamento. Bots, em geral, fazem solicitações muito rapidamente, usam strings de User-Agent não padrão ou vêm de IPs conhecidos de data centers. O proxy reverso consegue rastrear e bloquear tudo isso.

Nível 3 — Limitação de taxa (rate limiting)

Uma pessoa real não consegue visualizar 500 páginas de um site por minuto. O proxy reverso permite estabelecer limites: por exemplo, não mais que 60 solicitações por minuto de um IP. Se alguém ultrapassa o limite — recebe um bloqueio temporário ou uma verificação CAPTCHA. Isso efetivamente para a maioria dos raspadores e scanners sem prejudicar os visitantes normais.

Nível 4 — Cache e redução de carga

O proxy reverso armazena em cache conteúdo estático (imagens, CSS, JavaScript) e o entrega diretamente, sem acessar seu servidor. Como resultado, mesmo que os bots consigam passar pelos filtros, eles recebem páginas em cache — a carga no servidor real é mínima. Além disso, isso acelera o site para visitantes reais, o que impacta positivamente no SEO e na conversão.

Nível 5 — Terminação SSL/TLS

O proxy reverso assume a criptografia do tráfego. Seu servidor funciona mais rápido, pois não gasta recursos criptografando cada solicitação. E os visitantes veem uma conexão segura HTTPS — isso é importante tanto para a confiança quanto para o ranqueamento no Google.

Visão geral das soluções: Cloudflare, Nginx, Caddy — o que escolher

Existem várias soluções populares para organizar um proxy reverso. A escolha depende do seu nível técnico, orçamento e escala da tarefa.

Solução Dificuldade Custo Para quem Proteção contra bots
Cloudflare Baixa Gratuito / a partir de $20/mês Todos, especialmente iniciantes ⭐⭐⭐⭐⭐
Nginx Média Gratuito (servidor necessário) Usuários técnicos ⭐⭐⭐⭐
Caddy Baixa–média Gratuito (servidor necessário) Desenvolvedores, startups ⭐⭐⭐
AWS CloudFront Alta Por uso Segmento corporativo ⭐⭐⭐⭐⭐
HAProxy Alta Gratuito (servidor necessário) Projetos de alta carga ⭐⭐⭐⭐

Para a maioria dos proprietários de sites, profissionais de marketing e arbitradores que não desejam lidar com configurações de servidor, Cloudflare é a escolha ideal. O plano gratuito cobre 90% das tarefas de proteção contra bots e scanners. É com ele que começaremos o guia passo a passo.

Configuração do Cloudflare como proxy reverso: passo a passo

O Cloudflare é um serviço em nuvem que se torna um proxy reverso para seu site após uma simples troca de servidores DNS. Sem programação, sem acesso ao servidor — apenas configurações no navegador.

Passo 1 — Registro e adição do site

Acesse cloudflare.com e crie uma conta. Após o login, clique no botão "Add a Site" e insira o domínio do seu site (por exemplo, myshop.ru). Escolha o plano gratuito Free — para começar, é mais do que suficiente.

O Cloudflare escaneará automaticamente seus registros DNS e mostrará a lista. Verifique se todos os registros estão presentes (geralmente é um registro A com o IP do servidor e registros MX para e-mail). Clique em "Continue".

Passo 2 — Troca de servidores DNS no registrador de domínio

O Cloudflare fornecerá dois endereços de nameserver — algo como alex.ns.cloudflare.com e diana.ns.cloudflare.com. Acesse o painel de controle do seu registrador de domínio (RU-CENTER, Reg.ru, Namecheap, etc.) e substitua os nameservers atuais por esses dois endereços.

A atualização do DNS leva de 15 minutos a 48 horas. Assim que tudo for atualizado, todo o tráfego para o seu site começará a passar pelos servidores do Cloudflare — o proxy reverso funcionará automaticamente.

Passo 3 — Ativação do modo "Under Attack" se necessário

No painel do Cloudflare, vá para a seção Security → Overview. Aqui você verá o nível de proteção (Security Level). Para a maioria dos sites, o nível "Medium" é adequado. Se o site estiver sob um ataque ativo — altere temporariamente para "Under Attack Mode": todos os visitantes passarão por uma verificação JS, que os bots geralmente não conseguem passar.

Passo 4 — Configuração do Bot Fight Mode

Vá para Security → Bots. Ative o interruptor "Bot Fight Mode" — esta é a proteção básica contra bots automáticos, disponível gratuitamente. O Cloudflare identifica e bloqueia automaticamente o tráfego de bots maliciosos conhecidos, usando uma base de dados de bilhões de solicitações.

Nos planos pagos (Pro e superiores), está disponível o Super Bot Fight Mode com configurações mais detalhadas: é possível configurar separadamente o comportamento para bots de busca (Googlebot, Yandexbot devem ser permitidos!), para bots verificados (monitoramento de uptime) e para solicitações automáticas suspeitas.

Passo 5 — Criação de regras de firewall (Firewall Rules)

Vá para Security → WAF → Firewall Rules e crie regras para suas necessidades. Aqui estão alguns exemplos de regras que devem ser adicionadas imediatamente:

Exemplo de regra 1 — Bloqueio de User-Agent vazio:

Condição: http.user_agent eq "" → Ação: Block. Navegadores reais sempre transmitem User-Agent. Um User-Agent vazio é quase sempre um bot.

Exemplo de regra 2 — Bloqueio de scanners conhecidos:

Condição: http.user_agent contains "sqlmap" or http.user_agent contains "nikto" or http.user_agent contains "nmap" → Ação: Block. Estas são ferramentas de busca de vulnerabilidades.

Exemplo de regra 3 — Geobloqueio (se necessário):

Condição: ip.geoip.country in {"CN" "KP" "IR"} → Ação: Challenge (CAPTCHA). Se seu negócio opera apenas na Rússia — você pode bloquear países de onde a maioria dos ataques vem.

Passo 6 — Configuração de Limitação de Taxa (Rate Limiting)

Na seção Security → WAF → Rate limiting rules, crie uma regra de limitação de taxa. Por exemplo: não mais que 100 solicitações por 1 minuto de um único endereço IP. Se o limite for excedido — mostre um CAPTCHA ou bloqueie temporariamente. Isso para a maioria dos raspadores que tentam coletar rapidamente todas as páginas do seu site.

Configuração do Nginx como proxy reverso: configuração básica

Se você possui seu próprio servidor VPS (por exemplo, na Timeweb, Selectel ou DigitalOcean), pode configurar o Nginx como um proxy reverso. Isso oferece mais controle e flexibilidade, embora exija habilidades básicas de linha de comando.

O esquema típico: você tem um servidor principal com um aplicativo (por exemplo, uma loja online na porta 8080), e um servidor separado ou o mesmo servidor com Nginx na porta 80/443, que aceita todo o tráfego e o encaminha para o aplicativo.

A configuração básica do Nginx como proxy reverso com proteção contra bots é a seguinte:

server {
    listen 80;
    server_name mysite.ru www.mysite.ru;

    # Redirecionamento para HTTPS
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name mysite.ru www.mysite.ru;

    ssl_certificate /etc/letsencrypt/live/mysite.ru/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/mysite.ru/privkey.pem;

    # Bloqueio de User-Agent vazio (bots sem UA)
    if ($http_user_agent = "") {
        return 403;
    }

    # Bloqueio de scanners conhecidos por User-Agent
    if ($http_user_agent ~* (sqlmap|nikto|nmap|masscan|zgrab|python-requests)) {
        return 403;
    }

    # Limitação de taxa — aplicamos a zona de restrições
    limit_req zone=one burst=20 nodelay;

    # Encaminhamento de solicitações para o servidor real
    location / {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # Ocultamos informações sobre o servidor real
        proxy_hide_header X-Powered-By;
        proxy_hide_header Server;
    }
}

# Definição da zona de Limitação de Taxa (adicionar no bloco http)
# limit_req_zone $binary_remote_addr zone=one:10m rate=60r/m;

Preste atenção à diretiva proxy_hide_header — ela oculta cabeçalhos que revelam informações sobre seu servidor real e CMS. Isso dificulta o trabalho de scanners de vulnerabilidades: eles não sabem exatamente o que estão procurando.

A zona limit_req_zone limita cada endereço IP a 60 solicitações por minuto. O parâmetro burst=20 permite picos temporários (um usuário real pode abrir rapidamente várias páginas), mas uma carga alta prolongada é bloqueada.

Importante para arbitradores e profissionais de marketing:

Se você usa proxies residenciais para verificar como suas landing pages aparecem de diferentes regiões — certifique-se de que seus próprios proxies não sejam bloqueados. Adicione os endereços IP de seus servidores proxy à lista de permissões (whitelist) nas configurações do Cloudflare ou Nginx.

Regras de bloqueio de bots e scanners: checklist

Após a configuração básica do proxy reverso, use este checklist para garantir que a proteção esteja configurada de forma abrangente. Cada item é um vetor de ataque separado que precisa ser fechado.

✅ Proteção básica (obrigatório para todos)

  • Bot Fight Mode ativado no Cloudflare (ou equivalente em outra solução)
  • Limitação de taxa configurada: não mais que 60-100 solicitações por minuto de um IP
  • Solicitações com User-Agent vazio bloqueadas
  • Scanners conhecidos bloqueados: sqlmap, nikto, nmap, masscan
  • Cabeçalhos Server e X-Powered-By ocultados (não mostramos a versão do servidor e CMS)
  • HTTPS configurado, HTTP redireciona automaticamente para HTTPS
  • O IP real do servidor não aparece em bases públicas (Shodan, Censys)

✅ Proteção avançada (para sites atacados ativamente)

  • Honeypot configurado — uma página oculta que só bots veem (usuários reais não acessam). IPs que visitam o honeypot são bloqueados automaticamente
  • Verificação de integridade do navegador ativada (Browser Integrity Check no Cloudflare)
  • CAPTCHA configurado para tráfego suspeito (não para todos — apenas para suspeitos)
  • Geobloqueio de países de onde não se espera tráfego legítimo
  • Monitoramento de logs: alertas configurados para aumento abrupto de erros 403/429
  • Bloqueio de faixas de IP de grandes provedores de nuvem (AWS, Azure, GCP) — a maioria dos bots opera a partir de nuvens
  • Arquivo robots.txt configurado com proibição para bots agressivos

✅ Proteção de páginas específicas

  • Página de login (/admin, /wp-admin, /login) — Limitação de taxa rigorosa (5-10 tentativas por minuto) e autenticação de dois fatores
  • Pontos finais de API — autorização obrigatória via chave API ou token
  • Páginas com preços — verificações adicionais para solicitações frequentes (proteção contra raspagem)
  • Formulário de registro/solicitação — CAPTCHA ou armadilha honeypot invisível para bots

Não bloqueie bots úteis!

Googlebot e Yandexbot devem ser sempre permitidos — eles indexam seu site. No Cloudflare, eles automaticamente entram na categoria "Verified Bots" e não são bloqueados com as configurações corretas. Verifique isso na seção Security → Bots → Bot Analytics.

Proxy para monitoramento: como verificar a proteção do seu site

Após a configuração do proxy reverso, é importante garantir que a proteção esteja funcionando corretamente e não bloqueie usuários reais. Aqui, proxies comuns entram em cena — agora do outro lado: você se torna um "usuário externo" e verifica o comportamento do site.

Por que profissionais de marketing e arbitradores devem verificar seus sites através de proxies

Imagine a situação: você configurou a proteção contra bots, ativou o geobloqueio, e de repente percebe que a conversão caiu. É possível que você tenha bloqueado acidentalmente usuários reais de determinadas regiões ou dispositivos. Você pode verificar isso acessando o site através de proxies de diferentes países e com diferentes tipos de conexões.

Para essas tarefas, proxies móveis são ideais — eles simulam uma conexão de um dispositivo móvel real através de um operador de telecomunicações. Se suas regras de bloqueio permitem o tráfego móvel corretamente, isso significa que usuários comuns com smartphones não foram afetados pela proteção.

Cenários práticos de verificação

Cenário 1 — Verificação de geodisponibilidade. Você lançou um anúncio no Facebook Ads para uma audiência de várias regiões da Rússia. Através de proxies com IPs de Novosibirsk, Ecaterimburgo e Krasnodar, verifique se a landing page abre corretamente, não mostra CAPTCHA e carrega rapidamente.

Cenário 2 — Teste de Limitação de Taxa. Abra várias abas através de um proxy e navegue rapidamente entre as páginas. Se você receber um bloqueio com um comportamento normal — o limite está muito baixo, é necessário aumentá-lo.

Cenário 3 — Verificação de diferentes tipos de IP. Tente acessar através de um proxy de data center (simulando um bot/servidor) — se sua proteção estiver funcionando, essa solicitação deve receber um CAPTCHA ou bloqueio. Em seguida, acesse através de um proxy residencial (simulando um usuário doméstico comum) — o acesso deve ser livre.

Cenário 4 — Verificação por concorrentes. Se você deseja verificar quão difícil é raspar seu site, tente fazer isso você mesmo através de uma ferramenta simples. Se o raspador receber bloqueio já após 10-20 solicitações — a proteção está funcionando. Se coletar dados sem obstáculos — é necessário endurecer as regras.

Monitoramento da eficácia da proteção

No Cloudflare, vá para a seção Security → Overview — aqui você verá gráficos de solicitações bloqueadas, tipos de ameaças e geografia dos ataques. Preste atenção a:

  • Aumento abrupto de solicitações bloqueadas — sinal de ataque ativo ou raspagem
  • Alto percentual de tráfego de um único país — talvez seja necessário adicionar geobloqueio
  • Aumento de erros 403/429 nos logs — verifique se usuários reais não estão sendo bloqueados
  • Solicitações regulares para /admin, /wp-login.php — tentativas de invasão, aumente a proteção dessas rotas

Conclusão: um proxy reverso não é uma opção, mas uma necessidade

O proxy reverso há muito deixou de ser uma ferramenta apenas para grandes corporações. Hoje, até mesmo uma pequena loja online, uma landing page para uma campanha de arbitragem ou um site de uma agência de SMM precisa de proteção básica contra bots, scanners e raspadores de concorrentes.

As principais conclusões deste guia: Cloudflare — o início mais rápido sem conhecimentos técnicos, Nginx — controle máximo se você tiver seu próprio servidor. Em ambos os casos, a proteção básica é configurada em 30-60 minutos e cobre 80-90% das ameaças típicas. Não se esqueça de verificar se bots úteis (Googlebot, Yandexbot) permanecem na lista de permissões, e que usuários reais não sofrem com regras excessivamente agressivas.

Um ponto separado para aqueles que usam proxies em seu trabalho: se você verifica campanhas publicitárias, monitora concorrentes ou testa a acessibilidade de seus sites de diferentes regiões — para essas tarefas, proxies residenciais são os mais adequados. Eles têm endereços IP de usuários domésticos reais, portanto, passam pela maioria dos sistemas de proteção como visitantes comuns, e fornecem uma visão objetiva do que sua audiência vê.

```