År 2025 har det digitala landskapet förändrats: CAPTCHA är inte längre den pålitliga väktare den en gång var. Medan AI-drivna bots löser CAPTCHA-pussel med nästan perfekt noggrannhet, blir äkta användare frustrerade och överger ofta webbplatser när de utmanas. Nya studier visar att bots nu enkelt klarar av bildbaserade och text CAPTCHA med 96–100% av fallen—långt överträffar verkliga människors framgångsgrader och minskar formulärkonverteringar med upp till 20%. Men problemet går mycket djupare än något föråldrat pussel.
Idag dominerar automatiserad trafik webben. Jag inser detta personligen. År 2024 uppskattades det att nästan hälften av all online-aktivitet genererades av bots, med upp till 37% klassificerade som direkt skadliga. Även webbplatser med aktiv begränsning rapporterar fortfarande 10–20% pågående botaktivitet. Verkligheten är brutal: traditionella lösningar som CAPTCHA och IP-svartlistor har blivit nästan maktlösa mot samordnade, snabbt utvecklande botnät som kan efterlikna riktiga användare, växla mellan nya IP-adresser och till och med utnyttja mobila enheter för storskaliga attacker.
För webbplatsägare och onlineföretag är effekten förödande. Botöversvämningar kan förlama serverresurser, sakta ner sidladdningar till en krypning och förstöra användarupplevelsen. Men effekterna sprider sig vidare—Google-placeringar sjunker när sidprestandan går i botten, annonsintäkter försvinner när trafikens kvalitet minskar, och relationer med reklampartner försämras när falska besök svämmar över deras analyser.
Jag upplevde denna kris på egen hand. Allt började med en anklagelse från en annonsbyrå: de påstod att 90% av min webbplats trafik var falsk. Deras spårningskod, inbäddad för annonsleverans, avslöjade botvolymer som överväldigade inte bara deras filter utan även min server. Vi talar om över en miljon botbesök per dag—trafik osynlig för Google Analytics men katastrofal bakom kulisserna. Vad jag initialt trodde var äkta användare var i verkligheten en del av en obarmhärtig våg av automatiserade träffar, som översvämmade min infrastruktur och hotade livskraften i hela mitt projekt.
Detta är inte bara en berättelse om onda aktörer som utnyttjar svagheter—det handlar om hur själva arkitekturen av det moderna webben är under belägring. Kodoptimeringar och serveruppgraderingar räckte inte. Utmaningen blev ett kapprustning, med min webbplats fångad i korselden. Här är hur botöversvämningen utvecklade sig, nästan förstörde allt jag byggt—och de steg jag tog för att slå tillbaka.
Min berättelse om bottrafik: från 3 miljoner webbplatsbesök till en halv miljon
Allt började med att en reklambyrå anklagade mig för att ha 90% falsk trafik, jag har redan sagt det men: de hade placerat en spårningskod på min sida för att leverera annonser, och botvolymen var ett problem även för dem—det överväldigade deras filter och ökade serverbelastningen. Vi pratar om över en miljon botbesök per dag.
Först blev jag upprörd. I Google Analytics såg jag 100 000 rena dagliga besök. Riktiga användare, trodde jag. Men deras oro handlade om trafik utanför Analytics. Det osynliga lagret av träffar orsakade kaos på serverbelastningen. Då körde mitt projekt på Laravel 5.3 som var värd på delad hosting, och jag trodde att prestandabromsen var den gamla kodbasen. Jag skrev om allt i Laravel 10 med superb optimering, inklusive daglig analys av miljontals databasposter.
Ändå sackade det. Min delade hosting kunde inte hantera det. Sidladdningar kröp, och den riktiga trafiken sjönk—månad för månad förlorade jag cirka 150 000 besök. Från 3 miljoner månatliga besök förlorade jag till slut mer än hälften.
Jag hade uppgraderat till en kraftfull VPS med 16 CPU-kärnor och 32 GB RAM, i förhoppningen att detta skulle lösa allt. Men även med den förbättrade infrastrukturen och den omkodade Laravel 10-backend, kvarstod problemet. Faktum är att saker och ting blev värre—botarna blev mer aggressiva och ökade deras attackvolym och frekvens. Det blev klart att ingen mängd kodoptimering eller hårdvaruuppskalning kunde lösa ett problem som i grunden handlade om okontrollerad, skadlig bottrafik.
Men det var inte allt. När jag grävde djupare insåg jag att skalan var ännu större: över 2 miljoner webbplatsscanningar per dag, separat från cirka 1,5 miljoner dagliga botbesök. Och ändå var den monetära, spårbara delen av webbplatsen (den som byråerna brydde sig om) bara genererade 100 000 visningar per dag. Det var där problemet eskalerade. Jag arbetade med en reklambyrå som förlitade sig på ren, mänsklig trafik. De var tvungna att hitta sätt att snabbt filtrera bort botarna, annars skulle deras analys- och annonsleveranssystem bli överväldigade. Anklagelserna, infrastrukturöverbelastningen och intäktsdiskrepanserna—de var alla kopplade till denna osynliga, obevekliga flod av botar.
Mitt första drag var att skapa en anpassad CAPTCHA, med målet att visa botar en tom sida medan riktiga användare passerade igenom. Tyvärr slog det tillbaka. Skadliga botar saktade inte ner—de ökade. CAPTCHA blev en utmaning de aggressivt försökte övervinna, vilket fördubblade belastningen.
Nästa steg var massblockering via .htaccess. Det fungerade—några dagar. Sedan anpassade sig botnätverken, nya IP-adresser dök upp, och .htaccess blev uppblåst och långsam. Min hosting-leverantör klev in och hjälpte till att tillfälligt blockera hela subnät, men problemet återkom veckovis.
Slutligen vände jag mig till Cloudflare. Detta var den mest betydande förändringen. Även om det inte var perfekt, tillät det mig att filtrera över 1,5 miljoner botförfrågningar inom 24 timmar. Jag laddade upp nätverksblock direkt i deras brandvägg. Resultatet? Från 1,5 miljoner botträffar utlöste endast 20 CAPTCHA-utmaningar dagligen—bevis på att Cloudflares kantdetektering fungerade bättre än något annat jag försökte.
För att hålla mig före botarna byggde jag mitt egna interna loggningssystem. Det registrerar varje enskild förfrågan efter IP-adress och User-Agent-sträng, och lagrar dem i en databas. Bakom kulisserna körs en schemalagd uppgift varje minut för att aggregera data. När den upptäcker misstänkt aktivitet—såsom en stor mängd förfrågningar från ett enda nätverk eller IP-område—utlöser den en automatiserad e-postavisering. Det e-postmeddelandet innehåller en lista över IP-adresser och subnät som är redo att läggas till i Cloudflare för blockering.
Jag är fortfarande på Cloudflares gratisplan, men även den ger tillräcklig kontroll för att implementera manuella brandväggsregler. Detta proaktiva tillvägagångssätt gör att jag kan upptäcka och svara på botfloder innan de överväldigar systemet. På Apache-nivå försökte jag ursprungligen använda .htaccess för att blockera trafik direkt, men denna metod hade avtagande avkastning. När fler regler samlades på hög försämrades webbplatsens prestanda, vilket gjorde det klart att servernivåblockering inte var hållbar utan ett CDN eller kantlagerstöd.
Hur man skapar ett inloggningssystem + CloudFlare-skydd?
Varför inte begränsa hastighet eller geografisk blockering? För att de inte fungerar i mitt fall. De flesta av dessa botar gör bara en begäran per IP—men de gör det med hjälp av hundratals eller till och med tusentals IP-adresser inom samma nätverk. Det betyder att hastighetsbegränsning per IP inte hjälper mycket; volymen är distribuerad, inte koncentrerad. Vad gäller att upptäcka dem genom User-Agent? Värdelöst. Vissa botar är tillräckligt smarta för att imitera Googlebot eller andra legitima crawlare, så du kan inte lita på bara headers. Vad sägs om geografisk filtrering? Också inte effektivt. Min webbplats är flerspråkig och får trafik från många länder avsiktligt. Dessa flood-nätverk vet det och roterar IP-adresser från hela världen. Kanske de skrapar mig för att min webbplats har värdefullt innehåll—men jag kan inte bara låsa det bakom en registreringsvägg. Det skulle förstöra användarupplevelsen. Så jag behövde något smartare än de vanliga lösningarna.
Kolla min kod, MYSQL-frågor och rekommendationer nedan. (Laravel 10 + MYSQL)
