Enquêter sur le trafic suspect de bots à l’aide de Google Analytics

Ce guide fournit un processus étape par étape pour utiliser Google Analytics 4 (GA4) afin d’aider à identifier et à enquêter sur l’activité suspecte de bots.

1. Comprendre le filtrage de bots par défaut de GA4

GA4 exclut automatiquement le trafic des bots et des spiders connus par défaut.^[1] Ce filtrage est basé sur les recherches de Google et la liste internationale des spiders et bots de l’IAB.

Les étapes de ce guide visent à vous aider à identifier les bots plus sophistiqués ou inconnus qui pourraient ne pas figurer sur cette liste.

2. Analyser le trafic pour détecter des modèles inhabituels

Les bots génèrent souvent du trafic qui s’écarte considérablement de vos modèles d’utilisateurs typiques.

Étapes :

1. Vérifier les rapports en temps réel :

   • Accédez à Rapports > Pages en temps réel. Recherchez des pics soudains et inexplicables dans le nombre d’“Utilisateurs actifs dans les 30 dernières minutes”. Cela peut être le premier signe d’une augmentation active des bots.

   Si vous pensez que votre site est attaqué par du spam, utilisez notre guide sur Immediate actions you can take during a spam attack

2. Examiner la localisation géographique :

   • Accédez à Rapports > Démographie > Utilisateur > Attributs utilisateur > Détails démographiques.

   • Le graphique par défaut affiché devrait être Détails démographiques : Pays. Recherchez un nombre élevé d’utilisateurs provenant de pays que vous ne ciblez pas, où vous n’avez aucune présence commerciale, ou d’où vous n’avez généralement pas beaucoup de trafic. Une augmentation soudaine d’un seul endroit inattendu est un signal d’alarme majeur.

3. Analyser les sources de trafic pour le spam de référencement :

   • Accédez à Rapports > Acquisition > Acquisition de trafic.

   • Le rapport est défini par défaut sur “Groupe de canaux par défaut de la session”. Cliquez sur la flèche déroulante à côté de la dimension principale et sélectionnez Source / support de la session. Recherchez des sources de référencement suspectes ou absurdes (par exemple, \"free-traffic-seo.com,\" “buttons-for-your-website.com”). Ce sont des signes classiques de spam de référencement^[2].

3. Examiner les métriques de comportement des utilisateurs

Les métriques comportementales sont peut-être l’outil le plus puissant de GA4 pour distinguer les utilisateurs humains des bots.

Étapes :

1. Rechercher un faible temps d’engagement :

   • Accédez à Rapports > Engagement > Pages et écrans.

   Dans GA4, le taux d’engagement est le pourcentage de sessions qui ont duré plus de 10 secondes, ont eu un événement de conversion, ou ont eu au moins 2 pages vues. C’est une vision plus nuancée de la session que leur mesure précédente de “taux de rebond”.

   • La métrique Temps d’engagement moyen indique combien de temps votre site a été au premier plan pour les utilisateurs. Les bots passent généralement très peu de temps sur une page. Triez le tableau par “Temps d’engagement moyen” (croissant) pour trouver les pages avec un engagement anormalement faible malgré des vues importantes.

   • Recherchez les pages avec un nombre élevé de “Vues” mais un “Taux d’engagement” très faible. Cela indique que les utilisateurs arrivent sur la page et la quittent immédiatement, un comportement de bot courant.

   Si vous ne voyez pas la colonne “Taux d’engagement”, vous devrez l’ajouter. Cliquez sur l’icône du crayon (Personnaliser le rapport) en haut à droite, sélectionnez “Métriques”, et ajoutez “Taux d’engagement” au rapport. N’oubliez pas de sauvegarder vos modifications.

2. Vérifier les pages de destination :

   • Accédez à Rapports > Engagement > Page de destination.

   • Dans la navigation de gauche, accédez à Rapports > Engagement > Page de destination. Recherchez les pages avec un nombre élevé de Nouveaux utilisateurs mais un Temps d’engagement moyen extrêmement faible. Ce schéma suggère un trafic automatisé frappant des points d’entrée spécifiques sur votre site et le quittant immédiatement.

4. Ce que Google Analytics ne peut pas vous dire

• Adresses IP : Comme Google Search Console, Google Analytics ne fournit pas d’informations sur les adresses IP des utilisateurs. Ces informations ne peuvent être trouvées que dans vos journaux de serveur. L’analyse des journaux de serveur est essentielle pour bloquer les IP malveillantes.

Conclusion

Bien que Google Analytics puisse être utile pour identifier les modèles de trafic suspects, pour ralentir ou bloquer les robots indésirables sur un forum Discourse, vous devrez ajuster certains des paramètres que vous trouverez en recherchant crawler sous Admin > Paramètres du site.

Pour les bots que vous choisissez de bloquer complètement, ajoutez leur agent utilisateur à Blocked crawler user agents. Pour les bots moins agressifs, mais toujours gourmands en ressources, vous pouvez les ajouter à Slow down crawler user agents pour réduire leur vitesse de crawling sans les bloquer entièrement. Vous pouvez gérer le taux de ralentissement via le paramètre de site Slow down crawler rate.

Soyez très prudent lorsque vous apportez des modifications à ces paramètres. Par exemple, certains propriétaires de sites ont accidentellement bloqué tout le trafic des moteurs de recherche légitimes en configurant mal ce paramètre.

Enfin, rappelez-vous que ces mesures ne sont pas infaillibles. Les robots évoluent constamment et peuvent ne pas se comporter correctement ; ils peuvent changer leurs chaînes d’agent utilisateur ou distribuer les requêtes sur plusieurs adresses IP pour contourner ces limites. Par conséquent, bien que ces paramètres puissent fournir une première ligne de défense solide, vous devez continuer à surveiller vos analyses et vos journaux de serveur pour détecter de nouveaux modèles ou des modèles inhabituels.

1. [GA4] Known bot-traffic exclusion - Analytics Help ↩︎

2. Referrer spam - Wikipedia ↩︎