Googlebot 403 的直接答案是:網站把 Google 的爬蟲請求當成禁止存取處理,搜尋引擎可能無法抓取、重新處理或保留該 URL。如果這是 WAF、CDN、防火牆、Bot 管理或登入規則誤判,台灣中小企業要把它當成 SEO 與資安共同事件處理:先確認請求是否為真 Googlebot,再找出是哪一條規則回 403,最後只對已驗證的合法爬蟲或必要 URL 放行,不要靠 User-Agent 字串全面開門。
Googlebot 403 先看兩件事:可抓取與可索引
Google Search 的最低技術門檻很清楚:Googlebot 不能被阻擋、頁面要能正常回應 HTTP 200,並且要有可索引內容。參考:Google Search technical requirements。因此,Googlebot 403 不是只會讓工具報錯;如果重要頁長期回 403,搜尋引擎取得不到內容,後續的索引、摘要與 AI 搜尋引用都會受影響。
Google 的 HTTP 狀態碼文件也說明,Google 不會使用回傳 4xx 的 URL 內容;已被使用或已收錄的 URL 若開始回 4xx,Google 系統會隨時間停止使用它。文件也提醒不要用 401 或 403 來限制爬取速率。參考:How HTTP status codes affect Google's crawlers。
為什麼 WAF 和 CDN 會擋到搜尋爬蟲?
常見原因不是單一設定錯誤,而是多層規則互相疊加。新網站上線、搬到 Cloudflare、導入代管主機安全模組、開啟 Bot Fight、套用地區封鎖、限制資料中心 IP、或對高頻請求做 Managed Challenge,都可能讓 Googlebot、Googlebot Smartphone、圖片爬蟲或檢查工具拿到 403、挑戰頁或空內容。
Cloudflare 的 WAF custom rules 文件說明,自訂規則可以依條件對進站流量執行 Block、Managed Challenge 或 Skip 等動作;規則有執行順序,某些 Block 動作會讓後續規則不再執行。參考:Cloudflare WAF custom rules。這代表修復時不能只加一條放行規則,還要確認它在正確的規則階段與順序中生效。
先驗證是不是真的 Googlebot,不要只信 User-Agent
資安團隊擔心放行爬蟲是合理的,因為任何人都可以偽造 User-Agent。Google 的官方做法是從伺服器存取紀錄拿到 IP,做反向 DNS 查詢,確認網域屬於 googlebot.com、google.com 或 googleusercontent.com,再做正向 DNS 查詢,確認解析回同一個 IP。大型網站也可以比對 Google 公布的 crawler IP range JSON。參考:Verify requests from Google crawlers and fetchers。
Cloudflare 也有 verified bots 概念,指 Cloudflare 已確認為合法的搜尋引擎爬蟲或監測服務;其文件提到驗證方式包含 Web Bot Auth 與 IP validation。參考:Cloudflare verified bots。實務上,SEO、工程與資安應共同採用「已驗證爬蟲」條件,而不是用 contains Googlebot 的字串規則放行所有請求。
Search Console 403 的優先處理順序
不是每一個 403 都同等緊急。登入後台、會員資料、購物車、內部搜尋結果或測試路徑本來就不一定該被索引;但首頁、分類頁、服務頁、商品頁、文章、FAQ、案例頁與 sitemap 相關 URL 如果回 403,就要優先處理。
| 情境 | SEO 風險 | 處理方式 |
|---|---|---|
| 首頁、服務頁、商品頁對 Googlebot 回 403 | 高,可能影響抓取、索引與搜尋曝光 | 立即查 WAF/CDN/主機規則,驗證真 Googlebot 後放行公開頁 |
| 圖片、CSS、JS 被安全規則挑戰 | 中到高,可能影響渲染與圖片理解 | 檢查 Googlebot Smartphone 能否取得必要資源 |
| 登入、後台、購物車回 403 | 通常低,前提是它們不是搜尋落地頁 | 保留防護,必要時用 noindex 或 robots 規則治理 |
| 大量 403 來自假 Googlebot | 資安風險高,但不是要放行 | 保留封鎖,記錄驗證依據,避免誤判成 SEO 問題 |
WAF SEO 修復 SOP:五步驟處理
1. 收集同一時間窗的三份證據
先抓 Search Console URL Inspection 或 Crawl Stats 的錯誤樣本,再抓 CDN/WAF 安全事件,最後抓主機或應用伺服器 access log。三份資料要對到同一批 URL、時間、IP、狀態碼與 User-Agent。只有 Search Console 截圖不夠,因為你還不知道 403 是由邊緣節點、WAF、來源站、登入規則或應用程式產生。
2. 驗證爬蟲身分與 URL 類型
對可疑 IP 做 Googlebot 驗證。若驗證成功,而且 URL 是公開頁、圖片、CSS、JS、sitemap 或 RSS,進入修復流程;若驗證失敗,就不要為了 SEO 放行。若 URL 本來不該被索引,則把它列入資訊架構或索引控制檢查,而不是改 WAF。
3. 找出是哪一層規則回 403
依序檢查 CDN 安全事件、WAF custom rules、Bot 管理、Rate limiting、地區封鎖、來源站防火牆、主機外掛、應用登入檢查與負載平衡器。Cloudflare 類似系統中,規則順序很重要;如果前面已有 Block,後面的 allow 或 skip 可能根本沒有機會執行。
4. 用最小範圍修復,不要全站裸奔
比較好的修復方式,是針對已驗證的搜尋引擎爬蟲、公開路徑與必要資源建立放行或 skip 條件;同時保留對登入、後台、查詢大量異常、可疑國家或敏感路徑的防護。不要把所有資安功能關掉,也不要只靠 User-Agent 放行,因為那會讓假爬蟲更容易繞過防護。
5. 驗證 Google 看到的是 200 與可渲染內容
修復後,用 URL Inspection、伺服器 log、CDN 事件與實際 HTTP 測試確認公開 URL 對 Googlebot 回 200,並能取得主要 HTML、圖片與渲染必要資源。若頁面恢復 200 但內容是空白、挑戰頁或登入頁,對搜尋與 AI 引用仍然不可靠。
台灣中小企業的跨團隊分工
台灣 SME 常見狀況是:行銷看 Search Console、外包工程管主機、資安或 IT 管 Cloudflare,網站代理商負責 CMS。這時候最容易卡在「誰可以改規則」。建議把事件單拆成四個欄位:受影響 URL、Googlebot 驗證結果、命中的 WAF/CDN 規則、修復後驗收證據。這樣行銷不需要指揮資安怎麼放行,資安也不需要猜哪些 URL 有商業價值。
適用對象是有公開內容依賴自然搜尋的公司:電商、B2B 服務、醫療與在地服務、SaaS、品牌官網、知識庫與部落格。不適用於要刻意阻擋搜尋的私有系統、會員資料、未公開報價、測試環境或法規要求不能公開的內容。
AEO/GEO 驗收:讓答案引擎也看得懂修復依據
對 AEO 而言,文章和內部文件要能回答「為什麼我的頁面沒有被抓到」這類問題;對 GEO 而言,系統需要清楚實體與證據。把每次事件整理成可引用紀錄:哪個網域、哪批 URL、哪種爬蟲、哪個狀態碼、哪條規則、哪個修復時間、哪個來源證明修復有效。這些紀錄也能幫客服、業務或主管理解,搜尋流量下降不一定是內容退步,也可能是技術存取被擋。
資料更新與限制
本文於 2026-05-30 依據 Google Search Central 技術要求、Google crawler verification、Google HTTP status code 文件,以及 Cloudflare verified bots 與 WAF custom rules 文件整理。Google、Cloudflare、主機商與 WAF 產品的介面、規則名稱、Bot 分類與驗證方式可能調整;實作前應以你目前的 CDN、主機與 Search Console 證據為準。
限制是:修復 Googlebot 403 不保證排名恢復,也不代表每個 URL 都應該被索引。它只是先恢復搜尋引擎與答案引擎接觸公開內容的基本條件。若內容品質、內部連結、canonical、noindex、速度或重複內容仍有問題,仍需要另外處理。
結論:把 403 當成可驗證的 SEO 資安事件
Googlebot 403 最危險的地方,是它看起來像資安小設定,實際上可能切斷搜尋引擎和 AI 搜尋接觸公開內容的入口。台灣中小企業不需要在 SEO 和安全之間二選一;正確做法是驗證真爬蟲、定位規則、最小範圍放行、保留防護,並用 Search Console、CDN 事件和伺服器 log 驗收。只要流程清楚,WAF SEO 可以同時守住安全與自然搜尋曝光。
FAQ
Googlebot 403 會讓頁面立刻消失嗎?
不一定立刻消失,但若重要 URL 持續對 Googlebot 回 403,Google 可能無法重新抓取與使用該內容,已收錄頁面也可能隨時間被移出索引。
可以直接放行 User-Agent 含 Googlebot 的請求嗎?
不建議。User-Agent 很容易偽造,應使用 Google 官方反向 DNS、正向 DNS 或 IP range 方法驗證,再搭配 CDN 或 WAF 的 verified bot 條件。
Cloudflare 的 verified bots 可以完全取代 log 檢查嗎?
不能完全取代。Verified bots 能降低誤擋風險,但發生 SEO 事故時仍應比對 Search Console、Cloudflare 安全事件與伺服器 log,確認 URL 和狀態碼。
哪些 403 不需要為了 SEO 修復?
登入頁、後台、購物車、會員資料、測試環境與不該公開的內部路徑通常不需要為了 SEO 放行,但仍要確認它們沒有被當成重要落地頁使用。
修復 WAF 後多久能看到 SEO 恢復?
沒有固定時間。先用 URL Inspection 和 log 確認 Googlebot 已取得 200 與可渲染內容,再觀察 Search Console 的抓取、索引與曝光變化。
延伸閱讀
如果你想把這個主題接到下一步操作,可以接著讀: