PrestaShop en 2026 : comment les bots IA (ChatGPT, Claude, Perplexity) ruinent vos performances — et ce que votre migration PS 9 a aggravé sans que vous le sachiez

Vous avez remarque que votre boutique PrestaShop est plus lente en 2026, que vos erreurs 500 se multiplient le matin, ou que votre bande passante a double sans explication ? Vous n etes pas fou. Et ce n est pas (seulement) votre faute.

En 2025, le trafic des bots IA a explose de 187 % pendant que le trafic humain ne gagnait que 3,1 %. Depuis fin mars 2026, OpenAI a redirige les acheteurs ChatGPT vers les boutiques marchandes au lieu de son propre systeme de paiement, provoquant une nouvelle vague de requetes automatisees sur les pages produits et checkout PrestaShop.

Resultat concret sur une boutique PrestaShop moyenne en avril 2026 :

• Entre 30 et 60 % du trafic serveur provient de bots IA (ChatGPT-User, Claude, Perplexity, GPTBot, Meta-ExternalAgent...)
• La table ps_connections explose a plusieurs Go en quelques semaines
• MySQL sature la nuit, les erreurs 500 du matin deviennent recurrentes
• Les Core Web Vitals chutent, et Google finit par declasser

Et pour ceux qui ont migre vers PrestaShop 9 en 2025-2026, le probleme est souvent amplifie par la migration elle-meme, sans que personne ne fasse le lien. C est ce que nous demontons dans cet article.

Partie 1 - L explosion des bots IA en 2026 : ce qu il se passe reellement

Les 8 user-agents a connaitre absolument

Ces bots crawlent votre boutique tous les jours, souvent plusieurs fois par heure :

• GPTBot (OpenAI) : crawl pour entrainement. Respecte robots.txt mais pas tous les endpoints.
• ChatGPT-User (OpenAI) : requetes a la demande en temps reel. Ne respecte pas robots.txt.
• OAI-SearchBot (OpenAI) : index pour ChatGPT Search. Respecte partiellement.
• ClaudeBot (Anthropic) : crawl pour Claude.ai. Respecte robots.txt.
• Claude-User (Anthropic) : requetes a la demande. Ignore robots.txt.
• PerplexityBot (Perplexity AI) : index + requetes a la demande. Respect inegal.
• Meta-ExternalAgent (Meta) : crawl pour IA Meta. Respecte partiellement.
• Bytespider (ByteDance / TikTok) : crawl massif et extremement agressif. Ignore robots.txt.

Un seul ChatGPT-User declenche par une requete d achat peut visiter 40+ pages produit en quelques minutes, sans executer le JavaScript et sans jamais convertir. Multipliez par des centaines d utilisateurs par jour, vous avez un trafic fantome colossal.

Pourquoi PrestaShop est particulierement vulnerable

PrestaShop stocke par defaut chaque visite dans la table ps_connections et ses tables soeurs : ps_connections_page, ps_connections_source, ps_guest, ps_page_viewed, ps_statssearch. Sur une boutique a fort trafic, cela generait deja des millions de lignes par an. Avec l explosion des bots IA en 2026, ces tables atteignent plusieurs gigaoctets en quelques semaines.

• La base MySQL devient trop lourde pour le serveur
• Les requetes ralentissent toutes les pages du front-office
• La nuit, quand les bots crawlent le plus, MySQL sature
• Au matin, la boutique affiche des erreurs 500 pendant 30 a 90 minutes

Partie 2 - Le piege cache des IP negatives dans ps_connections

Voici le piege technique que 95 % des marchands PrestaShop ne connaissent pas.

PrestaShop stocke les adresses IP dans ps_connections sous forme d entier signe 32 bits. Quand une IP depasse la valeur 2^31 (environ 2,1 milliards), elle est enregistree sous forme negative.

Exemple concret : l IP 216.73.216.48 est stockee comme -666249168 en base. Si vous convertissez juste en retirant le signe, vous obtenez 666249168 qui correspond a 39.182.39.208 : une IP totalement differente et sans rapport.

C est pourquoi tant de marchands bloquent des IP dans leur .htaccess sans aucun effet : ils bloquent la mauvaise IP.

La formule correcte de conversion

Pour obtenir la vraie IP, il faut ajouter 2^32 (soit 4 294 967 296) a toute valeur negative, puis passer par INET_NTOA :

-- Conversion correcte IP signee -> IP lisible
SELECT
    INET_NTOA(IF(ip_address < 0, ip_address + 4294967296, ip_address)) AS ip_vraie,
    ip_address AS ip_stockee
FROM ps_connections
WHERE id_connections = 12345;

Le IF conditionnel evite de corrompre les IP deja positives (plage 0.0.0.0 a 127.255.255.255).

Identifier les 30 IP de bots les plus actives sur 7 jours

-- Top 30 des IP les plus actives sur la derniere semaine
SELECT
    INET_NTOA(IF(ip_address < 0, ip_address + 4294967296, ip_address)) AS ip,
    COUNT(*) AS hits,
    MIN(date_add) AS premiere_visite,
    MAX(date_add) AS derniere_visite
FROM ps_connections
WHERE date_add > DATE_SUB(NOW(), INTERVAL 7 DAY)
GROUP BY ip_address
ORDER BY hits DESC
LIMIT 30;

Une IP qui cumule plus de 3 000 visites hebdomadaires sans commande est presque toujours un bot. Croisez avec ipinfo.io ou whois : AWS, Azure, OVH dedie, Hetzner, Alibaba Cloud trahissent instantanement un scraper.

Partie 3 - Pourquoi PrestaShop 9 amplifie le probleme

La migration vers PrestaShop 9 apporte de reels benefices (Symfony 7, nouvelle API, meilleur typage ORM Doctrine). Elle apporte aussi trois effets collateraux qui rendent votre boutique plus sensible aux bots IA.

1. Symfony 7 et Doctrine multiplient les queries statistiques

Sur PrestaShop 8, chaque visite declenchait 3 a 5 ecritures statistiques. Sur PrestaShop 9 avec Doctrine revu, les hooks statistiques emettent en moyenne 6 a 9 inserts par requete. Multipliez par 40 000 visites bots quotidiennes : la charge MySQL double ou triple sans que le trafic humain n ait bouge.

2. Le cache Smarty pre-compile mal aligne avec les crawls massifs

PrestaShop 9 utilise un moteur de cache Smarty optimise pour les visites humaines repetees. Les bots IA ne reviennent quasiment jamais deux fois sur la meme URL : chaque requete contourne le cache et frappe directement MySQL. Le ratio hit/miss du cache s effondre, et la base MySQL absorbe la charge.

3. Les nouveaux hooks admin-ajax de PrestaShop 9

Le back-office PrestaShop 9 emet plus d appels admin-ajax en arriere-plan (notifications, widgets temps reel, synchronisation modules). Quand un bot IA provoque un pic de charge sur MySQL, ces appels admin se mettent en file d attente et finissent par timeout, provoquant des erreurs 500 visibles meme cote admin.

Consequence : des boutiques qui tournaient correctement en PrestaShop 8.1 basculent en erreurs 500 matinales apres migration vers PrestaShop 9, sans qu aucun module n ait ete touche. Le coupable n est pas la migration : c est le volume bots IA auquel PrestaShop 9 repond moins bien qu une version precedente sans optimisation anti-bot.

Partie 4 - Les 5 actions concretes a lancer cette semaine

1. Bloquer les bots IA par User-Agent dans .htaccess

Premiere defense, la plus efficace car rejette la requete avant que PHP ne tourne :

# Blocage des principaux bots IA agressifs
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (GPTBot|ChatGPT-User|OAI-SearchBot|ClaudeBot|Claude-User|PerplexityBot|Meta-ExternalAgent|Bytespider|anthropic-ai|cohere-ai|Diffbot|FacebookBot|Applebot-Extended) [NC]
RewriteRule .* - [F,L]

Le flag [F] renvoie un 403 Forbidden sans executer PHP ni toucher a MySQL. Zero ecriture dans ps_connections pour ces bots.

2. Completer robots.txt

User-agent: GPTBot
Disallow: /

User-agent: ChatGPT-User
Disallow: /

User-agent: ClaudeBot
Disallow: /

User-agent: PerplexityBot
Disallow: /

User-agent: Meta-ExternalAgent
Disallow: /

User-agent: Bytespider
Disallow: /

Attention : plusieurs de ces bots ignorent robots.txt. Le .htaccess reste la vraie barriere. Le robots.txt bloque les bots honnetes et sert de signal d intention pour le reste.

3. Desactiver definitivement le module statsdata

Le module Gamme de statistiques (statsdata) est responsable de 90 % des ecritures dans ps_connections. Sans cette etape, les tables se re-remplissent des le prochain passage de bot :

UPDATE ps_module SET active = 0 WHERE name = 'statsdata';

Aucun impact visible cote client. Le back-office perd seulement quelques graphiques stats que 95 % des marchands ne consultent jamais.

4. Purger ps_connections et ses tables soeurs

Apres avoir sauvegarde la base complete :

-- Sauvegarde obligatoire avant toute commande
TRUNCATE TABLE ps_connections;
TRUNCATE TABLE ps_connections_page;
TRUNCATE TABLE ps_connections_source;
TRUNCATE TABLE ps_guest;
TRUNCATE TABLE ps_page_viewed;
TRUNCATE TABLE ps_pagenotfound;

Si TRUNCATE bloque MySQL trop longtemps sur une table de plusieurs Go, preferez un DELETE par lots de 10 000 lignes avec date_add < DATE_SUB(NOW(), INTERVAL 30 DAY).

5. Filtrer en amont avec Cloudflare Bot Fight Mode

Le plan gratuit Cloudflare inclut Super Bot Fight Mode et des regles WAF personnalisables. Active les trois elements suivants dans l ordre :

• Security > Bots > Super Bot Fight Mode : ON (option AI Crawlers = Block)
• Security > WAF > Custom Rules : (cf.client.bot) and not (http.user_agent contains "Googlebot") -> Block
• Speed > Caching > Browser TTL : 4 hours minimum sur pages produit

Les bots recoivent un challenge Cloudflare et ne touchent jamais PrestaShop. Le pic MySQL nocturne disparait en 24 a 48h.

Partie 5 - Monitoring et garde-fous automatiques

Surveiller la taille de ps_connections

Requete a lancer chaque lundi matin :

-- Poids detaille des tables de connexions
SELECT
    table_name,
    ROUND(((data_length + index_length) / 1024 / 1024), 2) AS size_mb
FROM information_schema.tables
WHERE table_schema = DATABASE()
  AND table_name LIKE 'ps_connections%'
ORDER BY size_mb DESC;

Seuils d alerte recommandes : 100 Mo (surveillance), 300 Mo (intervention planifiee), 1 Go (urgence).

Cron mensuel de purge

# /etc/cron.d/prestashop-cleanup
# Purge des connexions de plus de 30 jours, chaque 1er du mois a 3h
0 3 1 * * mysql -u USER -pPASSWORD DBNAME -e "DELETE FROM ps_connections WHERE date_add < DATE_SUB(NOW(), INTERVAL 30 DAY) LIMIT 50000;"

Un scanner gratuit BugRescue verifie en une minute les signaux exterieurs (temps de reponse, headers de securite, SSL) qui accompagnent souvent une base saturee par les bots IA.

Retour terrain : boutique fashion migree vers PrestaShop 9

Boutique fashion B2C, 3 500 commandes par mois, migree de PrestaShop 8.1.5 vers PrestaShop 9.0.2 en fevrier 2026. Deux semaines apres migration, erreurs 500 systematiques entre 6h et 9h. TTFB monte de 620 ms a 2,4 s. Aucun module n a ete change.

Diagnostic BugRescue en 30 minutes :

• ps_connections : 3,1 Go (contre 80 Mo avant migration)
• Top 5 IP : 4 plages cloud AWS us-east / Alibaba Cloud (Bytespider + ChatGPT-User)
• Base MySQL sature a chaque pic bots IA nocturne
• Symfony 7 + Doctrine de PrestaShop 9 multiplient les ecritures stats

Resolution en 2h15 : blocage .htaccess des 8 user-agents IA majeurs, purge des 6 tables statistiques, desactivation de statsdata, activation Cloudflare Super Bot Fight Mode. Sept jours plus tard : ps_connections stabilisee a 55 Mo, zero erreur 500, TTFB redescendu a 540 ms.

Questions frequentes

Bloquer ChatGPT-User impacte-t-il mes ventes ?

Non. ChatGPT-User explore sans executer le JavaScript et ne realise pas d achats. Les acheteurs reels qui viennent via ChatGPT Search arrivent sur votre boutique avec un navigateur classique. Seul le crawler est bloque.

Faut-il bloquer GPTBot si je veux etre cite dans ChatGPT ?

Arbitrage a faire selon votre strategie. Si vous visez la citabilite IA (GEO), laissez GPTBot et ClaudeBot crawler mais bloquez ChatGPT-User et Claude-User (requetes a la demande). Vous conservez l indexation tout en coupant le trafic parasite temps reel.

Pourquoi PrestaShop 9 est-il plus sensible aux bots ?

Pas un bug, une consequence d architecture. Symfony 7 et Doctrine typent mieux mais emettent plus de queries par requete HTTP. Le cache Smarty prive-t-il les bots de beaucoup d economies car les bots IA ne repassent jamais. Le back-office est plus reactif mais plus sensible aux pics MySQL.

Mon hebergeur a-t-il un role a jouer ?

Oui. Un hebergement mutualise avec MySQL partage tombe plus vite qu un VPS dedie avec Redis et ProxySQL. Si vous etes sur mutualise et que les bots IA saturent votre base, envisager un passage VPS dedie fait partie du plan long terme.

Dois-je modifier le core de PrestaShop ?

Jamais. Toutes les actions listees ici (htaccess, robots.txt, module statsdata, purge SQL, Cloudflare) sont externes au core et totalement reversibles. C est exactement la raison pour laquelle nous les recommandons en premiere intention.

A retenir

• Bots IA = 30 a 60 % du trafic serveur PrestaShop en 2026
• IP negatives dans ps_connections : ajouter 2^32 pour obtenir la vraie IP
• PrestaShop 9 amplifie le cout de chaque requete bot via Doctrine + cache Smarty moins adapte
• Blocage .htaccess + robots.txt + statsdata desactive + purge mensuelle = 90 % du probleme regle
• Cloudflare Super Bot Fight Mode en amont = couverture complete

Si votre boutique tombe en erreur 500 chaque matin depuis votre migration PrestaShop 9, ou si vos Core Web Vitals degringolent sans explication, c est tres probablement les bots IA qui saturent votre base. Un expert PrestaShop peut auditer le volume de trafic bot en moins d une heure et remettre votre boutique en ligne avant la prochaine saturation. Contactez BugRescue pour un diagnostic gratuit.