सेक्शन 1: बॉट्स ट्राई-ऑन विजेट्स को निशाना क्यों बनाते हैं
वर्चुअल ट्राई-ऑन विजेट एक आकर्षक बॉट लक्ष्य हैं क्योंकि वे मुफ्त AI इमेज जनरेशन प्रदान करते हैं। एक ट्राई-ऑन एंडपॉइंट एक फोटो और एक प्रोडक्ट इमेज स्वीकार करता है और एक AI-कंपोजिट परिणाम देता है — बॉट के दृष्टिकोण से, यह एक मुफ्त, सार्वजनिक रूप से सुलभ AI इमेज जनरेशन API है। स्वचालित स्क्रिप्ट हमलावर को बिना किसी लागत के और आपको मर्चेंट के रूप में पूरी मासिक सीमा की लागत पर उत्पाद चित्र, हेडशॉट्स या सिंथेटिक प्रशिक्षण डेटा उत्पन्न करने के लिए हर घंटे हजारों बार एंडपॉइंट पर हिट कर सकती हैं।
आर्थिक प्रोत्साहन महत्वपूर्ण है: एक गुणवत्ता वाली AI इमेज जनरेशन API की लागत आमतौर पर प्रति इमेज $0.05–0.20 होती है। बॉट सुरक्षा के बिना एक ट्राई-ऑन विजेट एंडपॉइंट प्रभावी रूप से किसी भी व्यक्ति को यह सेवा मुफ्त में दे रहा है जो रिक्वेस्ट फॉर्मेट को रिवर्स-इंजीनियर करता है। बड़े पैमाने पर, एक एकल बॉट अभियान घंटों में मर्चेंट के पूरे मासिक ट्राई-ऑन कोटा को समाप्त कर सकता है, जिससे वास्तविक खरीदारों को शेष बिलिंग अवधि के लिए खराब सेवा मिलती है।
सेक्शन 2: Photta का पांच-परत सुरक्षा स्टैक
Photta पांच स्वतंत्र सुरक्षा परतें तैनात करता है, जिनमें से प्रत्येक एक अलग हमले के रास्ते को पकड़ती है। लेयर 1 — hCaptcha: प्रत्येक ट्राई-ऑन रिक्वेस्ट में ब्राउज़र में जेनरेट किया गया एक मान्य hCaptcha टोकन होना चाहिए। हेडलेस बॉट्स और ऑटोमेटेड HTTP क्लाइंट मानवीय संपर्क के बिना hCaptcha को हल नहीं कर सकते, जिससे सरल स्क्रिप्टेड हमले रुक जाते हैं। लेयर 2 — BotD फिंगरप्रिंटिंग: SDK खरीदार द्वारा फोटो सबमिट करने से पहले ही हेडलेस ब्राउज़र, ऑटोमेशन फ्रेमवर्क (Puppeteer, Playwright), और संदिग्ध ब्राउज़र वातावरण का पता लगाने के लिए FingerprintJS द्वारा BotScore चलाता है।
लेयर 3 — डोमेन अनुमति सूची (Domain allowlisting): आपकी pk_live_ कुंजी केवल उन्हीं डोमेन से अनुरोध स्वीकार करती है जिन्हें आप सेटिंग्स → अनुमत डोमेन (Allowed Domains) में पंजीकृत करते हैं। किसी भी अन्य मूल से अनुरोध तुरंत HTTP 403 लौटाते हैं, किसी भी AI प्रोसेसिंग होने से पहले। लेयर 4 — IP दर सीमा: एक ही IP पते से प्रति मिनट 10 से अधिक ट्राई-ऑन अनुरोध स्वचालित थ्रॉटलिंग को ट्रिगर करते हैं; प्रति मिनट 30 से अधिक अस्थायी ब्लॉक को ट्रिगर करते हैं। लेयर 5 — मासिक कैप: आपके प्लान की मासिक ट्राई-ऑन सीमा (स्तर के आधार पर 500/2,000/10,000) सर्वर-साइड पर हार्ड-कैप है। कैप समाप्त होने से शेष बिलिंग चक्र के लिए सभी ट्राई-ऑन बंद हो जाते हैं, जिससे अनियंत्रित लागत की स्थिति रुक जाती है।
सेक्शन 3: अपने डैशबोर्ड में बॉट प्रयासों की निगरानी करें
business.photta.app में लॉग इन करें और सुरक्षा (Security) पर जाएं। सुरक्षा पैनल रीयल-टाइम में अपडेट किए गए तीन चार्ट दिखाता है: ब्लॉक किए गए प्रयास (कुल प्रति घंटा), ब्लॉक कारण ब्रेकडाउन (hCaptcha विफलता बनाम BotD डिटेक्शन बनाम डोमेन बेमेल बनाम दर सीमा ट्रिगर), और शीर्ष ब्लॉक किए गए IP (पिछले 24 घंटों में सबसे अधिक ब्लॉक किए गए अनुरोध उत्पन्न करने वाले IP पते)। एक स्वस्थ स्टोर आमतौर पर सामान्य परिचालन घंटों के दौरान शून्य के करीब ब्लॉक किए गए प्रयास दिखाता है।
सुरक्षा पैनल में विसंगति अलर्ट (Anomaly Alerts) सेक्शन भी शामिल है। Photta की एनालिटिक्स लेयर ट्राई-ऑन वॉल्यूम या ब्लॉक किए गए प्रयासों में अचानक वृद्धि पर नज़र रखती है जो आपके 7-दिवसीय बेसलाइन से तीन मानक विचलनों से अधिक विचलित होते हैं। जब किसी विसंगति का पता चलता है, तो आपको 15 मिनट के भीतर एक ईमेल सूचना प्राप्त होती है और अलर्ट डैशबोर्ड में दिखाई देता है। आप सेटिंग्स → सूचनाएं → सुरक्षा अलर्ट के तहत अधिसूचना थ्रेशोल्ड कॉन्फ़िगर कर सकते हैं।
सेक्शन 4: संदिग्ध गतिविधि पर प्रतिक्रिया दें
जब आप सुरक्षा पैनल में असामान्य पैटर्न देखते हैं — ब्लॉक किए गए अनुरोधों में वृद्धि, एक IP रेंज से प्रयासों का समूह, या आपके मासिक कोटा में अचानक गिरावट — तो क्रम में ये क्रियाएं करें। सबसे पहले, शीर्ष ब्लॉक किए गए IPs (Top Blocked IPs) सूची की जाँच करें। यदि एक या कम संख्या में IPs अधिकांश ब्लॉक किए गए प्रयासों के लिए जिम्मेदार हैं, तो प्रत्येक के बगल में 'Block IP' पर क्लिक करके उन्हें Photta स्तर पर स्थायी रूप से प्रतिबंधित करें। ब्लॉक तुरंत लागू होते हैं और तब तक बने रहते हैं जब तक आप उन्हें मैन्युअल रूप से हटा नहीं देते।
दूसरा, यदि हमला कई IPs (एक वितरित बॉटनेट) का उपयोग कर रहा है, तो अपनी मर्चेंट आईडी और हमले के टाइमस्टैम्प रेंज के साथ डैशबोर्ड चैट के माध्यम से Photta सहायता से संपर्क करें। Photta की सुरक्षा टीम कुछ घंटों के भीतर हमलावर सबनेट पर CIDR-स्तर का ब्लॉक लगा सकती है। तीसरा, यदि बॉट गतिविधि द्वारा आपका मासिक कोटा काफी कम हो गया है, तो एक सहायता टिकट खोलें — Photta प्रलेखित बॉट हमलों के लिए एक बार कोटा बहाली (quota restoration) की पेशकश करता है। सबूत के तौर पर अपने सुरक्षा पैनल के विसंगति अलर्ट का स्क्रीनशॉट संलग्न करें।
सेक्शन 5: ऊपर से कस्टम CAPTCHA कब जोड़ें
Photta का बिल्ट-इन hCaptcha अदृश्य रूप से चलता है — अधिकांश वैध खरीदार कभी भी CAPTCHA चुनौती नहीं देखते हैं। बहुत दुर्लभ मामलों में (उच्च-मूल्य वाले स्टोर, सार्वजनिक रूप से अनुक्रमित विजेट एंडपॉइंट), यदि कोई परिष्कृत हमलावर मानव CAPTCHA-समाधान फार्मों का उपयोग कर रहा है तो अंतर्निहित सुरक्षा पर्याप्त नहीं हो सकती है। इस परिदृश्य में, photta.open() कॉल करने से पहले अपने स्वयं के उत्पाद पृष्ठ स्तर पर एक दूसरी CAPTCHA परत जोड़ें। अपने सर्वर पर अपने कस्टम CAPTCHA को सत्यापित करें, फिर Photta SDK को एक हस्ताक्षरित सत्यापन टोकन photta.open({ verificationToken: 'your_token' }) के रूप में पास करें ताकि यह सुनिश्चित हो सके कि केवल सत्यापित सत्र ही ट्राई-ऑन शुरू कर सकें।
कस्टम CAPTCHA उन स्टोर्स के लिए अंतिम उपाय है जिन्होंने बार-बार परिष्कृत हमलों का अनुभव किया है। अधिकांश व्यापारियों के लिए, Photta का पांच-परत स्टैक बिना किसी खरीदार-दृश्य घर्षण के पर्याप्त सुरक्षा प्रदान करता है। यदि आप मूल्यांकन कर रहे हैं कि कस्टम लेयर जोड़नी है या नहीं, तो पहले अपने सुरक्षा पैनल का 'Block Reason Breakdown' जांचें — यदि hCaptcha विफलताएं आपके कुल ब्लॉक किए गए प्रयासों के 1% से कम हैं, तो स्टैक काम कर रहा है और एक अतिरिक्त परत बिना किसी सार्थक सुरक्षा लाभ के घर्षण जोड़ती है।