Bagian 1: Mengapa bot menargetkan widget try-on
Widget virtual try-on adalah target bot yang menarik karena menyediakan pembuatan gambar AI secara gratis. Titik akhir (endpoint) try-on menerima foto dan gambar produk lalu mengembalikan hasil komposit AI — dari sudut pandang bot, ini adalah API pembuatan gambar AI gratis yang dapat diakses publik. Skrip otomatis dapat menghantam endpoint tersebut ribuan kali per jam untuk menghasilkan gambar produk, pasfoto, atau data pelatihan sintetis tanpa biaya bagi penyerang dan menghabiskan kuota bulanan Anda sebagai merchant.
Insentif ekonominya signifikan: API pembuatan gambar AI yang berkualitas biasanya berbiaya $0,05–0,20 per gambar. Endpoint widget try-on tanpa perlindungan bot secara efektif menawarkan layanan ini secara gratis kepada siapa pun yang merekayasa balik format permintaan. Dalam skala besar, satu kampanye bot dapat menghabiskan seluruh kuota try-on bulanan merchant dalam hitungan jam, meninggalkan pembeli asli dengan layanan yang terdegradasi selama sisa periode penagihan.
Bagian 2: Lima lapis tumpukan pertahanan Photta
Photta menerapkan lima pertahanan independen, masing-masing menangkap vektor serangan yang berbeda. Lapis 1 — hCaptcha: setiap permintaan try-on harus menyertakan token hCaptcha valid yang dihasilkan di browser. Bot headless dan klien HTTP otomatis tidak dapat menyelesaikan hCaptcha tanpa interaksi manusia, sehingga memblokir serangan skrip sederhana. Lapis 2 — sidik jari BotD: SDK menjalankan BotScore oleh FingerprintJS untuk mendeteksi browser headless, framework otomasi (Puppeteer, Playwright), dan lingkungan browser yang mencurigakan bahkan sebelum pembeli mengirimkan foto.
Lapis 3 — Allowlisting domain: kunci pk_live_ Anda hanya menerima permintaan dari domain yang Anda daftarkan di Pengaturan → Domain yang Diizinkan. Permintaan dari asal lain akan segera mengembalikan HTTP 403 sebelum pemrosesan AI terjadi. Lapis 4 — Pembatasan laju IP: lebih dari 10 permintaan try-on per menit dari satu alamat IP akan memicu pembatasan otomatis; lebih dari 30 per menit akan memicu pemblokiran sementara. Lapis 5 — Batas bulanan: batas try-on bulanan paket Anda (500/2.000/10.000 tergantung level) dibatasi secara ketat di sisi server. Menghabiskan kuota akan menghentikan semua try-on untuk sisa siklus penagihan, mencegah skenario biaya yang tidak terkendali.
Bagian 3: Pantau upaya bot di dasbor Anda
Masuk ke business.photta.app dan buka Keamanan. Panel Keamanan menampilkan tiga grafik yang diperbarui secara real-time: Upaya yang Diblokir (total per jam), Rincian Alasan Pemblokiran (kegagalan hCaptcha vs deteksi BotD vs ketidakcocokan domain vs pemicu batas laju), dan IP Teratas yang Diblokir (alamat IP yang menghasilkan permintaan blokir terbanyak dalam 24 jam terakhir). Toko yang sehat biasanya menunjukkan hampir nol upaya yang diblokir selama jam operasional normal.
Panel Keamanan juga mencakup bagian Peringatan Anomali. Lapisan analitik Photta memantau lonjakan mendadak dalam volume try-on atau upaya yang diblokir yang menyimpang lebih dari tiga standar deviasi dari garis dasar 7 hari Anda. Saat anomali terdeteksi, Anda menerima notifikasi email dalam waktu 15 menit dan peringatan muncul di dasbor. Anda dapat mengonfigurasi ambang batas notifikasi di bawah Pengaturan → Notifikasi → Peringatan Keamanan.
Bagian 4: Menanggapi aktivitas mencurigakan
Saat Anda melihat pola yang tidak biasa di panel Keamanan — lonjakan permintaan yang diblokir, kumpulan upaya dari satu rentang IP, atau penurunan mendadak pada kuota bulanan Anda — lakukan tindakan ini secara berurutan. Pertama, periksa daftar IP Teratas yang Diblokir. Jika satu atau sejumlah kecil IP menyumbang sebagian besar upaya yang diblokir, klik 'Blokir IP' di samping masing-masing untuk melarang mereka secara permanen di lapisan Photta. Pemblokiran berlaku segera dan bertahan hingga Anda menghapusnya secara manual.
Kedua, jika serangan menggunakan beberapa IP (botnet terdistribusi), hubungi dukungan Photta melalui chat dasbor dengan ID merchant Anda dan rentang waktu serangan. Tim keamanan Photta dapat menerapkan pemblokiran tingkat CIDR pada subnet penyerang dalam beberapa jam. Ketiga, jika kuota bulanan Anda telah terkuras secara signifikan oleh aktivitas bot, buka tiket dukungan — Photta menawarkan pemulihan kuota satu kali untuk serangan bot yang terdokumentasi. Lampirkan tangkapan layar peringatan anomali panel Keamanan Anda sebagai bukti.
Bagian 5: Kapan harus menambahkan CAPTCHA khusus tambahan
hCaptcha bawaan Photta berjalan secara tidak terlihat — sebagian besar pembeli sah tidak pernah melihat tantangan CAPTCHA. Dalam kasus yang sangat jarang (toko bernilai tinggi, endpoint widget yang terindeks secara publik), pertahanan bawaan mungkin tidak cukup jika penyerang canggih menggunakan peternakan pemecah CAPTCHA manusia. Dalam skenario ini, tambahkan lapisan CAPTCHA kedua di tingkat halaman produk Anda sendiri sebelum memanggil photta.open(). Verifikasi CAPTCHA khusus Anda di server Anda, lalu kirimkan token verifikasi yang telah ditandatangani ke SDK Photta sebagai photta.open({ verificationToken: 'token_anda' }) untuk memastikan hanya sesi terverifikasi yang dapat memulai try-on.
CAPTCHA khusus adalah upaya terakhir bagi toko yang telah mengalami serangan canggih berulang kali. Bagi sebagian besar merchant, tumpukan lima lapis Photta memberikan perlindungan yang memadai tanpa gesekan yang terlihat oleh pembeli. Jika Anda sedang mengevaluasi apakah akan menambahkan lapisan khusus, periksa Rincian Alasan Pemblokiran panel Keamanan Anda terlebih dahulu — jika kegagalan hCaptcha menyumbang kurang dari 1% dari total upaya yang diblokir, tumpukan tersebut berfungsi dan lapisan tambahan hanya menambah hambatan tanpa keuntungan keamanan yang berarti.