Sekcja 1: Dlaczego boty atakują widżety przymierzalni
Widżety wirtualnej przymierzalni są atrakcyjnym celem dla botów, ponieważ umożliwiają darmowe generowanie obrazów AI. Punkt końcowy (endpoint) przymierzalni przyjmuje zdjęcie użytkownika oraz zdjęcie produktu i zwraca wynik złożony przez AI — z perspektywy bota jest to darmowe, publicznie dostępne API do generowania obrazów AI. Zautomatyzowane skrypty mogą uderzać w ten punkt tysiące razy na godzinę, aby generować zdjęcia produktów, portrety lub syntetyczne dane treningowe przy zerowych kosztach dla atakującego i pełnym obciążeniu Twojego miesięcznego limitu jako sprzedawcy.
Zachęta ekonomiczna jest znacząca: wysokiej jakości API do generowania obrazów AI kosztuje zazwyczaj od 0,05 do 0,20 USD za obraz. Punkt końcowy widżetu przymierzalni bez ochrony przed botami efektywnie oferuje tę usługę za darmo każdemu, kto odtworzy format zapytania. Przy dużej skali, pojedyncza kampania bota może wyczerpać cały miesięczny limit przymiarek sprzedawcy w ciągu kilku godzin, pozostawiając prawdziwych klientów z ograniczoną usługą do końca okresu rozliczeniowego.
Sekcja 2: Pięciowarstwowy stos obronny Photta
Photta wdraża pięć niezależnych zabezpieczeń, z których każde wyłapuje inny wektor ataku. Warstwa 1 — hCaptcha: każde żądanie przymiarki musi zawierać ważny token hCaptcha wygenerowany w przeglądarce. Boty typu headless i zautomatyzowane klienty HTTP nie mogą rozwiązać hCaptcha bez interakcji człowieka, co blokuje proste ataki skryptowe. Warstwa 2 — fingerprinting BotD: SDK uruchamia BotScore od FingerprintJS w celu wykrycia przeglądarek typu headless, frameworków automatyzacji (Puppeteer, Playwright) i podejrzanych środowisk przeglądarkowych, zanim klient w ogóle prześle zdjęcie.
Warstwa 3 — Biała lista domen: Twój klucz pk_live_ akceptuje żądania tylko z domen zarejestrowanych w Ustawienia → Dozwolone domeny. Żądania z jakiegokolwiek innego źródła natychmiast zwracają błąd HTTP 403, zanim dojdzie do przetwarzania AI. Warstwa 4 — Limit stawek IP: więcej niż 10 żądań przymiarek na minutę z jednego adresu IP uruchamia automatyczne dławienie; więcej niż 30 na minutę skutkuje tymczasową blokadą. Warstwa 5 — Limit miesięczny: miesięczny limit przymiarek w Twoim planie (500/2 000/10 000 zależnie od poziomu) jest sztywno egzekwowany po stronie serwera. Wyczerpanie limitu zatrzymuje wszystkie przymiarki do końca cyklu rozliczeniowego, zapobiegając niekontrolowanym kosztom.
Sekcja 3: Monitorowanie prób botów w panelu sterowania
Zaloguj się do business.photta.app i przejdź do sekcji Bezpieczeństwo. Panel Bezpieczeństwa pokazuje trzy wykresy aktualizowane w czasie rzeczywistym: Zablokowane próby (suma na godzinę), Podział przyczyn blokady (błędy hCaptcha vs detekcje BotD vs niezgodność domen vs limity stawek) oraz Najczęściej blokowane adresy IP (adresy IP generujące najwięcej zablokowanych żądań w ciągu ostatnich 24 godzin). Zdrowy sklep zazwyczaj wykazuje niemal zerową liczbę zablokowanych prób w normalnych godzinach pracy.
Panel Bezpieczeństwa zawiera również sekcję Alerty o anomaliach. Warstwa analityczna Photta monitoruje nagłe skoki wolumenu przymiarek lub zablokowanych prób, które odbiegają o więcej niż trzy odchylenia standardowe od Twojej 7-dniowej średniej. Po wykryciu anomalii otrzymasz powiadomienie e-mail w ciągu 15 minut, a alert pojawi się w panelu. Progi powiadomień możesz skonfigurować w Ustawienia → Powiadomienia → Alerty bezpieczeństwa.
Sekcja 4: Reagowanie na podejrzaną aktywność
Gdy zauważysz nietypowe wzorce w panelu Bezpieczeństwo — skok zablokowanych żądań, skupisko prób z jednego zakresu IP lub nagły spadek miesięcznego limitu — podejmij następujące kroki. Najpierw sprawdź listę Najczęściej blokowanych adresów IP. Jeśli jeden lub kilka adresów IP odpowiada za większość prób, kliknij „Blokuj IP” obok każdego z nich, aby trwale zablokować je na warstwie Photta. Blokady działają natychmiast i utrzymują się do czasu ich ręcznego usunięcia.
Po drugie, jeśli atak wykorzystuje wiele adresów IP (rozproszony botnet), skontaktuj się z pomocą techniczną Photta przez czat w panelu, podając swój identyfikator sprzedawcy i zakres czasowy ataku. Zespół bezpieczeństwa Photta może nałożyć blokadę na poziomie CIDR dla atakującej podsieci w ciągu kilku godzin. Po trzecie, jeśli Twój miesięczny limit został znacząco wyczerpany przez aktywność botów, otwórz zgłoszenie do pomocy technicznej — Photta oferuje jednorazowe przywrócenie limitu w przypadku udokumentowanych ataków botów. Załącz zrzut ekranu alertu o anomalii z panelu Bezpieczeństwo jako dowód.
Sekcja 5: Kiedy dodać własny CAPTCHA
Wbudowany hCaptcha w Photta działa niewidocznie — większość prawdziwych klientów nigdy nie zobaczy wyzwania CAPTCHA. W bardzo rzadkich przypadkach (sklepy o wysokiej wartości, publicznie zaindeksowane punkty końcowe widżetów), wbudowana obrona może nie być wystarczająca, jeśli wyrafinowany atakujący korzysta z farm ludzi rozwiązujących CAPTCHA. W takim scenariuszu dodaj drugą warstwę CAPTCHA na poziomie własnej strony produktu przed wywołaniem photta.open(). Zweryfikuj własny token CAPTCHA na swoim serwerze, a następnie przekaż podpisany token weryfikacyjny do SDK Photta jako photta.open({ verificationToken: 'twój_token' }), aby upewnić się, że tylko zweryfikowane sesje mogą zainicjować przymiarkę.
Niestandardowy mechanizm CAPTCHA to ostateczność dla sklepów, które doświadczyły powtarzających się, zaawansowanych ataków. Dla zdecydowanej większości sprzedawców pięciowarstwowy stos Photta zapewnia wystarczającą ochronę bez widocznych utrudnień dla kupujących. Jeśli rozważasz dodanie niestandardowej warstwy, sprawdź najpierw Podział przyczyn blokady w panelu Bezpieczeństwo — jeśli błędy hCaptcha stanowią mniej niż 1% wszystkich zablokowanych prób, stos działa poprawnie, a dodatkowa warstwa wprowadzi utrudnienia bez znaczącego wzrostu bezpieczeństwa.