Seção 1: Por que os bots visam os widgets de provador
Os widgets de provador virtual são um alvo atraente para bots porque fornecem geração gratuita de imagens por IA. Um endpoint de provador aceita uma foto e uma imagem de produto e retorna um resultado composto por IA — da perspectiva de um bot, esta é uma API de geração de imagens de IA gratuita e acessível publicamente. Scripts automatizados podem atingir o endpoint milhares de vezes por hora para gerar imagens de produtos, retratos ou dados de treinamento sintéticos a custo zero para o invasor e com custo total do limite mensal para você como lojista.
O incentivo econômico é significativo: uma API de geração de imagem de IA de qualidade normalmente custa entre US$ 0,05 e US$ 0,20 por imagem. Um endpoint de widget de provador sem proteção contra bots está efetivamente oferecendo este serviço gratuitamente para qualquer pessoa que faça engenharia reversa no formato da solicitação. Em escala, uma única campanha de bot pode esgotar toda a cota mensal de provador de um lojista em horas, deixando os compradores reais com um serviço degradado pelo resto do período de faturamento.
Seção 2: A pilha de defesa de cinco camadas do Photta
O Photta implementa cinco defesas independentes, cada uma capturando um vetor de ataque diferente. Camada 1 — hCaptcha: cada solicitação de provador deve incluir um token hCaptcha válido gerado no navegador. Bots headless e clientes HTTP automatizados não podem resolver o hCaptcha sem interação humana, bloqueando ataques de script simples. Camada 2 — fingerprinting BotD: o SDK executa o BotScore da FingerprintJS para detectar navegadores headless, frameworks de automação (Puppeteer, Playwright) e ambientes de navegador suspeitos antes mesmo que o comprador envie uma foto.
Camada 3 — Lista de permissões de domínio: sua chave pk_live_ aceita apenas solicitações de domínios que você registrar em Configurações → Domínios Permitidos. Solicitações de qualquer outra origem retornam HTTP 403 imediatamente, antes que qualquer processamento de IA ocorra. Camada 4 — Limite de taxa de IP: mais de 10 solicitações de provador por minuto de um único endereço IP acionam o estrangulamento automático; mais de 30 por minuto acionam um bloqueio temporário. Camada 5 — Limite mensal: o limite mensal de provador do seu plano (500/2.000/10.000 dependendo do nível) é limitado rigidamente no lado do servidor. Esgotar o limite interrompe todos os provadores pelo resto do ciclo de faturamento, evitando cenários de custos descontrolados.
Seção 3: Monitore tentativas de bot em seu painel
Faça login no business.photta.app e navegue até Segurança. O painel de Segurança mostra três gráficos atualizados em tempo real: Tentativas Bloqueadas (total por hora), Detalhamento do Motivo do Bloqueio (falhas hCaptcha vs. detecções BotD vs. incompatibilidades de domínio vs. gatilhos de limite de taxa) e IPs Mais Bloqueados (os endereços IP que geraram a maioria das solicitações bloqueadas nas últimas 24 horas). Uma loja saudável normalmente mostra quase zero tentativas bloqueadas durante o horário normal de operação.
O painel de Segurança também inclui uma seção de Alertas de Anomalia. A camada de análise do Photta monitora picos repentinos no volume de provadores ou tentativas bloqueadas que se desviam mais de três desvios padrão da sua linha de base de 7 dias. Quando uma anomalia é detectada, você recebe uma notificação por e-mail em até 15 minutos e o alerta aparece no painel. Você pode configurar limites de notificação em Configurações → Notificações → Alertas de Segurança.
Seção 4: Responder a atividades suspeitas
Ao ver padrões incomuns no painel de Segurança — um pico em solicitações bloqueadas, um cluster de tentativas de uma faixa de IP ou uma queda repentina em sua cota mensal — tome estas ações em ordem. Primeiro, verifique a lista de IPs Mais Bloqueados. Se um ou um pequeno número de IPs for responsável pela maioria das tentativas bloqueadas, clique em 'Bloquear IP' ao lado de cada um para bani-los permanentemente na camada Photta. Os bloqueios são aplicados imediatamente e persistem até que você os remova manualmente.
Segundo, se o ataque estiver usando vários IPs (uma botnet distribuída), entre em contato com o suporte do Photta via chat do painel com seu ID de lojista e o intervalo de tempo do ataque. A equipe de segurança do Photta pode aplicar um bloqueio em nível CIDR na sub-rede de ataque em poucas horas. Terceiro, se sua cota mensal tiver sido significativamente esgotada por atividade de bot, abra um ticket de suporte — o Photta oferece restauração de cota única para ataques de bot documentados. Anexe uma captura de tela do alerta de anomalia do seu painel de Segurança como evidência.
Seção 5: Quando adicionar CAPTCHA personalizado por cima
O hCaptcha integrado do Photta funciona de forma invisível — a maioria dos compradores legítimos nunca vê um desafio CAPTCHA. Em casos muito raros (lojas de alto valor, endpoints de widget indexados publicamente), as defesas integradas podem não ser suficientes se um invasor sofisticado estiver usando fazendas de resolução de CAPTCHA humana. Neste cenário, adicione uma segunda camada de CAPTCHA no nível da sua própria página de produto antes de chamar photta.open(). Verifique seu CAPTCHA personalizado em seu servidor e, em seguida, passe um token de verificação assinado para o SDK do Photta como photta.open({ verificationToken: 'seu_token' }) para garantir que apenas sessões verificadas possam iniciar um provador.
O CAPTCHA personalizado é o último recurso para lojas que sofreram ataques sofisticados repetidos. Para a grande maioria dos lojistas, a pilha de cinco camadas do Photta fornece proteção suficiente sem fricção visível para o comprador. Se você estiver avaliando se deve adicionar uma camada personalizada, verifique primeiro o Detalhamento do Motivo do Bloqueio no painel de Segurança — se as falhas de hCaptcha representarem menos de 1% do total de tentativas bloqueadas, a pilha está funcionando e uma camada adicional adiciona fricção sem ganho de segurança significativo.