Secțiunea 1: De ce boții vizează widgeturile de probă virtuală
Widgeturile de probă virtuală sunt o țintă atractivă pentru boți deoarece oferă generare de imagini AI gratuită. Un endpoint de probă acceptă o fotografie și o imagine de produs și returnează un rezultat compus prin AI — din perspectiva unui bot, acesta este un API de generare de imagini AI gratuit și accesibil public. Scripturile automate pot accesa endpoint-ul de mii de ori pe oră pentru a genera imagini de produs, portrete sau date sintetice de antrenament fără niciun cost pentru atacator și cu costul maxim al limitei tale lunare pentru tine, în calitate de comerciant.
Incentivul economic este semnificativ: un API de generare de imagini AI de calitate costă de obicei între 0,05 $ și 0,20 $ pe imagine. Un endpoint de widget de probă fără protecție împotriva boților oferă efectiv acest serviciu gratuit oricui reușește să analizeze formatul cererii. La scară mare, o singură campanie de boți poate epuiza întreaga cotă lunară a unui comerciant în câteva ore, lăsând cumpărătorii reali cu un serviciu degradat pentru restul perioadei de facturare.
Secțiunea 2: Stiva de apărare în cinci straturi a Photta
Photta desfășoară cinci apărări independente, fiecare vizând un vector de atac diferit. Stratul 1 — hCaptcha: fiecare cerere de probă trebuie să includă un token hCaptcha valid generat în browser. Boții headless și clienții HTTP automatizați nu pot rezolva hCaptcha fără interacțiune umană, blocând atacurile simple prin scripturi. Stratul 2 — amprentarea BotD: SDK-ul rulează BotScore prin FingerprintJS pentru a detecta browserele headless, framework-urile de automatizare (Puppeteer, Playwright) și mediile de browser suspecte înainte ca utilizatorul să trimită măcar o fotografie.
Stratul 3 — Lista de domenii permise: cheia ta pk_live_ acceptă doar cereri de pe domeniile înregistrate în Setări → Domenii Permise. Cererile de la orice altă sursă returnează imediat HTTP 403, înainte de orice procesare AI. Stratul 4 — Limitarea vitezei IP: mai mult de 10 cereri de probă pe minut de la o singură adresă IP declanșează limitarea automată; mai mult de 30 pe minut declanșează o blocare temporară. Stratul 5 — Limita lunară: limita lunară de probe a planului tău (500/2.000/10.000 în funcție de nivel) este plafonată server-side. Epuizarea limitei oprește toate probele pentru restul ciclului de facturare, prevenind scenariile de costuri necontrolate.
Secțiunea 3: Monitorizarea tentativelor de boți în panoul de control
Conectează-te la business.photta.app și navighează la Securitate. Panoul de Securitate afișează trei grafice actualizate în timp real: Tentative Blocate (total pe oră), Detaliere Motive Blocare (eșecuri hCaptcha vs. detecții BotD vs. nepotriviri de domeniu vs. declanșări de limită de viteză) și Top IP-uri Blocate (adresele IP care au generat cele mai multe cereri blocate în ultimele 24 de ore). Un magazin sănătos afișează de obicei aproape zero tentative blocate în timpul orelor normale de funcționare.
Panoul de Securitate include, de asemenea, o secțiune de Alerte de Anomalii. Stratul de analiză al Photta monitorizează vârfurile bruște în volumul de probe sau tentativele blocate care deviază cu mai mult de trei deviații standard față de valoarea ta de bază pe 7 zile. Când este detectată o anomalie, primești o notificare prin e-mail în termen de 15 minute și alerta apare în panoul de control. Poți configura pragurile de notificare în Setări → Notificări → Alerte de Securitate.
Secțiunea 4: Răspunsul la activitatea suspectă
Când observi modele neobișnuite în panoul de Securitate — un vârf de cereri blocate, un cluster de tentative dintr-o gamă de IP-uri sau o scădere bruscă a cotei lunare — urmează acești pași în ordine. Mai întâi, verifică lista Top IP-uri Blocate. Dacă unul sau un număr mic de IP-uri sunt responsabile pentru majoritatea tentativelor blocate, dă clic pe „Blochează IP” lângă fiecare pentru a le interzice permanent la nivelul stratului Photta. Blocările se aplică imediat și persistă până când le elimini manual.
În al doilea rând, dacă atacul folosește mai multe IP-uri (un botnet distribuit), contactează suportul Photta prin chat-ul din panoul de control cu ID-ul de comerciant și intervalul orar al atacului. Echipa de securitate a Photta poate aplica o blocare la nivel de CIDR pe subnetul de atac în câteva ore. În al treilea rând, dacă cota ta lunară a fost epuizată semnificativ de activitatea boților, deschide un tichet de suport — Photta oferă restaurarea cotei o singură dată pentru atacurile de boți documentate. Atașează o captură de ecran a alertei de anomalie din panoul de Securitate ca dovadă.
Secțiunea 5: Când să adaugi un CAPTCHA personalizat suplimentar
Sistemul hCaptcha integrat în Photta rulează invizibil — majoritatea cumpărătorilor legitimi nu văd niciodată o provocare CAPTCHA. În cazuri foarte rare (magazine de mare valoare, endpoint-uri de widget indexate public), apărările integrate pot să nu fie suficiente dacă un atacator sofisticat folosește ferme umane de rezolvare CAPTCHA. În acest scenariu, adaugă un al doilea strat CAPTCHA la nivelul paginii de produs proprii înainte de a apela photta.open(). Verifică CAPTCHA-ul personalizat pe serverul tău, apoi transmite un token de verificare semnat către SDK-ul Photta ca photta.open({ verificationToken: 'tokenul_tau' }) pentru a te asigura că doar sesiunile verificate pot iniția o probă.
CAPTCHA-ul personalizat este o ultimă soluție pentru magazinele care au experimentat atacuri sofisticate repetate. Pentru marea majoritate a comercianților, stiva de cinci straturi a Photta oferă protecție suficientă fără fricțiune vizibilă pentru cumpărător. Dacă evaluezi dacă să adaugi un strat personalizat, verifică mai întâi Detalierea Motivelor de Blocare din panoul de Securitate — dacă eșecurile hCaptcha reprezintă mai puțin de 1% din totalul tentativelor blocate, stiva funcționează și un strat suplimentar adaugă fricțiune fără un câștig de securitate semnificativ.