Bölüm 1: Botlar neden deneme widget'larını hedef alır?
Sanal deneme widget'ları, ücretsiz AI görüntü üretimi sağladıkları için cazip bir bot hedefidir. Bir deneme uç noktası, bir fotoğrafı ve bir ürün görselini kabul eder ve AI ile birleştirilmiş bir sonuç döndürür — bir botun bakış açısından bu, ücretsiz, halka açık bir AI görüntü üretim API'sidir. Otomatik scriptler, saldırgan için sıfır maliyetle ve satıcı olarak sizin aylık kotanızdan tam maliyetle ürün görselleri, vesikalıklar veya sentetik eğitim verileri oluşturmak için uç noktaya saatte binlerce kez vurabilir.
Ekonomik teşvik önemlidir: Kaliteli bir AI görüntü üretim API'si genellikle görüntü başına 0,05–0,20 dolar maliyete sahiptir. Bot koruması olmayan bir deneme widget uç noktası, istek formatını tersine mühendislik yapan herkes için bu hizmeti etkili bir şekilde ücretsiz sunmaktadır. Ölçeklendiğinde, tek bir bot kampanyası bir satıcının tüm aylık deneme kotasını birkaç saat içinde tüketebilir ve fatura döneminin geri kalanında gerçek alışveriş yapanları düşük kaliteli hizmetle baş başa bırakabilir.
Bölüm 2: Photta'ün beş katmanlı savunma yığını
Photta, her biri farklı bir saldırı vektörünü yakalayan beş bağımsız savunma hattı kurar. Katman 1 — hCaptcha: Her deneme isteği, tarayıcıda oluşturulan geçerli bir hCaptcha belirteci içermelidir. Headless botlar ve otomatik HTTP istemcileri, insan etkileşimi olmadan hCaptcha'yi çözemez ve basit script tabanlı saldırıları engeller. Katman 2 — BotD parmak izi: SDK, alışveriş yapan kişi henüz fotoğraf göndermeden önce headless tarayıcıları, otomasyon çerçevelerini (Puppeteer, Playwright) ve şüpheli tarayıcı ortamlarını tespit etmek için FingerprintJS tarafından sunulan BotScore'u çalıştırır.
Katman 3 — Alan adı beyaz listesi: pk_live_ anahtarınız yalnızca Ayarlar → İzin Verilen Alan Adları kısmında kaydettiğiniz alan adlarından gelen istekleri kabul eder. Diğer tüm kaynaklardan gelen istekler, herhangi bir AI işleme gerçekleşmeden önce anında HTTP 403 hatası döndürür. Katman 4 — IP hız sınırlaması: Tek bir IP adresinden dakikada 10'dan fazla deneme isteği otomatik kısıtlamayı tetikler; dakikada 30'dan fazla istek ise geçici bir engellemeyi tetikler. Katman 5 — Aylık sınır: Planınızın aylık deneme sınırı (kademeye bağlı olarak 500/2.000/10.000), sunucu tarafında kesin olarak sınırlandırılmıştır. Kotanın dolması, fatura döngüsünün geri kalanı için tüm denemeleri durdurarak kontrolden çıkan maliyet senaryolarını önler.
Bölüm 3: Bot girişimlerini panelinizden izleyin
business.photta.app'a giriş yapın ve Güvenlik bölümüne gidin. Güvenlik paneli gerçek zamanlı olarak güncellenen üç grafik gösterir: Engellenen Girişimler (saatlik toplam), Engelleme Nedeni Dağılımı (hCaptcha hataları vs BotD tespitleri vs alan adı uyumsuzlukları vs hız sınırı tetikleyicileri) ve En Çok Engellenen IP'ler (son 24 saat içinde en fazla engellenen isteği oluşturan IP adresleri). Sağlıklı bir mağaza, normal çalışma saatleri içinde genellikle sıfıra yakın engellenmiş girişim gösterir.
Güvenlik paneli ayrıca bir Anomali Uyarıları bölümü içerir. Photta'in analiz katmanı, deneme hacmindeki veya engellenen girişimlerdeki, 7 günlük temel seviyenizden üç standart sapmadan fazla sapan ani artışları izler. Bir anomali tespit edildiğinde, 15 dakika içinde bir e-posta bildirimi alırsınız ve uyarı panelde görünür. Bildirim eşiklerini Ayarlar → Bildirimler → Güvenlik Uyarıları altından yapılandırabilirsiniz.
Bölüm 4: Şüpheli etkinliklere yanıt verme
Güvenlik panelinde olağandışı modeller gördüğünüzde —engellenen isteklerde artış, bir IP aralığından gelen girişim kümesi veya aylık kotanızda ani bir düşüş— sırasıyla şu adımları atın. İlk olarak, En Çok Engellenen IP'ler listesini kontrol edin. Bir veya az sayıda IP, engellenen girişimlerin çoğunu oluşturuyorsa, her birinin yanındaki 'IP Engelle' düğmesine tıklayarak onları Photta katmanında kalıcı olarak yasaklayın. Engellemeler anında uygulanır ve siz manuel olarak kaldırana kadar devam eder.
İkinci olarak, saldırı birden fazla IP kullanıyorsa (dağıtık bir botnet), satıcı kimliğiniz ve saldırı zaman damgası aralığıyla birlikte panel sohbeti aracılığıyla Photta desteğiyle iletişime geçin. Photta güvenlik ekibi, saldıran alt ağa birkaç saat içinde CIDR düzeyinde engelleme uygulayabilir. Üçüncü olarak, aylık kotanız bot etkinliği nedeniyle önemli ölçüde tükendiyse bir destek bileti açın — Photta, belgelenmiş bot saldırıları için tek seferlik kota iadesi sunar. Kanıt olarak Güvenlik panelinizin anomali uyarısının ekran görüntüsünü ekleyin.
Bölüm 5: Üzerine ne zaman özel CAPTCHA eklenmeli
Photta'un yerleşik hCaptcha'u görünmez şekilde çalışır — çoğu gerçek alışverişçi asla bir CAPTCHA doğrulaması görmez. Çok nadir durumlarda (yüksek değerli mağazalar, herkese açık olarak dizine eklenmiş widget uç noktaları), sofistike bir saldırgan insan CAPTCHA çözme çiftlikleri kullanıyorsa yerleşik savunmalar yeterli olmayabilir. Bu senaryoda, photta.open() işlevini çağırmadan önce kendi ürün sayfası düzeyinizde ikinci bir CAPTCHA katmanı ekleyin. Özel CAPTCHA'nızı sunucunuzda doğrulayın, ardından yalnızca doğrulanmış oturumların bir deneme başlatabilmesini sağlamak için imzalı bir doğrulama belirtecini Photta SDK'sına photta.open({ verificationToken: 'belteciniz' }) olarak iletin.
Özel CAPTCHA, tekrarlanan sofistike saldırılara maruz kalan mağazalar için son çaredir. Satıcıların büyük çoğunluğu için Photta'nin beş katmanlı yığını, alışveriş yapanlar için görünür bir engel oluşturmadan yeterli koruma sağlar. Özel bir katman ekleyip eklememeyi değerlendiriyorsanız, önce Güvenlik panelinizin Engelleme Nedeni Dağılımı'nı kontrol edin — eğer hCaptcha hataları toplam engellenen girişimlerinizin %1'inden azını oluşturuyorsa, yığın çalışıyordur ve ek bir katman anlamlı bir güvenlik kazancı sağlamadan kullanıcı deneyimini zorlaştıracaktır.