Розділ 1: Чому боти атакують віджети примірки
Віджети віртуальної примірки є привабливою ціллю для ботів, оскільки вони забезпечують безкоштовну генерацію ШІ-зображень. Ендпоінт примірки приймає фото та зображення товару і повертає результат, створений ШІ — з точки зору бота, це безкоштовний, публічно доступний API для генерації зображень. Автоматизовані скрипти можуть звертатися до ендпоінту тисячі разів на годину, щоб створювати зображення товарів, портрети або дані для навчання нейромереж з нульовими витратами для зловмисника та повною вартістю за місячним лімітом для вас як продавця.
Економічний стимул є значним: якісний API для генерації ШІ-зображень зазвичай коштує 0,05–0,20 долара за зображення. Ендпоінт віджета примірки без захисту від ботів фактично пропонує цю послугу безкоштовно кожному, хто розбереться у форматі запиту. У великих масштабах одна кампанія ботів може вичерпати всю місячну квоту примірок продавця за лічені години, залишивши реальних покупців з непрацюючим сервісом до кінця розрахункового періоду.
Розділ 2: П'ятирівневий стек захисту Photta
Photta розгортає п'ять незалежних засобів захисту, кожен з яких перехоплює окремий вектор атаки. Рівень 1 — hCaptcha: кожен запит на примірку повинен містити валідний токен hCaptcha, згенерований у браузері. Headless-боти та автоматизовані HTTP-клієнти не можуть вирішити hCaptcha без участі людини, що блокує прості скриптові атаки. Рівень 2 — фінгерпринтинг BotD: SDK запускає BotScore від FingerprintJS для виявлення headless-браузерів, фреймворків автоматизації (Puppeteer, Playwright) та підозрілих середовищ браузера ще до того, як покупець завантажить фото.
Рівень 3 — Білі списки доменів: ваш ключ pk_live_ приймає запити лише з доменів, які ви зареєстрували в Налаштуваннях → Дозволені домени. Запити з будь-яких інших джерел негайно повертають помилку HTTP 403 ще до початку будь-якої обробки ШІ. Рівень 4 — Обмеження частоти запитів за IP: понад 10 запитів на примірку за хвилину з однієї IP-адреси активує автоматичне обмеження (throttling); понад 30 запитів за хвилину призводить до тимчасового блокування. Рівень 5 — Місячний ліміт: ліміт примірок вашого тарифного плану (500/2 000/10 000 залежно від рівня) суворо обмежений на стороні сервера. Вичерпання ліміту зупиняє всі примірки до кінця розрахункового циклу, запобігаючи неконтрольованому зростанню витрат.
Розділ 3: Моніторинг спроб ботів у вашій панелі керування
Увійдіть у business.photta.app та перейдіть у розділ «Безпека». Панель безпеки відображає три графіки, що оновлюються в реальному часі: Заблоковані спроби (загальна кількість за годину), Розподіл причин блокування (помилки hCaptcha проти детекцій BotD, невідповідності доменів та спрацювання лімітів запитів) та Топ заблокованих IP (адреси, що згенерували найбільше заблокованих запитів за останні 24 години). У нормальному режимі роботи здоровий магазин зазвичай показує майже нульову кількість заблокованих спроб.
Панель безпеки також містить розділ «Сповіщення про аномалії». Аналітичний рівень Photta відстежує раптові сплески обсягу примірок або заблокованих спроб, які відхиляються від вашого базового рівня за 7 днів більш ніж на три стандартних відхилення. При виявленні аномалії ви отримаєте email-сповіщення протягом 15 хвилин, а саме сповіщення з'явиться в дашборді. Налаштувати пороги сповіщень можна в меню Налаштування → Сповіщення → Сповіщення про безпеку.
Розділ 4: Реагування на підозрілу активність
Якщо ви бачите нетипові патерни в панелі безпеки — сплеск заблокованих запитів, групу спроб з одного діапазону IP або раптове падіння вашої місячної квоти — виконайте наступні дії по черзі. Спочатку перевірте список «Топ заблокованих IP». Якщо на одну або кілька IP-адрес припадає більшість заблокованих спроб, натисніть «Заблокувати IP» поруч із кожною з них, щоб назавжди заборонити їм доступ на рівні Photta. Блокування застосовується миттєво і діє доки ви не видалите його вручну.
По-друге, якщо атака здійснюється з багатьох IP (розподілений ботнет), зверніться в підтримку Photta через чат у дашборді, вказавши ваш ID мерчанта та часовий діапазон атаки. Команда безпеки Photta може застосувати блокування на рівні CIDR-підмережі атакуючих протягом кількох годин. По-третє, якщо ваша місячна квота була суттєво вичерпана активністю ботів, відкрийте тікет у підтримку — Photta пропонує одноразове відновлення квоти для задокументованих атак ботів. Додайте скріншот сповіщення про аномалію з вашої панелі безпеки як доказ.
Розділ 5: Коли варто додати власну CAPTCHA зверху
Вбудована hCaptcha від Photta працює непомітно — більшість справжніх покупців ніколи не бачать перевірки CAPTCHA. У дуже рідкісних випадках (преміум-магазини, публічно індексовані ендпоінти віджетів) вбудованого захисту може бути недостатньо, якщо досвідчений зловмисник використовує ферми для вирішення CAPTCHA людьми. У такому сценарії додайте другий рівень CAPTCHA на рівні вашої сторінки товару перед викликом photta.open(). Перевірте вашу власну CAPTCHA на своєму сервері, а потім передайте підписаний токен верифікації в Photta SDK як photta.open({ verificationToken: 'ваш_токен' }), щоб переконатися, що лише перевірені сесії можуть ініціювати примірку.
Власна CAPTCHA — це останній захід для магазинів, які зазнали повторних складних атак. Для переважної більшості продавців п'ятирівневий стек Photta забезпечує достатній захист без видимих перешкод для покупців. Якщо ви вагаєтеся, чи додавати власний рівень, спочатку перевірте «Розподіл причин блокування» у вашій панелі безпеки — якщо на помилки hCaptcha припадає менше 1% від усіх заблокованих спроб, стек працює ефективно, і додатковий рівень лише створить зайві труднощі для користувачів без значного посилення безпеки.