O Shield é um aplicativo de segurança que você deve instalar no marketplace de aplicativos antes que suas configurações estejam disponíveis. Uma vez instalado, ele adiciona múltiplas camadas de proteção ao checkout da sua loja para bloquear bots, padrões fraudulentos de pedidos e números de telefone falsos. Vá para Aplicativos, encontre o Shield na coleção Segurança e Privacidade, instale-o e clique no ícone de configurações para configurá-lo.
Abrindo as configurações do Shield
Após a instalação, vá para Aplicativos e clique no ícone de engrenagem ao lado do Shield, ou navegue diretamente para /apps/shield. Um painel de configurações abre com todos os controles disponíveis.
Captcha
Quando o Captcha está habilitado, uma entrada CAPTCHA com um código de imagem aparece no formulário de checkout. Os clientes devem digitar os números exibidos para fazer um pedido. Isso bloqueia bots, scripts e abuso baseado em macros. Apenas usuários reais que conseguem ler a imagem podem concluir o checkout.
Bloqueador de pedidos duplicados
Quando o Bloqueador de pedidos duplicados está habilitado, os novos pedidos são verificados contra pedidos anteriores feitos pelo mesmo cliente, identificado por endereço de e-mail e número de telefone. Se uma duplicata for detectada, o pedido é bloqueado automaticamente. Isso evita compras repetidas ou fraudulentas da mesma identidade.
Modo decoy
Quando o Modo decoy está habilitado, visitantes cujo dispositivo foi banido ou cujo pedido foi rejeitado por outra regra do Shield veem uma loja completamente normal: carrinho real, validação real, totais reais. Eles então recebem uma confirmação de pedido falsa construída com os dados que inseriram. Nenhum pedido real é criado, nenhuma notificação é enviada e nenhum pixel de publicidade é disparado. Os atacantes acreditam que seus pedidos foram processados e perdem tempo tentando novamente, enquanto seus dados de pedidos reais permanecem limpos.
Habilitar ou desabilitar o Modo decoy atualiza imediatamente como dispositivos banidos experimentam sua loja. Com o Decoy ativado, esses visitantes veem a loja normalmente e recebem uma confirmação falsa; com o Decoy desativado, recebem a resposta padrão de bloqueio.
Proteção contra colar
Quando a Proteção contra colar está habilitada, os clientes não podem colar texto nos campos de checkout. Isso força a entrada manual e bloqueia scripts automatizados e ataques de bot baseados em área de transferência que preenchem formulários programaticamente.
Validador do WhatsApp
Quando o Validador do WhatsApp está habilitado, o número de telefone fornecido pelo cliente é validado contra a API do WhatsApp. Se o número de telefone não estiver associado a uma conta WhatsApp real, o pedido não pode ser feito. Isso é especialmente eficaz para lojas que usam fluxos de confirmação de pedidos baseados em WhatsApp, pois pedidos fraudulentos frequentemente usam números de telefone inventados ou inexistentes.
Máximo de pedidos por cliente
Quando Máximo de pedidos por cliente está habilitado, os clientes ficam restritos a fazer mais do que o número especificado de pedidos. O campo Máximo de pedidos por cliente aceita um número entre 1 e 3. Definir como 1 significa que cada cliente (identificado por e-mail e telefone) só pode fazer um pedido em toda a sua vida. Isso evita abusos e limita compras fraudulentas em massa de uma única identidade.
Atraso mínimo para fazer pedido
Quando Atraso mínimo para fazer pedido está habilitado, o botão de pedido no checkout permanece inativo por um número obrigatório de segundos após o carregamento da página. O atraso é definido usando um slider chamado Tempo de atraso obrigatório, variando de 2 a 20 segundos. O cliente não vê nenhuma contagem regressiva ou timer. O botão simplesmente não faz nada quando clicado até que o tempo tenha passado. Isso garante que bots e scripts que fazem envios instantâneos não possam fazer pedidos, sem revelar o limite de segurança a possíveis atacantes.
Uma dica na tela informa: "Dica: Use este recurso para bloquear bots e scripts que fazem envios instantâneos. Definir o tempo muito longo pode frustrar clientes genuínos."
Palavras-chave de user agent bloqueadas
A área de texto Palavras-chave de User-Agent bloqueadas aceita uma palavra-chave por linha, até 50 palavras-chave. Cada palavra-chave deve ter entre 2 e 100 caracteres. Cada visita recebida é verificada: se alguma palavra-chave aparecer no identificador do navegador do visitante, a solicitação é bloqueada. Entradas típicas podem incluir nomes de ferramentas como scrapy, selenium, headless ou apifybot. Deixe o campo vazio para desabilitar completamente esta verificação. Quando o Modo decoy também está habilitado, visitantes correspondentes veem uma loja falsa em vez de serem bloqueados completamente.
Parâmetros de URL bloqueados
A área de texto Parâmetros de URL bloqueados permite sinalizar visitantes pelos parâmetros de rastreamento contidos no link pelo qual chegaram. Cada visita é verificada contra esta lista: se a URL de chegada do visitante contiver um parâmetro correspondente, a solicitação é bloqueada. Insira uma regra por linha, até 50 regras. Cada regra pode ter até 100 caracteres, e o nome do seu parâmetro pode conter letras, dígitos, sublinhados e traços.
Existem dois tipos de regra:
- Nome com um valor: escrito como
name=value, por exemploutm_source=an. Corresponde apenas quando esse parâmetro aparece exatamente com esse valor. - Apenas o nome: escrito apenas como o nome do parâmetro, por exemplo
gclid. Corresponde sempre que esse parâmetro aparece na URL de chegada, qualquer que seja o seu valor.
Isso é útil para cortar tráfego que você sabe ser fraudulento ou automatizado, como uma fonte de anúncios, campanha ou identificador de clique específico que continua produzindo pedidos falsos de pagamento na entrega. Deixe o campo vazio para desabilitar completamente esta verificação. Quando o Modo decoy também está habilitado, visitantes correspondentes veem uma loja completamente normal e cada pedido que enviam é silenciosamente falsificado em vez de ser bloqueado completamente.
Proteção adicional
Uma nota no painel explica que, além das regras configuráveis do Shield, o Storeep executa múltiplas medidas de segurança em camadas silenciosamente em segundo plano, incluindo detecção comportamental avançada e de automatizador, para manter sua loja e pedidos seguros o tempo todo.
Cada pedido registra o dispositivo e o endereço IP do cliente. Você pode banir um dispositivo ou IP específico diretamente na página de detalhes do pedido; esses banimentos aparecem em Configurações > Sessões banidas. Consulte Sessões e sessões banidas para saber como revisar e liberar banimentos.
Salvando
Clique em Salvar. Uma mensagem de sucesso confirma a atualização. Erros de validação aparecem inline ao lado do campo relevante se um valor estiver fora do intervalo permitido.