Cara Bisnis Indonesia Bertahan dari Bot, Scraper, dan DDoS
Threat lansekap 2026 untuk bisnis online Indonesia + layered defense yang kami pasang di klien — mostly gratis dengan Cloudflare.
Threat yang real untuk bisnis Indonesia
- Credential stuffing — bot pakai leaked password ke akun customer (banyak data Indonesia leak di forum dark web).
- Price scraping — kompetitor scrape katalog e-commerce Anda untuk under-cut harga.
- API abuse — endpoint public Anda dipanggil 100K+ kali untuk drain quota / kuras database.
- DDoS — ISP Indonesia kadang lemah filter, attack 1-10 Gbps biasa.
- Form spam — contact form Anda kebanjiran 1000+ submission spam.
- SEO scraping — content Anda di-rip dan di-republish di domain lain (bahaya Google penalty).
Layer 1: Cloudflare gratis tier
Cloudflare free tier sudah block:
- DDoS layer 3/4 (network) — auto, no config.
- Bot fight mode — flag obvious bot traffic.
- Rate limiting — basic, 1000 req/10s gratis.
- Bad bot challenge — CAPTCHA otomatis untuk traffic suspicious.
Aktifkan:
- Domain → Security → Bots → “Bot fight mode” ON
- Security → DDoS → “I’m under attack” mode kalau lagi dihantam
- Security → Settings → Security level: “High” untuk endpoint sensitif
Layer 2: Server-side rate limit
Walaupun Cloudflare sudah filter, defense in depth: app server tetap pasang rate limit. Ini melindungi kalau ada attacker yang bypass Cloudflare (attack via origin IP).
Setup di Caddy / Nginx:
# Caddy: 100 req/menit per IP
@ratelimit {
remote_ip 0.0.0.0/0
}
rate_limit @ratelimit 100r/m
Untuk API spesifik, pakai layered: edge (Cloudflare) + app (Redis token bucket).
Layer 3: WAF rules
Cloudflare WAF (Pro tier $20/bulan) blok:
- SQL injection patterns
- XSS payload
- Path traversal (
../etc/passwd) - OWASP Top 10 generic
Bisa juga custom rules:
(http.request.uri contains "/wp-admin") → Block
(http.user_agent contains "scrapy") → Challenge
(ip.geoip.country in {"RU" "CN"} and not user.verified) → Challenge
Layer 4: Origin IP hidden
Pastikan IP server origin tidak bocor. Common leak:
- Email server di domain yang sama → SPF/DKIM record reveal IP. Pakai mail forwarding terpisah.
- DNS history sebelum pakai Cloudflare. Pertimbangkan ganti server IP setelah enable proxy.
- Subdomain non-proxied → leak IP. Pastikan SEMUA subdomain proxied.
Kalau attacker tahu origin IP, mereka bypass Cloudflare langsung. Harden firewall server hanya allow Cloudflare IP range:
# /etc/iptables/rules.v4
-A INPUT -p tcp --dport 443 -s 173.245.48.0/20 -j ACCEPT
-A INPUT -p tcp --dport 443 -s 103.21.244.0/22 -j ACCEPT
# ... full Cloudflare range
-A INPUT -p tcp --dport 443 -j DROP
Layer 5: Form anti-spam
- Honeypot — input hidden, bot isi, real user tidak. Block submission yang isi honeypot.
- hCaptcha atau Turnstile (Cloudflare) untuk form sensitif.
- Server-side validation — check email format, message length, suspicious patterns.
Layer 6: Content protection
Kalau content Anda di-scrape:
- DMCA takedown ke Google (paling efektif, 24-48 jam delisted).
- Cloudflare Bot Management Pro untuk block known scrapers.
- Watermark content dengan kalimat unik yang mudah di-search Google → tracking re-publish.
Yang sering terlupa
- Update plugin & framework — most breach via known CVE pada plugin lama.
- Strong password + 2FA untuk admin panel.
- Audit log — track semua login admin + perubahan config.
- Backup test recovery — backup yang tidak pernah di-restore = bukan backup.
Stack security standar kami
Untuk klien production:
- Cloudflare Pro ($20/bulan) — WAF, bot mgmt, advanced rate limit
- Sentry untuk anomaly detection
- Fail2ban di server origin
- Server backup harian dengan restic
- Patching cycle bulanan
Total: ~$50/bulan untuk multi-layer defense.
Audit security gratis — kami scan site Anda dan kasih report konkret.