• Beranda
  • Artikel
  • Memandu
  • Mengapa Sucuri WAF Positif Palsu Terus Memblokir Webhook Stripe dan Perbaikan Daftar Putih IP Tepat yang Menghentikannya

Mengapa Sucuri WAF Positif Palsu Terus Memblokir Webhook Stripe dan Perbaikan Daftar Putih IP Tepat yang Menghentikannya

Diterbitkan: 2025-11-13

Bisnis yang mengandalkan Stripe untuk transaksi online mengetahui pentingnya komunikasi webhook yang lancar. Namun ketika Sucuri, firewall aplikasi web (WAF) yang populer, mulai keliru mengidentifikasi webhook Stripe yang sah sebagai ancaman, akibatnya dapat berupa gangguan pembayaran, transaksi gagal, dan overhead dukungan pelanggan yang tidak perlu. Jika Anda sedang berjuang menghadapi skenario yang membuat frustrasi ini, Anda tidak sendirian — dan untungnya, ada solusi jitu.

TL;DR

Jika webhook Stripe Anda diblokir oleh Sucuri WAF karena kesalahan positif, masalah ini sering kali timbul dari daftar putih IP yang tidak tepat atau aturan WAF yang terlalu berlebihan. Server Stripe dirotasi melalui berbagai IP yang harus diizinkan secara eksplisit dalam pengaturan WAF Anda. Dengan memperbarui firewall Sucuri Anda dengan alamat IP resmi Stripe dan menonaktifkan aturan heuristik tertentu, Anda dapat langsung menyelesaikan masalah dan memulihkan fungsionalitas webhook yang lancar.

Memahami Masalah: Sucuri WAF dan False Positive

Sucuri memberikan pertahanan yang kuat terhadap serangan DDoS, peretasan situs web, dan aktivitas jahat lainnya. Ini beroperasi dengan menyaring permintaan HTTP yang masuk dan memblokir apa pun yang tampak mencurigakan. Meskipun cara ini bagus untuk memblokir pelaku kejahatan, cara ini dapat menjadi bumerang ketika layanan resmi seperti Stripe mengirimkan panggilan webhook.

Stripe menggunakan webhook untuk memberi tahu server Anda tentang peristiwa penting — seperti pembayaran berhasil, transaksi gagal, pengembalian dana, dan perubahan langganan. Ini penting untuk mengotomatisasi proses seperti memperbarui catatan pelanggan, manajemen inventaris, dan pelacakan pendapatan.

Masalah muncul ketika aturan Sucuri — terutama filter heuristik yang mencoba mendeteksi injeksi SQL atau injeksi kode — secara keliru mengklasifikasikan muatan webhook Stripe sebagai berbahaya.

Gejala umum dari masalah ini meliputi:

  • Dasbor Stripe menunjukkan kegagalan pengiriman webhook yang berulang.
  • Tidak ada permintaan POST masuk dari Stripe yang terlihat di log server.
  • Permintaan percobaan ulang Stripe beberapa kali karena kesalahan 403 Forbidden atau batas waktu habis.
  • Pemberitahuan email dari Stripe memperingatkan tentang kegagalan webhook.

Meskipun Sucuri melindungi situs Anda, Sucuri mungkin bertindak terlalu agresif — memblokir hal-hal yang tidak seharusnya.

Mengidentifikasi Akar Penyebab: Positif Palsu yang Dipicu oleh Stripe

Saat kami mendalami log server dan dasbor Sucuri lebih dalam, masalahnya menjadi lebih jelas. Setiap webhook Stripe menerima respons 403 Forbidden , atau langsung diblokir agar tidak dapat menjangkau server. Melihat log insiden di Sucuri, tanda berikut dipicu berulang kali:

  • Pola heuristik SQLi
  • Permintaan ukuran tubuh melebihi ambang batas
  • Permintaan POST diblokir karena format JSON salah(meskipun JSON valid)

Sucuri menggunakan algoritme deteksi yang berkembang, dan terkadang muatan JSON Stripe menyertakan karakter atau pola (seperti tanda kutip, tanda kurung, atau kata kunci tertentu) yang secara algoritmik disalahartikan oleh mesin heuristik ini sebagai aktivitas mencurigakan. Hal ini menyebabkan Sucuri menandai dan membatalkan permintaan tersebut, tidak pernah mengizinkannya mencapai aplikasi Anda.

Hal ini terutama menjadi masalah selama kampanye promosi, ketika transaksi dalam jumlah besar menyebabkan membanjirnya webhook – banyak di antaranya tidak menghasilkan apa-apa.

Perbaikan yang Tepat: Daftar Putih IP yang Tepat

Meskipun Anda tergoda untuk menonaktifkan firewall sementara atau memasukkan seluruh dunia ke dalam daftar putih untuk URL webhook, hal ini merupakan mimpi buruk keamanan. Perbaikan yang benar dan aman melibatkan beberapa langkah strategis:

1. Ambil alamat IP Resmi Stripe

Stripe menerbitkan daftar rentang IP asal webhook mereka. Daftar ini tersedia dari dokumentasi resmi mereka dan diperbarui secara berkala.

Pada saat penulisan, berikut adalah contoh IP (CATATAN: perubahan ini, selalu periksa sumber resminya):

18.3.12.63
3.130.192.231
13.235.14.237
13.235.122.149
18.211.135.69
35.154.171.200
52.15.183.38

2. Masuk ke Dasbor Sucuri

Buka pengaturan firewall Sucuri Anda dan temukan bagian Daftar Putih di bawah Kontrol Akses. Di sini, Anda dapat secara manual memasukkan IP persis yang ingin Anda izinkan, melewati semua pemeriksaan WAF.

3. Tambahkan Semua IP Stripe ke Daftar Putih

Pastikan setiap blok IP yang disediakan oleh Stripe ditambahkan ke daftar putih. Sucuri melakukan pencocokan yang sulit, jadi kehilangan satu IP saja dapat mengakibatkan peristiwa webhook acak gagal sesekali.

4. Nonaktifkan Tindakan yang Diblokir untuk Titik Akhir Webhook

Dalamkonfigurasi jalur URLSucuri, Anda dapat menambahkan titik akhir pendengar webhook (misalnya, /stripe/webhook) dan menonaktifkan aturan WAF tertentu hanya untuk jalur tersebut. Hal ini menghindari mematikan firewall secara global sekaligus memastikan bahwa permintaan Stripe tidak diblokir secara tidak perlu. Pengaturan yang paling berguna di sini adalah:

  • Nonaktifkan pemfilteran heuristik untuk jalur spesifik tersebut.
  • Izinkan ukuran isi POST yang lebih besar jika peristiwa Stripe Anda menyertakan muatan yang banyak metadata.

Hal ini akan memastikan titik akhir menerima payload JSON yang kompleks tanpa gangguan.

Tip Bonus: Gunakan Rahasia Penandatanganan Stripe

Bahkan setelah memasukkan IP Stripe ke dalam daftar putih, masih merupakan tindakan cerdas untuk memverifikasi keaslian setiap permintaan webhook yang diterima. Stripe memberikan rahasia penandatanganan yang memungkinkan server Anda memverifikasi muatan webhook secara kriptografis.

Hal ini membantu memastikan bahwa meskipun beberapa sumber lain memalsukan IP Stripe dan menemukan URL webhook Anda (tidak mungkin, tetapi mungkin), permintaan mereka akan gagal dalam verifikasi tanda tangan. Ikuti panduan Stripe di sini untuk menerapkannya.

Dampaknya: Apa yang Diselesaikan dengan Benar dalam Daftar Putih

Setelah mengonfigurasi semua IP Stripe dalam firewall Sucuri dan menyetel perilaku aturan WAF untuk titik akhir webhook, masalah tersebut hilang sepenuhnya. Webhook mulai dikenali secara instan, mekanisme percobaan ulang Stripe tidak lagi aktif, dan tidak ada kejadian yang hilang.

Dalam hal alur kerja dan pengalaman pengguna —

  • Pelanggan tidak lagi melihat konfirmasi pembayaran yang tertunda.
  • Tiket dukungan tentang langganan yang gagal dibatalkan.
  • Otomatisasi backend seperti pembuatan akun pengguna baru berfungsi kembali dengan andal.

Catatan tentang Otomatisasi

Karena daftar IP Stripe dapat berubah, sebaiknya atur pengingat kalender triwulanan untuk memeriksa pembaruan. Sayangnya Sucuri tidak menawarkan otomatisasi whitelist berbasis API, sehingga prosesnya tetap manual. Bersikap proaktif dalam hal ini sangat penting jika Anda ingin menghindari kegagalan pengiriman webhook lagi.

Pikiran Terakhir

Sucuri WAF adalah alat yang ampuh untuk menjaga properti web Anda tetap aman, namun tidak ada sistem keamanan yang sangat mudah. Positif palsu, terutama pada layanan sah seperti Stripe, dapat menyebabkan perselisihan bisnis yang nyata. Berbekal IP yang tepat dan sedikit penyesuaian aturan WAF, Anda dapat menjaga proses pembayaran Anda tetap efisien dan aman.

Ingat:Keamanan tidak harus mengorbankan fungsionalitas. Dengan konfigurasi yang cermat, Anda dapat menjaga keduanya tetap harmonis.