Bảo vệ chiến dịch quảng cáo của bạn trước sự kiểm duyệt tự động của các nền tảng Google, Facebook, TikTok và hơn thế nữa.
Cloaking (ngụy trang) là kỹ thuật hiển thị nội dung khác nhau giữa:
Nói một cách dễ hiểu, cloaking giống như bạn có hai bộ mặt: một bộ mặt "ngoan hiền" trình diễn cho cảnh sát (bot), và một bộ mặt thật dành cho khách hàng.
Bạn chạy quảng cáo cho một sản phẩm sức khỏe. Bot Facebook ghé thăm link của bạn và thấy một bài viết chia sẻ kiến thức sức khỏe hoàn toàn hợp pháp. Nhưng khi người dùng thật click vào quảng cáo, họ được đưa đến trang bán hàng thực sự.
Các nền tảng quảng cáo như Facebook, Google, TikTok đều có đội ngũ kiểm duyệt tự động (bot) để rà soát nội dung quảng cáo. Nếu nội dung vi phạm chính sách, quảng cáo của bạn sẽ bị:
Quảng cáo không được phép chạy, bạn mất thời gian và công sức thiết lập.
Tài khoản quảng cáo bị tạm khóa, ảnh hưởng đến chiến dịch đang chạy.
Tài khoản bị khóa vĩnh viễn, mất toàn bộ số dư và lịch sử quảng cáo.
Ngay cả khi không bị khóa, điểm chất lượng quảng cáo giảm, chi phí tăng.
Khi một request (yêu cầu) được gửi đến máy chủ, hệ thống sẽ phân tích để xác định đó là bot hay người dùng thật dựa trên các tín hiệu sau:
Nếu phát hiện là bot, hệ thống trả về một trang "sạch" (thường là blog, tin tức, bài viết hữu ích). Nếu là người dùng thật, hệ thống chuyển hướng (redirect) đến trang đích thực sự của chiến dịch.
Kiểm tra "danh thiếp" trình duyệt. Nếu tên chứa "Googlebot" hoặc "facebookexternalhit" → trả nội dung sạch. Phương pháp cơ bản và nhanh nhất.
Xác định request đến từ dải IP của Google/Facebook hay không. Hoạt động tốt ngay cả khi User-Agent bị làm giả.
Luôn trả nội dung sạch, sau đó dùng JavaScript để redirect người dùng thật. Bot Facebook (không chạy JS) chỉ thấy nội dung sạch.
Dựa vào vị trí địa lý (IP), ngôn ngữ trình duyệt, loại thiết bị (mobile/desktop) để quyết định hiển thị nội dung phù hợp.
Kết hợp tất cả phương pháp trên: User-Agent → IP → JavaScript → Hành vi. Đây là cách an toàn nhất nhưng phức tạp nhất.
Không nên chỉ dùng một phương pháp duy nhất. Kết hợp User-Agent + IP + JavaScript để có tỷ lệ thành công cao nhất. Hệ thống của chúng tôi sử dụng cả ba lớp bảo vệ này.
Google sử dụng nhiều loại bot khác nhau để kiểm duyệt nội dung:
| Loại Bot | Mục Đích | Cách Nhận Biết |
|---|---|---|
| Googlebot | Tìm kiếm và lập chỉ mục web | User-Agent chứa "Googlebot" hoặc IP thuộc dải Google |
| Google Ads Bot | Kiểm duyệt nội dung quảng cáo | User-Agent chứa "Google-InspectionTool" hoặc "google-page-renderer" |
| Google Web Renderer | Render JavaScript để kiểm tra nội dung | IP thuộc Google Cloud, có header đặc biệt |
Google Web Renderer có thể chạy JavaScript, khiến cloaking thuần JS kém hiệu quả. Luôn kết hợp với kiểm tra IP và User-Agent từ phía máy chủ.
Facebook sử dụng bot có tên facebookexternalhit hoặc Facebot để:
Facebook crawler không chạy JavaScript. Điều này có nghĩa: nếu bạn dùng JavaScript để redirect người dùng thật, bot Facebook sẽ không bao giờ thấy được offer thực sự. Đây là lý do JS redirect rất hiệu quả với Facebook.
Cách tối ưu: Khi bot Facebook ghé thăm, hãy đảm bảo trang của bạn có đầy đủ thẻ OG (Open Graph) để tạo link preview đẹp:
Facebook cache link preview trong khoảng 24 giờ. Nếu bạn thay đổi nội dung, dùng công cụ Facebook Sharing Debugger để làm mới cache.
| Nền Tảng | Mức Phát Hiện | Hậu Quả |
|---|---|---|
| Facebook Ads | Cao | Khóa tài khoản quảng cáo vĩnh viễn, mất số dư |
| Google Ads | Cao | Tài khoản bị đình chỉ, mất toàn bộ chiến dịch |
| TikTok Ads | Trung Bình | Từ chối quảng cáo, hạn chế tài khoản |
| Google Search | Trung Bình | Domain bị loại khỏi kết quả tìm kiếm (de-index) |
Các nền tảng đang ngày càng thông minh hơn. Google sử dụng AI (SpamBrain) để phát hiện cloaking, Facebook có đội ngũ kiểm duyệt viên con người. Cloaking luôn tiềm ẩn rủi ro và không được khuyến khích cho các chiến dịch hợp pháp.
Kết hợp User-Agent + IP + hành vi. Không phụ thuộc vào một phương pháp duy nhất.
IP của bot thay đổi theo thời gian. Cần cập nhật danh sách IP định kỳ.
Ghi lại tất cả request từ bot để phân tích và điều chỉnh chiến lược.
Thêm độ trễ ngẫu nhiên (1-3 giây) trước khi redirect để giống hành vi người dùng thật.
"Không bao giờ đặt tất cả trứng vào một rổ." Sử dụng nhiều domain, nhiều tài khoản quảng cáo, và nhiều phương pháp cloaking khác nhau để phân tán rủi ro. Luôn có kế hoạch dự phòng khi một domain hoặc tài khoản bị phát hiện.
Tài liệu này được tạo ra với mục đích tham khảo và giáo dục.
Chúng tôi không khuyến khích việc sử dụng cloaking vi phạm điều khoản dịch vụ của bất kỳ nền tảng nào.