Cloudflare nastavení představuje komplexní konfiguraci DNS, SSL/TLS, WAF, bezpečnostních pravidel, filtrování botů a možností mezipaměti, díky kterým bude váš web rychlejší, bezpečnější a odolný vůči DDoS útokům. Pro nejbezpečnější základní instalaci byste měli přidat svou doménu do Cloudflare, správně přenést DNS záznamy, pokud možno zvolit SSL režim Full (Strict), aktivovat spravovaná WAF pravidla, nastavit výzvu (challenge) nebo omezení rychlosti pro podezřelé požadavky a v době útoku kontrolovaně používat ochrany, jako je režim „Under Attack Mode“.
Cloudflare funguje jako CDN a bezpečnostní vrstva, která se vkládá mezi váš web a jeho návštěvníky. Když návštěvník přijde na váš web, požadavek nejprve dorazí do sítě Cloudflare; zde se odfiltruje škodlivý provoz, statické soubory se mohou doručit z mezipaměti a legitimní požadavky se přesměrují na váš origin server. Tato architektura přináší značné výhody zejména pro WordPress, WooCommerce, firemní weby, SaaS panely a obsahové weby s vysokou návštěvností. Špatně nakonfigurované Cloudflare nastavení však může způsobit chyby SSL, nekonečné přesměrovací smyčky, problémy s přístupem do administrace, neaktualizované stránky kvůli mezipaměti a bezpečnostní zranitelnosti.
V tomto průvodci se krok za krokem podíváme na to, jak Cloudflare nastavit od nuly, aktivovat kritické možnosti pro bezpečnost webu, používat DDoS ochranu ve správném scénáři a optimalizovat nastavení výkonu, aniž bychom ohrozili bezpečnost. Pokud chcete pro svůj web vybudovat rychlou, bezpečnou a kompatibilní infrastrukturu, je důležité mít pevné základy v oblasti domény, hostingu a SSL: Domain kaydı, Web hosting paketleri, SSL sertifikası.
Co je Cloudflare a jak pomáhá při zabezpečení webu?
Cloudflare je cloudová bezpečnostní a výkonnostní platforma nabízející správu DNS, CDN, DDoS ochranu, webový aplikační firewall, mitigaci botů, správu SSL/TLS a analytiku provozu. V tradičním uspořádání se návštěvník připojuje přímo k vašemu hostingovému serveru, zatímco ve scénáři s Cloudflare se návštěvník nejprve připojí k okrajovým serverům Cloudflare. Škodlivý provoz tak lze odfiltrovat ještě předtím, než dorazí na origin server.
Například malý WordPress web může mít běžně 2 000 návštěvníků denně a 20–30 požadavků za minutu. Při jednoduchém HTTP flood útoku může toto číslo vyskočit na 20 000 požadavků za minutu. Váš server přestane reagovat kvůli limitům CPU, RAM nebo počtu připojení. Cloudflare tento provoz rozliší pomocí reputace IP, analýzy chování, omezení rychlosti, výzev a DDoS signatur, a usnadní tak skutečným návštěvníkům přístup na web.
Cloudflare sám o sobě není bezpečnostní nástroj, který „vyřeší vše“. Je účinný, pouze pokud je používán ve spojení s robustní hostingovou infrastrukturou, aktuálním softwarem, bezpečnými hesly, zálohováním, SSL a správnou konfigurací serveru. Zejména pokud používáte WordPress, jsou aktualizace šablon a pluginů, zabezpečení administrace a politika silných hesel stále kriticky důležité: WordPress hosting, WordPress güvenliği.
Kontrolní seznam před instalací Cloudflare
Před přechodem na Cloudflare proveďte několik základních kontrol, které sníží riziko problémů s přístupem a SSL po instalaci. Zejména u webů s živým provozem je nutné změny DNS plánovat.
- Získejte aktuální DNS záznamy: Poznamenejte si A, AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC a subdomény.
- Ověřte IP adresu svého hostingu: Nesprávný A záznam způsobí přesměrování webu na jiný server.
- Zkontrolujte stav SSL: Pokud má origin server platné SSL, můžete v Cloudflare použít režim Full (Strict).
- Věnujte pozornost e-mailovým záznamům: MX a CNAME/A záznamy související s e-mailem by měly mít obvykle proxy vypnutou, tedy DNS only.
- Vytvořte zálohu: Záloha DNS a webu umožní rychlou obnovu v případě chybné operace.
- Zvolte dobu údržby: Přestože se změny nameserverů obvykle projeví během několika minut, globální propagace může trvat až 24 hodin.
Praktický přístup u firemních webů je následující: Nejprve se přesně přenesou DNS záznamy, poté se proxy zapne pouze pro www a holou doménu, které přenášejí webový provoz. U služeb jako mail, FTP, cPanel, webmail se postupuje opatrně podle scénáře použití. Pokud například pro přístup k cPanelu používáte samostatnou subdoménu, může být bezproblémovější ponechat tento záznam jako DNS only: cPanel hosting yönetimi.
Jak provést nastavení DNS v Cloudflare?
Instalace Cloudflare začíná přidáním vaší domény do panelu. Cloudflare prohledá vaše stávající DNS záznamy a nabídne vám jejich seznam. V této fázi nemusí automatické skenování najít všechny záznamy; proto je nezbytná ruční kontrola.
1. Přidejte doménu do Cloudflare
Po přihlášení ke svému účtu Cloudflare přidejte doménu pomocí kroku „Add a site“. Po výběru tarifu zkontrolujte DNS záznamy. Pro holou doménu obvykle existuje A záznam, pro www pak CNAME záznam. Příklad struktury může vypadat takto:
- A záznam: example.com → 192.0.2.10
- CNAME záznam: www → example.com
- MX záznam: example.com → váš poskytovatel e-mailu
- TXT záznamy: SPF, DKIM, DMARC ověřovací záznamy
Důležité je, které záznamy budou procházet přes Cloudflare proxy. U A a CNAME záznamů používaných pro webový provoz může být aktivní oranžový mrak. U e-mailového provozu, FTP a služeb vyžadujících přímý přístup k serveru se upřednostňuje šedý mrak, tedy DNS only.
2. Proveďte změnu nameserverů
Cloudflare vám poskytne dva nameservery. U registrátora, kde jste doménu zakoupili, nahraďte stávající nameservery těmito hodnotami. U domén registrovaných přes Hostragons můžete nameservery spravovat v doménovém panelu: Domain yönetimi. Po změně počkejte, až se stav v panelu Cloudflare změní na „Active“.
3. Správně zvolte stav proxy
Když je aktivní oranžový mrak, HTTP/HTTPS provoz prochází přes Cloudflare a uplatňují se bezpečnostní funkce. U šedého mraku Cloudflare pouze překládá DNS. Pro váš web by měla být proxy aktivní; u subdomén jako mail.example.com, ftp.example.com nebo u subdomén pro správu serveru by naopak proxy měla obvykle zůstat vypnutá.
Nastavení SSL/TLS: Nejbezpečnější konfigurace
Nastavení SSL/TLS v Cloudflare určuje, jak bude probíhat šifrování mezi prohlížečem a Cloudflare a mezi Cloudflare a origin serverem. Nesprávný SSL režim je jednou z nejčastějších chyb v Cloudflare.
Rozdíl mezi Flexible, Full a Full (Strict)
| SSL Režim | Cloudflare - Návštěvník | Cloudflare - Server | Doporučení |
|---|---|---|---|
| Flexible | HTTPS | HTTP | Nedoporučuje se kromě dočasného použití; může způsobit přesměrovací smyčku a bezpečnostní riziko. |
| Full | HTTPS | HTTPS | Na serveru je SSL, ale ověření certifikátu není striktní. |
| Full (Strict) | HTTPS | HTTPS, platný certifikát | Nejbezpečnější standardní volba; použijte ji, kdykoli je to možné. |
Při profesionálním použití by vaším cílem měl být režim Full (Strict). K tomu je potřeba mít na origin serveru platný SSL certifikát. Můžete použít Let’s Encrypt, komerční SSL nebo Cloudflare Origin Certificate. Na hostingových balíčcích Hostragons můžete tento režim bezpečně používat po správné konfiguraci instalace a obnovy SSL: SSL sertifikası kurulumu.
Always Use HTTPS a Automatic HTTPS Rewrites
Možnost „Always Use HTTPS“ přesměrovává HTTP požadavky na HTTPS. „Automatic HTTPS Rewrites“ pomáhá převádět některé HTTP zdroje uvnitř stránky na HTTPS. Skutečným řešením pro weby s problémem smíšeného obsahu je však trvalý přechod HTTP odkazů v databázi a šabloně na HTTPS.
Buďte opatrní při používání HSTS
HSTS říká prohlížečům, aby se k vašemu webu připojovaly pouze přes HTTPS. Je to silné bezpečnostní opatření, ale při nesprávné konfiguraci SSL se návštěvníci nemusí na váš web dostat. Před aktivací HSTS se proto ujistěte, že Full (Strict), platné SSL, subdomény a přesměrování fungují bez problémů. V první fázi je bezpečnější testovat s krátkou hodnotou max-age.
Bezpečnost webových aplikací pomocí WAF v Cloudflare
WAF, neboli Web Application Firewall, filtruje požadavky zaměřené na SQL injection, XSS, vkládání souborů, chování škodlivých botů a známé zranitelnosti aplikací. Cloudflare WAF je obzvláště důležitý pro WordPress, Joomla, Laravel, panely vlastního software a e-shopy.
Aktivujte spravovaná pravidla (Managed Rules)
Managed Rules jsou předpřipravené sady bezpečnostních pravidel aktualizované společností Cloudflare. Pokud používáte WordPress, pravidla specifická pro WordPress, obecná pravidla OWASP a známé CVE signatury snižují vaši útočnou plochu. Zdravým přístupem je při prvním nasazení pravidla nejprve sledovat v režimu „Log“ nebo s nízkým dopadem a zkontrolovat falešné poplachy, a poté aplikovat „Block“ nebo „Managed Challenge“.
Chraňte kritické oblasti pomocí vlastních pravidel (Custom Rules)
Vlastní pravidla poskytují cílenou bezpečnost podle struktury vašeho webu. Například přístup na přihlašovací stránky jako wp-login.php nebo /admin můžete povolit pouze z určitých zemí, nebo můžete podezřelé user-agenty na konkrétních URI posílat na výzvu (challenge). Při psaní pravidel však dávejte pozor, abyste neblokovali skutečné uživatele. Náhodné odeslání platební stránky na výzvu na e-shopu může vést ke ztrátě konverzí.
Příklad z praxe: Na firemním webu cíleném na Českou republiku lze na cestu /wp-admin aplikovat Managed Challenge pro přístupy ze zahraničí. Pokud však máte členy týmu pracující na dálku nebo zahraniční kanceláře, je nutné definovat IP allowlist. Tento přístup výrazně snižuje útoky hrubou silou a zároveň zachovává přístup oprávněným uživatelům.
Jak funguje DDoS ochrana?
Cílem DDoS útoku je znepřístupnit váš web nebo server zahlcením nadměrným provozem. Hlavní výhodou Cloudflare je schopnost absorbovat tento provoz ve své globální síti a předávat na origin server pouze vyčištěné požadavky. Pro dosažení nejlepších výsledků je však třeba DDoS ochranu vnímat nikoli jako pasivně čekající funkci, ale jako obranný plán nakonfigurovaný podle scénáře.
1. Udržujte proxy aktivní pro webový provoz
DDoS ochrana Cloudflare funguje pro záznamy s aktivní proxy. Pokud vaše holá doména a www záznam nejsou pod oranžovým mrakem, webový provoz jde přímo na server a Cloudflare nemůže filtrovat. Je také důležité, aby vaše origin IP adresa nebyla veřejně viditelná na internetu. Staré DNS záznamy, hlavičky e-mailů nebo přímý přístup přes IP mohou útočníkům umožnit Cloudflare obejít.
2. Používejte Security Level a nastavení výzev
Security Level určuje, zda návštěvníci uvidí výzvu na základě jejich rizikového skóre. V běžném období je pro většinu webů dostačující úroveň „Medium“. V období útoku nebo podezřelého provozu lze použít „High“ nebo dočasně režim „I’m Under Attack Mode“. Režim Under Attack zobrazí návštěvníkovi krátkou kontrolní stránku; může proto ovlivnit běžnou uživatelskou zkušenost a nedoporučuje se nechávat ho trvale zapnutý.
3. Omezte intenzitu požadavků pomocí Rate Limiting
Rate limiting slouží k omezení počtu požadavků ze stejné IP adresy nebo klienta za určitý časový úsek. Například aplikace výzvy na uživatele, který na přihlašovací stránku odešle více než 20 požadavků za minutu, snižuje riziko útoků hrubou silou. U API endpointů je třeba být opatrnější; pokud máte mobilní aplikace nebo integrace, může agresivní limit bez změření skutečného objemu použití vést k chybným blokacím: API ve entegrasyon güvenliği.
4. Omezte origin server podle Cloudflare
Pro pokročilé zabezpečení můžete na firewallu serveru povolit HTTP/HTTPS provoz pouze z IP rozsahů Cloudflare. Tím útočník nedosáhne přímo na server, i když zná origin IP adresu. Tento krok vyžaduje opatrnost; seznam IP adres Cloudflare musí být aktuální a přístupy pro správu, jako SSH, ovládací panel, zálohovací služby, je třeba posuzovat samostatně.
Ochrana proti botům a opatření proti útokům hrubou silou
Provoz botů není vždy škodlivý; boti vyhledávačů jako Googlebot jsou nezbytní pro indexování vašeho webu. Problémem jsou spamoví boti, scrapingové nástroje, falešné pokusy o přihlášení a automatizace spotřebovávající zdroje. Ochrana proti botům v Cloudflare pomáhá tento provoz rozlišit pomocí behaviorálních signálů.
- Bot Fight Mode: Lze použít ke snížení základního bot provozu, ale měl by být testován s ohledem na některé integrace.
- Turnstile: Poskytuje uživatelsky přívětivější ověření ve formulářích jako alternativa CAPTCHA.
- Ochrana přihlašovací stránky: wp-login.php, xmlrpc.php a cesty k administraci lze omezit vlastními pravidly.
- Kontrola XML-RPC: Pokud se ve WordPressu nepoužívá, jeho blokace snižuje riziko útoků hrubou silou.
- Omezení spamu ve formulářích: V kontaktních formulářích lze kombinovat Turnstile a rate limiting.
Konkrétní příklad: Pokud na WordPress web přicházejí tisíce POST požadavků za minutu přes xmlrpc.php, může rychle vzrůst využití CPU. Blokování požadavků na xmlrpc.php pomocí vlastního pravidla Cloudflare Custom Rule nebo povolení pouze IP adres potřebných služeb, jako je Jetpack, výrazně sníží zátěž serveru.
Nastavení mezipaměti a výkonu: Zrychlení bez ohrožení bezpečnosti
Cloudflare je silný nejen v bezpečnosti, ale i ve výkonu. Doručováním statických souborů z koncového bodu nejblíže návštěvníkovi může zkrátit dobu načítání stránky. Není však správné ukládat do mezipaměti vše; stránky přihlášených uživatelů, košík, pokladna, členská sekce a personalizovaný obsah by měly být z mezipaměti vynechány.
Doporučené nastavení mezipaměti
- Caching Level: Pro většinu webů je vhodné standardní nastavení.
- Browser Cache TTL: Pro statické soubory lze zvolit 1 týden nebo déle.
- Cache Rules: Oblasti jako /wp-admin, /cart, /checkout, /my-account by měly být z mezipaměti vynechány (bypass).
- Always Online: Poskytuje omezený přínos při dočasných výpadcích; u dynamických webů je třeba správně nastavit očekávání.
- Purge Cache: Po aktualizacích designu nebo obsahu je kontrolovanější vymazat relevantní URL místo celé mezipaměti.
Při optimalizaci výkonu je důležitá i hostingová vrstva. LiteSpeed, NVMe disky, aktuální verze PHP a správný cache plugin přinášejí s Cloudflare lepší výsledky: LiteSpeed hosting, web sitesi hızlandırma.
Doporučený výchozí profil bezpečnostních nastavení Cloudflare
Následující tabulka nabízí bezpečný výchozí profil pro většinu malých a středních webů. Protože provoz, software a obchodní model každého webu jsou odlišné, je třeba nastavení sledovat na základě živých dat.
| Nastavení | Doporučená hodnota | Proč je důležité? |
|---|---|---|
| SSL/TLS | Full (Strict) | Zajišťuje end-to-end ověřené HTTPS. |
| Always Use HTTPS | Zapnuto | Přesměrovává HTTP provoz na zabezpečené připojení. |
| WAF Managed Rules | Zapnuto | Automaticky filtruje známé webové útoky. |
| Security Level | Medium | Poskytuje vyváženou ochranu při každodenním používání. |
| Under Attack Mode | Pouze v době útoku | Aplikuje dodatečné ověření během intenzivních DDoS období. |
| Rate Limiting | Kontrolovaně pro přihlášení a API | Snižuje útoky hrubou silou a zneužití. |
| Cache Rules | Bypass pro dynamické stránky | Zabraňuje chybám v košíku, pokladně a panelu. |
| DNSSEC | Zapnuto, pokud vyhovuje | Poskytuje dodatečnou ochranu proti falšování DNS. |
Časté chyby v Cloudflare a jejich řešení
Nekonečná přesměrovací smyčka
Tato chyba je obvykle způsobena tím, že je SSL režim Cloudflare nastaven na Flexible, zatímco na origin serveru je zapnuto přesměrování na HTTPS. Řešením je nainstalovat na server platné SSL a změnit SSL režim v Cloudflare na Full, nebo lépe Full (Strict).
Chyby 521, 522 a 525
Chyba 521 znamená, že server odmítl připojení, 522 značí vypršení časového limitu a 525 indikuje problém s SSL handshake. Zkontrolujte, zda firewall neblokuje IP adresy Cloudflare, zda hostingový server běží, zda je SSL certifikát platný a zda DNS záznamy ukazují na správnou IP adresu.
Nezobrazování aktualizací v administraci
To je obvykle způsobeno agresivním pravidlem mezipaměti. Vynechejte z mezipaměti stránky administrace, košíku, pokladny a uživatelských účtů. Na straně WordPressu použití integrace cache pluginu s čištěním mezipaměti Cloudflare věci usnadňuje.
Problémy s e-mailem
Webová proxy Cloudflare nepřenáší e-mailový provoz. MX záznamy musí být správné a záznamy ukazující na poštovní server by měly zůstat jako DNS only. Pokud chybí TXT záznamy SPF, DKIM a DMARC, můžete mít problémy s doručováním.
Kontrolní seznam pro bezpečnou instalaci Cloudflare krok za krokem
Následující postup poskytuje bezpečnou a praktickou mapu pro začátečníky:
- 1. Přidejte svou doménu do Cloudflare a porovnejte DNS záznamy se svým stávajícím poskytovatelem.
- 2. Aktivujte proxy pro holou doménu a www záznam pro webový provoz.
- 3. Zvažte použití DNS only pro e-mail, FTP a správcovské služby.
- 4. Proveďte změnu nameserverů v doménovém panelu.
- 5. Nainstalujte platné SSL na origin server a v Cloudflare zvolte Full (Strict).
- 6. Aktivujte možnosti Always Use HTTPS a Automatic HTTPS Rewrites.
- 7. Zapněte WAF Managed Rules; první dny sledujte logy a falešné poplachy.
- 8. Definujte rate limiting nebo managed challenge pro přihlašovací stránky.
- 9. Pomocí Cache Rules vynechte dynamické oblasti z mezipaměti.
- 10. V době útoku zvyšte Security Level a v případě potřeby dočasně zapněte Under Attack Mode.
- 11. Naplánujte zpřísnění firewallu serveru podle IP adres Cloudflare.
- 12. Týdně kontrolujte Security Events, Analytics a DNS záznamy.
Tento kontrolní seznam snižuje chyby, zejména při první instalaci. U e-shopů nebo členských webů s vyšší návštěvností je zdravější provádět změny nejprve v hodinách s nízkým provozem a sledovat konverzní metriky.
Sledování analytiky a bezpečnostních událostí v Cloudflare
Po instalaci Cloudflare práce nekončí; skutečná hodnota se projeví v procesu monitorování a zlepšování. V sekci Security Events můžete vidět, která pravidla kolik požadavků blokovala, ze kterých zemí nebo IP rozsahů útoky přicházejí a na které URL jsou cíleny. Tato data vám umožní postupovat při psaní vlastních pravidel na základě důkazů, nikoli odhadů.
Pokud například v logách uvidíte, že na adresu /wp-login.php přišlo za 24 hodin 18 000 neúspěšných požadavků, je správnější napsat pro tento endpoint specifický rate limit a výzvu, než jen zvyšovat obecnou úroveň zabezpečení. Podobně, pokud je váš API endpoint intenzivně využíván, můžete místo aplikace přísného pravidla na celý web cílit pouze na zneužívanou kombinaci metody, země nebo user-agenta.
Stačí samotný Cloudflare?
Cloudflare je silná vrstva, ale na bezpečnost je třeba myslet ve více vrstvách. Pokud váš hostingový server není aktuální, pokud máte v softwaru zranitelnost, pokud je vaše administrátorské heslo slabé nebo pokud nemáte politiku zálohování, Cloudflare všechna rizika neodstraní. Pro robustní přístup je třeba společně řešit bezpečný hosting, aktuální PHP, pravidelné zálohy, SSL, bezpečnostní pluginy, oprávnění souborů a kontrolu přístupu.
Výběr správného hostingového balíčku pro váš web na infrastruktuře Hostragons vám pomůže vytvořit stabilnější bezpečnostní a výkonnostní architekturu ve spojení s Cloudflare. S růstem provozu lze zvážit přechod ze sdíleného hostingu na VPS nebo cloudový server z hlediska limitů zdrojů a odolnosti proti útokům: VPS sunucu, kurumsal hosting çözümleri.
Závěr: Vyvážený přístup k bezpečnému nastavení Cloudflare
Správné nastavení Cloudflare se skládá z bezchybného přenosu DNS záznamů, SSL v režimu Full (Strict), WAF pravidel, kontrolované ochrany proti botům, rate limitingu, správných výjimek z mezipaměti a DDoS režimů specifických pro dobu útoku. Pro dosažení nejlepších výsledků byste měli nastavení vnímat nikoli jako jednorázovou akci, ale jako bezpečnostní proces, který se pravidelně zlepšuje na základě dat o provozu.
Stručně shrnuto: Veďte svůj webový provoz přes proxy, chraňte svůj origin server, používejte SSL ve striktním režimu, přizpůsobte WAF a pravidla rate limitingu svému skutečnému použití. Pokud chcete vybudovat bezpečný základ v oblasti domény, hostingu nebo SSL, můžete prozkoumat řešení Hostragons a naplánovat infrastrukturu podle potřeb vašeho webu: Hostragons hosting paketleri.
Často kladené otázky
Jaký je nejbezpečnější SSL režim pro nastavení Cloudflare?
Obecně je nejbezpečnějším SSL režimem volba Full (Strict). V tomto režimu se používá HTTPS mezi návštěvníkem a Cloudflare a také mezi Cloudflare a origin serverem a certifikát originu je ověřen. K tomu je nutné mít na serveru platný SSL certifikát.
Funguje DDoS ochrana Cloudflare v bezplatném tarifu?
Cloudflare nabízí základní DDoS ochranu i v bezplatném tarifu. Pokročilý WAF, podrobnější rate limiting, správa botů a kontroly na podnikové úrovni však nabízejí více možností v placených tarifech. U malých a středních webů může i správně nakonfigurovaný bezplatný tarif poskytnout významnou ochranu.
Měl by být režim Under Attack Mode neustále zapnutý?
Ne. Režim Under Attack Mode by měl být používán dočasně v době útoku. Pokud zůstane trvale zapnutý, skuteční návštěvníci mohou vidět dodatečnou kontrolní obrazovku a uživatelská zkušenost může být negativně ovlivněna. V běžném období je vyváženějším řešením WAF, rate limiting a vhodná úroveň Security Level.
Je hosting nutný, když používám Cloudflare?
Ano. Cloudflare poskytuje před vaším webem bezpečnostní a výkonnostní vrstvu; soubory, databáze a aplikace vašeho webu jsou stále umístěny na hostingu nebo serveru. Spolehlivá hostingová infrastruktura je proto základním požadavkem i při používání Cloudflare.
Může nastavení mezipaměti Cloudflare způsobit problémy na e-shopech?
Při nesprávné konfiguraci ano. Dynamické stránky jako košík, pokladna, uživatelský účet a administrace by měly být z mezipaměti vynechány. Pokud jsou statické soubory ukládány do mezipaměti a personalizovaný obsah je vynechán, lze Cloudflare na e-shopech bezpečně používat.
