Cloudflare-indstillinger handler om at konfigurere DNS, SSL/TLS, WAF, sikkerhedsregler, botfiltrering og caching korrekt for at gøre et website hurtigere, mere sikkert og modstandsdygtigt over for DDoS-angreb. For at opnå den mest sikre grundopsætning bør du tilføje dit domæne til Cloudflare, flytte DNS-posterne korrekt, vælge SSL-tilstanden Full (Strict) hvis muligt, aktivere WAF managed rules, anvende challenge eller rate limit på mistænkelige forespørgsler og kontrolleret bruge funktioner som "Under Attack Mode" under et angreb.
Cloudflare fungerer som et CDN- og sikkerhedslag, der placeres mellem dit website og dine besøgende. Når en besøgende tilgår dit site, rammer forespørgslen først Cloudflares netværk; her filtreres skadelig trafik, statiske filer kan leveres fra cache, og legitime forespørgsler viderestilles til din origin-server. Denne arkitektur giver betydelige fordele, især for WordPress, WooCommerce, virksomhedswebsites, SaaS-paneler og indholdstunge sites med høj trafik. Men forkerte Cloudflare-indstillinger kan forårsage SSL-fejl, uendelige redirect-loops, adgangsproblemer til admin-panelet, sider der ikke opdateres på grund af caching og sikkerhedshuller.
I denne guide gennemgår vi trin for trin, hvordan du opsætter Cloudflare fra bunden, aktiverer kritiske muligheder for websikkerhed, bruger DDoS-beskyttelse i de rigtige scenarier og optimerer ydeevneindstillinger uden at gå på kompromis med sikkerheden. Hvis du vil bygge en hurtig, sikker og kompatibel infrastruktur til dit site, er det vigtigt at have et solidt fundament inden for domæne, hosting og SSL: Domain kaydı, Web hosting paketleri, SSL sertifikası.
Hvad er Cloudflare, og hvordan hjælper det med websikkerhed?
Cloudflare er en cloudbaseret sikkerheds- og ydeevneplatform, der tilbyder DNS-administration, CDN, DDoS-beskyttelse, web application firewall, bot mitigation, SSL/TLS-administration og trafikanalyse. I en traditionel opsætning forbinder den besøgende direkte til din hosting-server, men med Cloudflare forbinder den besøgende først til Cloudflares edge-servere. Dermed kan ondsindet trafik filtreres, før den når origin-serveren.
For eksempel kan et lille WordPress-site normalt have 2.000 besøgende dagligt og 20-30 forespørgsler i minuttet. Under et simpelt HTTP flood-angreb kan dette tal stige til 20.000 forespørgsler i minuttet. Din server bliver utilgængelig på grund af CPU-, RAM- eller forbindelsesgrænser. Cloudflare adskiller denne trafik ved hjælp af IP-omdømme, adfærdsanalyse, rate limiting, challenge og DDoS-signaturer, hvilket gør det lettere for rigtige besøgende at nå dit site.
Cloudflare er ikke et universelt sikkerhedsværktøj, der "løser alt". Det er effektivt, når det bruges sammen med en stærk hostinginfrastruktur, opdateret software, sikre adgangskoder, backup, SSL og korrekt serverkonfiguration. Især hvis du bruger WordPress, er tema- og pluginopdateringer, adminpanelsikkerhed og en stærk adgangskodepolitik stadig kritiske: WordPress hosting, WordPress güvenliği.
Tjekliste før Cloudflare-opsætning
Før du skifter til Cloudflare, kan et par grundlæggende kontroller reducere adgangs- og SSL-problemer efter opsætningen. Især for sites med live trafik bør DNS-ændringer planlægges omhyggeligt.
- Eksporter nuværende DNS-poster: Notér A-, AAAA-, CNAME-, MX-, TXT-, SPF-, DKIM-, DMARC-poster og underdomæner.
- Bekræft din hosting-IP-adresse: En forkert A-post kan få sitet til at pege på en anden server.
- Tjek SSL-status: Hvis der er en gyldig SSL på origin-serveren, kan du bruge Full (Strict) i Cloudflare.
- Vær opmærksom på e-mail-poster: MX og mail-relaterede CNAME/A-poster bør normalt have proxy slået fra, altså være DNS only.
- Tag backup: DNS- og site-backup giver hurtig gendannelse ved fejl.
- Vælg et vedligeholdelsesvindue: Selvom navneserverændringer typisk slår igennem på få minutter, kan global udbredelse tage op til 24 timer.
For virksomhedssites er den praktiske tilgang: Først flyttes DNS-posterne én til én, derefter sættes kun www og roddomænet, der håndterer webtrafik, bag proxy. For tjenester som mail, FTP, cPanel, webmail bør man være forsigtig afhængigt af brugsscenariet. Hvis du f.eks. bruger et separat underdomæne til cPanel-adgang, kan det være mere problemfrit at lade denne post være DNS only: cPanel hosting yönetimi.
Hvordan opsætter man Cloudflare DNS-indstillinger?
Cloudflare-opsætningen starter med at tilføje dit domæne til panelet. Cloudflare scanner dine eksisterende DNS-poster og præsenterer en liste. Den automatiske scanning finder muligvis ikke alle poster komplet; derfor er manuel kontrol et must.
1. Tilføj domænet til Cloudflare
Efter du er logget ind på din Cloudflare-konto, tilføjer du dit domæne via "Add a site"-trinnet. Når du har valgt plan, gennemgår du DNS-posterne. For roddomænet er der normalt en A-post, og for www er der en CNAME-post. Et eksempel på en struktur kunne være:
- A-post: example.com → 192.0.2.10
- CNAME-post: www → example.com
- MX-post: example.com → din mailudbyder
- TXT-poster: SPF-, DKIM-, DMARC-verificeringsposter
Det vigtige her er, hvilke poster der skal gennem Cloudflares proxy. For A- og CNAME-poster, der bruges til webtrafik, kan den orange sky være aktiv. For mailtrafik, FTP og tjenester, der kræver direkte serveradgang, foretrækkes den grå sky, altså DNS only.
2. Foretag navneserverændringen
Cloudflare giver dig to navneservere. Der hvor du har købt dit domæne, udskifter du de nuværende navneservere med disse værdier. For domæner registreret hos Hostragons kan du administrere navneservere fra domænepanelet: Domain yönetimi. Efter ændringen venter du på, at status i Cloudflare-panelet bliver "Active".
3. Vælg korrekt proxy-status
Når den orange sky er aktiv, går HTTP/HTTPS-trafik gennem Cloudflare, og sikkerhedsfunktioner anvendes. Med den grå sky udfører Cloudflare kun DNS-opslag. For dit website bør proxy være aktiv; for mail.example.com, ftp.example.com eller serveradministrations-underdomæner bør proxy normalt være slået fra.
SSL/TLS-indstillinger: Den mest sikre konfiguration
Cloudflares SSL/TLS-indstilling bestemmer, hvordan krypteringen er mellem browseren og Cloudflare samt mellem Cloudflare og din origin-server. Forkert SSL-tilstand er en af de hyppigste Cloudflare-fejl.
Forskel på Flexible, Full og Full (Strict)
| SSL-tilstand | Cloudflare - Besøgende | Cloudflare - Server | Anbefaling |
|---|---|---|---|
| Flexible | HTTPS | HTTP | Anbefales ikke undtagen til midlertidig brug; kan skabe redirect-loops og sikkerhedsrisiko. |
| Full | HTTPS | HTTPS | Der er SSL på serveren, men certifikatvalideringen er ikke streng. |
| Full (Strict) | HTTPS | HTTPS, gyldigt certifikat | Den mest sikre standardindstilling; bør bruges hvis muligt. |
I professionel brug bør dit mål være Full (Strict). Dette kræver et gyldigt SSL-certifikat på origin-serveren. Du kan bruge Let's Encrypt, kommerciel SSL eller Cloudflare Origin Certificate. Ved at konfigurere SSL-installation og -fornyelse korrekt på Hostragons hostingpakker kan du trygt bruge denne tilstand: SSL sertifikası kurulumu.
Always Use HTTPS og Automatic HTTPS Rewrites
Indstillingen "Always Use HTTPS" omdirigerer HTTP-forespørgsler til HTTPS. "Automatic HTTPS Rewrites" hjælper med at konvertere nogle HTTP-ressourcer på siden til HTTPS. Men for sites med mixed content-problemer er den egentlige løsning permanent at flytte HTTP-links i databasen og temaet til HTTPS.
Vær forsigtig med HSTS
HSTS fortæller browsere, at de kun må oprette forbindelse til dit site via HTTPS. Det er en stærk sikkerhedsforanstaltning, men besøgende kan miste adgangen til dit site ved forkert SSL-konfiguration. Sørg derfor for, at Full (Strict), gyldig SSL, underdomæner og redirects fungerer problemfrit, før du aktiverer HSTS. Det er mere sikkert at teste med en kort max-age-værdi i starten.
Webapplikationssikkerhed med Cloudflare WAF-indstillinger
WAF, eller Web Application Firewall, filtrerer forespørgsler rettet mod SQL injection, XSS, filinkludering, dårlig botadfærd og kendte applikationssårbarheder. Cloudflare WAF-indstillinger er især vigtige for WordPress, Joomla, Laravel, specialbyggede softwarepaneler og e-handelssites.
Aktivér Managed Rules
Managed Rules er præbyggede sikkerhedsregelsæt, der opdateres af Cloudflare. Hvis du bruger WordPress, reducerer WordPress-specifikke regler, generelle OWASP-regler og kendte CVE-signaturer din angrebsflade. En sund tilgang er først at overvåge reglerne i "Log" eller lav-effekt-tilstand for at tjekke for falske positiver og derefter anvende "Block" eller "Managed Challenge".
Beskyt kritiske områder med Custom Rules
Brugerdefinerede regler giver præcis sikkerhed baseret på dit sites struktur. For eksempel kan du kun tillade adgang til loginsider som wp-login.php eller /admin fra bestemte lande eller sende mistænkelige user-agents til challenge på bestemte URI'er. Vær dog forsigtig med ikke at blokere rigtige brugere, når du skriver regler. På et e-handelssite kan en betalingsside, der ved en fejl sendes til challenge, forårsage konverteringstab.
Eksempel på anvendelse: På et virksomhedssite målrettet Danmark kan der anvendes Managed Challenge på /wp-admin-stien for adgang fra udlandet. Men hvis der er teammedlemmer, der arbejder eksternt, eller udenlandske kontorer, skal der defineres en IP-allowlist. Denne tilgang reducerer brute force-angreb markant, samtidig med at autoriserede brugeres adgang bevares.
Hvordan opsætter man DDoS-beskyttelse?
Et DDoS-angreb har til formål at gøre dit site eller din server utilgængelig ved at oversvømme det med trafik. Cloudflares primære fordel er, at det kan absorbere denne trafik på sit globale netværk og kun sende rensede forespørgsler videre til origin-serveren. Men for det bedste resultat bør DDoS-beskyttelse ikke ses som en passiv funktion, men som en forsvarsplan, der konfigureres efter scenariet.
1. Hold proxy aktiv for webtrafik
Cloudflares DDoS-beskyttelse virker for poster med aktiv proxy. Hvis dit roddomæne og www-posten ikke er på den orange sky, går webtrafik direkte til serveren, og Cloudflare kan ikke filtrere. Det er også vigtigt, at din origin-IP-adresse ikke er offentligt synlig på internettet. Gamle DNS-poster, mail-headers eller direkte IP-adgang kan give angribere mulighed for at omgå Cloudflare.
2. Brug Security Level og Challenge-indstillinger
Security Level bestemmer, om besøgende får vist en challenge baseret på deres risikoscore. I normale perioder er "Medium" tilstrækkeligt for de fleste sites. Under et angreb eller mistænkelig trafik kan "High" eller midlertidigt "I'm Under Attack Mode" bruges. Under Attack Mode viser en kort kontrolside til den besøgende; det kan derfor påvirke den normale brugeroplevelse og bør ikke være permanent slået til.
3. Begræns forespørgselsintensitet med Rate Limiting
Rate limiting bruges til at begrænse antallet af forespørgsler fra den samme IP eller klient inden for et bestemt tidsrum. For eksempel kan en challenge til en bruger, der laver mere end 20 forespørgsler til en loginside på 1 minut, reducere brute force-angreb. For API-endpoints bør man være mere forsigtig; har du mobilapps eller integrationer, kan aggressive grænser uden at måle reel brugsvolumen forårsage fejlagtige blokeringer: API ve entegrasyon güvenliği.
4. Begræns origin-serveren til Cloudflare
For avanceret sikkerhed kan serverens firewall konfigureres til kun at tillade HTTP/HTTPS-trafik fra Cloudflares IP-intervaller. Dermed kan en angriber ikke nå serveren direkte, selvom de kender origin-IP-adressen. Dette kræver omhu; Cloudflares IP-liste skal holdes opdateret, og administrationsadgange som SSH, kontrolpanel og backuptjenester skal vurderes separat.
Botbeskyttelse og brute force-foranstaltninger
Bottrafik er ikke altid dårlig; søgemaskinebots som Googlebot er nødvendige for indeksering af dit site. Problemet er spambots, scrapingværktøjer, falske loginforsøg og ressourcekrævende automatiseringer. Cloudflares botbeskyttelse hjælper med at skelne denne trafik ved hjælp af adfærdssignaler.
- Bot Fight Mode: Kan bruges til at reducere simpel bottrafik, men bør testes i visse integrationer.
- Turnstile: Giver mere brugervenlig validering i formularer som et CAPTCHA-alternativ.
- Loginsidebeskyttelse: wp-login.php, xmlrpc.php og admin-stier kan begrænses med brugerdefinerede regler.
- XML-RPC-kontrol: Hvis det ikke bruges i WordPress, kan blokering af det reducere brute force-risikoen.
- Reduktion af formularspam: Turnstile og rate limit kan bruges sammen i kontaktformularer.
Som et konkret eksempel: Hvis et WordPress-site modtager tusindvis af POST-forespørgsler i minuttet via xmlrpc.php, kan CPU-forbruget stige hurtigt. At blokere xmlrpc.php-forespørgsler med en Cloudflare Custom Rule eller kun tillade IP'er fra nødvendige tjenester som Jetpack, reducerer serverbelastningen markant.
Cache- og ydeevneindstillinger: Gør det hurtigere uden at gå på kompromis med sikkerheden
Cloudflare er ikke kun stærkt inden for sikkerhed, men også ydeevne. Ved at levere statiske filer fra det nærmeste edge-punkt til den besøgende kan sideindlæsningstiden reduceres. Men det er ikke korrekt at cache alt; sider for loggede brugere, kurv, betaling, medlemspanel og personligt tilpasset indhold bør holdes uden for cache.
Anbefalede cache-indstillinger
- Caching Level: Standard passer til de fleste sites.
- Browser Cache TTL: 1 uge eller længere kan foretrækkes for statiske filer.
- Cache Rules: Områder som /wp-admin, /cart, /checkout, /my-account bør bypasses.
- Always Online: Giver begrænset fordel ved midlertidige afbrydelser; forventningerne bør justeres på dynamiske sites.
- Purge Cache: Efter design- eller indholdsopdateringer er det mere kontrolleret at rydde den relevante URL i stedet for hele cachen.
Hostinglaget er også vigtigt for ydeevneoptimering. LiteSpeed, NVMe-disk, opdateret PHP-version og korrekt cache-plugin giver bedre resultater sammen med Cloudflare: LiteSpeed hosting, web sitesi hızlandırma.
Anbefalet startprofil til Cloudflare-sikkerhedsindstillinger
Tabellen nedenfor giver en sikker startprofil for de fleste små og mellemstore websites. Da hvert sites trafik, software og forretningsmodel er forskellig, skal du overvåge indstillingerne baseret på live data.
| Indstilling | Anbefalet værdi | Hvorfor er det vigtigt? |
|---|---|---|
| SSL/TLS | Full (Strict) | Giver end-to-end valideret HTTPS. |
| Always Use HTTPS | Til | Omdirigerer HTTP-trafik til sikker forbindelse. |
| WAF Managed Rules | Til | Filtrerer automatisk kendte webangreb. |
| Security Level | Medium | Giver afbalanceret beskyttelse til daglig brug. |
| Under Attack Mode | Kun under angreb | Anvender ekstra validering under intense DDoS-perioder. |
| Rate Limiting | Kontrolleret for login og API | Reducerer brute force og misbrug. |
| Cache Rules | Bypass på dynamiske sider | Forhindrer fejl i kurv, betaling og panel. |
| DNSSEC | Til hvis muligt | Giver ekstra beskyttelse mod DNS-forfalskning. |
Almindelige Cloudflare-fejl og løsninger
Uendeligt redirect-loop
Denne fejl skyldes normalt, at Cloudflares SSL-tilstand er Flexible, mens origin-serveren har en HTTPS-omdirigering. Løsningen er at installere en gyldig SSL på serveren og ændre Cloudflares SSL-tilstand til Full eller helst Full (Strict).
Fejl 521, 522 og 525
Fejl 521 indikerer, at serveren afviste forbindelsen, 522 at der opstod timeout, og 525 viser et SSL-handshake-problem. Tjek, at firewallen ikke blokerer Cloudflares IP'er, at hosting-serveren kører, at SSL-certifikatet er gyldigt, og at DNS-posterne peger på den korrekte IP.
Opdateringer vises ikke i adminpanelet
Dette skyldes normalt en aggressiv cache-regel. Undlad at cache admin-, kurv-, betalings- og brugerkontosider. På WordPress-siden gør integration mellem cache-plugin og Cloudflare cache-purge arbejdet lettere.
E-mailproblemer
Cloudflares webproxy håndterer ikke e-mailtrafik. MX-poster skal være korrekte, og poster, der peger på mailserveren, bør forblive DNS only. Hvis SPF-, DKIM- og DMARC TXT-poster mangler, kan du oplevere leveringsproblemer.
Trin-for-trin tjekliste til sikker Cloudflare-opsætning
Følgende rækkefølge giver en sikker og praktisk køreplan for begyndere:
- 1. Tilføj dit domæne til Cloudflare, og sammenlign DNS-poster med din nuværende udbyder.
- 2. Aktivér proxy for roddomæne og www-post til webtrafik.
- 3. Overvej DNS only for mail, FTP og administrationstjenester.
- 4. Foretag navneserverændringen fra dit domænepanel.
- 5. Installér en gyldig SSL på origin-serveren, og vælg Full (Strict) i Cloudflare.
- 6. Aktivér Always Use HTTPS og Automatic HTTPS Rewrites.
- 7. Tænd for WAF Managed Rules; overvåg logs og falske positiver de første dage.
- 8. Definer rate limiting eller managed challenge for loginsider.
- 9. Bypass dynamiske områder med Cache Rules.
- 10. Hæv Security Level under et angreb, og aktivér midlertidigt Under Attack Mode om nødvendigt.
- 11. Planlæg at stramme serverens firewall baseret på Cloudflares IP'er.
- 12. Tjek Security Events, Analytics og DNS-poster ugentligt.
Denne tjekliste reducerer fejl, især ved den første opsætning. For e-handels- eller medlemssites med højere trafik er det sundere at implementere ændringer i lavtrafikperioder og overvåge konverteringsmetrikker.
Overvågning af Cloudflare Analytics og sikkerhedshændelser
Arbejdet stopper ikke, når Cloudflare er sat op; den egentlige værdi kommer i overvågnings- og forbedringsprocessen. I Security Events-sektionen kan du se, hvilke regler der blokerede hvor mange forespørgsler, fra hvilke lande eller IP-intervaller angrebene kom, og hvilke URL'er der var mål. Disse data giver dig mulighed for at handle evidensbaseret frem for på formodninger, når du skriver brugerdefinerede regler.
Hvis du for eksempel i logfilerne ser, at der kom 18.000 mislykkede forespørgsler til /wp-login.php inden for 24 timer, er det mere korrekt at skrive en specifik rate limit og challenge til dette endpoint i stedet for blot at hæve det generelle sikkerhedsniveau. På samme måde, hvis dit API-endpoint bruges intensivt, kan du målrette mod den misbrugte kombination af metode, land eller user-agent i stedet for at anvende en streng regel på hele sitet.
Er Cloudflare nok i sig selv?
Cloudflare er et stærkt lag, men sikkerhed bør tænkes i flere lag. Hvis din hosting-server ikke er opdateret, din software har sårbarheder, dit admin-password er svagt, eller du ikke har en backuppolitik, fjerner Cloudflare ikke alle risici. En robust tilgang kræver, at sikker hosting, opdateret PHP, regelmæssig backup, SSL, sikkerhedsplugins, filtilladelser og adgangskontrol håndteres sammen.
At vælge den rigtige hostingpakke til dit website på Hostragons-infrastrukturen hjælper dig med at opbygge en mere stabil sikkerheds- og ydeevnearkitektur sammen med Cloudflare. Efterhånden som trafikken vokser, kan et skift fra delt hosting til VPS eller cloud-server overvejes med hensyn til ressourcegrænser og angrebsmodstandsdygtighed: VPS sunucu, kurumsal hosting çözümleri.
Konklusion: En afbalanceret tilgang til sikre Cloudflare-indstillinger
Korrekte Cloudflare-indstillinger består af fejlfri flytning af DNS-poster, Full (Strict) SSL, WAF-regler, kontrolleret botbeskyttelse, rate limiting, korrekte cache-undtagelser og scenariespecifikke DDoS-tilstande under angreb. For det bedste resultat bør du se indstillingerne som en sikkerhedsproces, der løbende forbedres baseret på trafikdata, ikke som en engangsopgave.
Kort fortalt: Send din webtrafik gennem proxyen, beskyt din origin-server, brug SSL i streng tilstand, og juster WAF- og rate limit-regler efter din faktiske brug. Hvis du ønsker at opbygge et sikkert fundament inden for domæne, hosting eller SSL, kan du udforske Hostragons-løsninger og planlægge den infrastruktur, der passer til dit sites behov: Hostragons hosting paketleri.
Ofte stillede spørgsmål
Hvilken SSL-tilstand er den mest sikre til Cloudflare-indstillinger?
Generelt er den mest sikre SSL-tilstand Full (Strict). I denne tilstand bruges HTTPS mellem den besøgende og Cloudflare samt mellem Cloudflare og origin-serveren, og origin-certifikatet valideres. Dette kræver et gyldigt SSL-certifikat på serveren.
Virker Cloudflares DDoS-beskyttelse på den gratis plan?
Cloudflare tilbyder grundlæggende DDoS-beskyttelse selv på den gratis plan. Men avanceret WAF, mere detaljeret rate limiting, bot management og enterprise-kontroller giver flere muligheder på betalingsplaner. For små og mellemstore sites kan selv en korrekt konfigureret gratis plan give betydelig beskyttelse.
Skal Under Attack Mode være permanent slået til?
Nej. Under Attack Mode bør bruges midlertidigt under et angreb. Hvis det er permanent slået til, kan rigtige besøgende se en ekstra kontrolside, og brugeroplevelsen kan blive negativt påvirket. I normale perioder er WAF, rate limiting og et passende Security Level en mere afbalanceret løsning.
Er hosting nødvendigt, når man bruger Cloudflare?
Ja. Cloudflare leverer et sikkerheds- og ydeevnelag foran dit website; dit websites filer, database og applikation ligger stadig på en hosting eller server. Derfor er pålidelig hostinginfrastruktur et grundlæggende krav, også ved brug af Cloudflare.
Vil Cloudflares cache-indstillinger skabe problemer for e-handelssites?
Det kan de, hvis de er forkert konfigureret. Dynamiske sider som kurv, betaling, brugerkonto og adminpanel bør holdes uden for cache. Hvis statiske filer caches, mens personligt indhold bypasses, kan Cloudflare trygt bruges på e-handelssites.
