1. Inicio
  3. blog
  5. Seguridad
Seguridad

Configuración de Cloudflare: seguridad web y protección DDoS paso a paso

Configuración de Cloudflare: seguridad web y protección DDoS paso a paso

La configuración de Cloudflare consiste en ajustar correctamente DNS, SSL/TLS, WAF, reglas de seguridad, filtrado de bots y opciones de caché para que un sitio web sea más rápido, más seguro y más resistente frente a ataques DDoS. Para una base segura, lo recomendable es añadir tu dominio a Cloudflare, migrar bien los registros DNS, elegir el modo SSL Full (Strict) siempre que sea posible, activar las reglas administradas del WAF, aplicar challenge o rate limiting a solicitudes sospechosas y usar protecciones como “Under Attack Mode” de forma controlada durante un ataque.

Cloudflare funciona como una capa de CDN y seguridad situada entre tu sitio web y tus visitantes. Cuando alguien entra en tu web, la solicitud llega primero a la red de Cloudflare; allí se filtra el tráfico malicioso, se pueden servir archivos estáticos desde caché y las peticiones legítimas se envían a tu servidor de origen. Esta arquitectura ofrece ventajas claras para WordPress, WooCommerce, sitios corporativos, paneles SaaS y medios con mucho tráfico. Sin embargo, una configuración de Cloudflare mal aplicada también puede provocar errores SSL, bucles infinitos de redirección, problemas de acceso al panel de administración, páginas que no se actualizan por culpa de la caché y brechas de seguridad.

En esta guía veremos paso a paso cómo instalar Cloudflare desde cero, qué opciones críticas activar para mejorar la seguridad del sitio web, cómo usar la protección DDoS en el escenario correcto y cómo optimizar el rendimiento sin comprometer la seguridad. Si quieres construir una infraestructura rápida, segura y compatible para tu web, conviene empezar con una buena base en dominio, hosting y SSL: Domain kaydı, Web hosting paketleri, SSL sertifikası.

Qué es Cloudflare y para qué sirve en la seguridad de un sitio web

Cloudflare es una plataforma en la nube de seguridad y rendimiento que ofrece gestión DNS, CDN, protección DDoS, firewall de aplicaciones web, mitigación de bots, gestión SSL/TLS y analítica de tráfico. En una configuración tradicional, el visitante se conecta directamente a tu servidor de hosting; cuando se utiliza Cloudflare, el visitante se conecta primero a los servidores perimetrales de Cloudflare. Así, el tráfico malintencionado puede filtrarse antes de llegar al servidor de origen.

Por ejemplo, un sitio WordPress pequeño puede recibir normalmente 2.000 visitas al día y unas 20 o 30 solicitudes por minuto. En un ataque HTTP flood sencillo, esa cifra puede subir a 20.000 solicitudes por minuto. El servidor puede quedarse sin capacidad de respuesta por límites de CPU, RAM o conexiones. Cloudflare ayuda a separar el tráfico legítimo del tráfico sospechoso mediante reputación de IP, análisis de comportamiento, rate limiting, challenges y firmas DDoS, facilitando que los usuarios reales sigan accediendo al sitio.

Cloudflare no es una herramienta mágica que “lo arregla todo” por sí sola. Es realmente eficaz cuando se combina con una infraestructura de hosting sólida, software actualizado, contraseñas seguras, copias de seguridad, SSL y una configuración correcta del servidor. Si usas WordPress, las actualizaciones de temas y plugins, la seguridad del panel de administración y una política de contraseñas fuertes siguen siendo aspectos críticos: WordPress hosting, WordPress güvenliği.

Lista de preparación antes de configurar Cloudflare

Antes de pasar tu dominio a Cloudflare, conviene realizar algunas comprobaciones básicas para reducir problemas de acceso y errores SSL después de la configuración. En sitios con tráfico activo, los cambios DNS deben planificarse con cuidado.

  • Documenta los registros DNS actuales: anota A, AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC y todos los subdominios.
  • Verifica la IP de tu hosting: un registro A incorrecto puede enviar el sitio a otro servidor.
  • Comprueba el estado del SSL: si el servidor de origen ya tiene un SSL válido, podrás usar Full (Strict) en Cloudflare.
  • Presta atención a los registros de correo: los registros MX y los CNAME/A relacionados con mail normalmente deben quedar sin proxy, es decir, en modo DNS only.
  • Haz una copia de seguridad: una copia de DNS y del sitio permite volver atrás rápidamente si algo sale mal.
  • Elige una ventana de mantenimiento: aunque los cambios de nameserver suelen verse en pocos minutos, la propagación global puede tardar hasta 24 horas.

En sitios corporativos, el enfoque práctico es el siguiente: primero se migran los registros DNS tal como están, y después se activa el proxy solo para el dominio raíz y www, que son los que transportan el tráfico web. En servicios como correo, FTP, cPanel o webmail, conviene actuar según el caso. Por ejemplo, si usas un subdominio específico para acceder a cPanel, dejar ese registro en DNS only suele evitar complicaciones: cPanel hosting yönetimi.

Cómo configurar los DNS de Cloudflare

La configuración de Cloudflare empieza añadiendo tu dominio al panel. Cloudflare escanea los registros DNS existentes y te muestra una lista. En este punto, el escaneo automático puede no detectar todos los registros, por lo que la revisión manual es imprescindible.

1. Añade el dominio a Cloudflare

Después de iniciar sesión en tu cuenta de Cloudflare, añade el dominio desde la opción “Add a site”. Tras elegir el plan, revisa los registros DNS. Para el dominio raíz normalmente verás un registro A, y para www un registro CNAME. Una estructura típica puede ser:

  • Registro A: example.com → 192.0.2.10
  • Registro CNAME: www → example.com
  • Registro MX: example.com → tu proveedor de correo
  • Registros TXT: registros de verificación SPF, DKIM y DMARC

La clave aquí es decidir qué registros pasarán por el proxy de Cloudflare. En los registros A y CNAME utilizados para tráfico web puede estar activa la nube naranja. Para tráfico de correo, FTP y servicios que requieren acceso directo al servidor, lo habitual es usar la nube gris, es decir, DNS only.

2. Cambia los nameservers

Cloudflare te asignará dos nameservers. En el panel del proveedor donde compraste el dominio, sustituyes los nameservers actuales por esos valores. Si tus dominios están registrados en Hostragons, puedes gestionar los nameservers desde el panel de dominio: Domain yönetimi. Después del cambio, el estado en Cloudflare debería pasar a “Active”.

3. Elige correctamente el estado del proxy

Cuando la nube naranja está activa, el tráfico HTTP/HTTPS pasa por Cloudflare y se aplican las funciones de seguridad. Con la nube gris, Cloudflare solo realiza la resolución DNS. Para tu sitio web, el proxy debe estar activo; en cambio, en subdominios como mail.example.com, ftp.example.com o accesos de administración del servidor, normalmente debe quedar desactivado.

Ajustes SSL/TLS: la configuración más segura

La configuración SSL/TLS de Cloudflare determina cómo se cifra la conexión entre el navegador y Cloudflare, y entre Cloudflare y el servidor de origen. Elegir mal el modo SSL es una de las causas más frecuentes de errores en Cloudflare.

Diferencia entre Flexible, Full y Full (Strict)

Modo SSLCloudflare - VisitanteCloudflare - ServidorRecomendación
FlexibleHTTPSHTTPNo se recomienda salvo uso temporal; puede generar bucles de redirección y riesgos de seguridad.
FullHTTPSHTTPSHay SSL en el servidor, pero la validación del certificado no es estricta.
Full (Strict)HTTPSHTTPS, certificado válidoEs la opción estándar más segura; debería usarse siempre que sea posible.

En un entorno profesional, tu objetivo debe ser Full (Strict). Para ello, el servidor de origen debe contar con un certificado SSL válido. Puede ser Let’s Encrypt, un SSL comercial o Cloudflare Origin Certificate. En los paquetes de hosting de Hostragons, configurando correctamente la instalación y renovación del SSL, puedes usar este modo con seguridad: SSL sertifikası kurulumu.

Always Use HTTPS y Automatic HTTPS Rewrites

La opción “Always Use HTTPS” redirige las solicitudes HTTP a HTTPS. “Automatic HTTPS Rewrites” ayuda a convertir algunos recursos HTTP dentro de la página a HTTPS. Aun así, si tu sitio tiene problemas de contenido mixto, la solución de fondo es migrar de forma permanente a HTTPS los enlaces HTTP que existan en la base de datos, el tema y los contenidos.

Ten cuidado al activar HSTS

HSTS indica a los navegadores que se conecten a tu sitio únicamente mediante HTTPS. Es una medida de seguridad potente, pero si el SSL está mal configurado, puede dejar a los visitantes sin acceso. Por eso, antes de activar HSTS, asegúrate de que Full (Strict), el certificado SSL válido, los subdominios y las redirecciones funcionan sin errores. En una primera fase, es más seguro probar con un valor max-age corto.

Seguridad de aplicaciones web con el WAF de Cloudflare

El WAF, o Web Application Firewall, filtra solicitudes relacionadas con SQL injection, XSS, inclusión de archivos, comportamientos de bots maliciosos y vulnerabilidades conocidas de aplicaciones. La configuración del WAF de Cloudflare es especialmente importante para WordPress, Joomla, Laravel, paneles a medida y tiendas online.

Activa las Managed Rules

Las Managed Rules son conjuntos de reglas de seguridad preparados y actualizados por Cloudflare. Si usas WordPress, las reglas específicas para WordPress, las reglas generales de OWASP y las firmas de CVE conocidas reducen tu superficie de ataque. Un enfoque sano durante la primera configuración es observar las reglas en modo “Log” o con bajo impacto para detectar falsos positivos, y después aplicar “Block” o “Managed Challenge”.

Protege zonas críticas con Custom Rules

Las reglas personalizadas permiten aplicar seguridad quirúrgica según la estructura de tu sitio. Por ejemplo, puedes permitir el acceso a páginas de login como wp-login.php o /admin solo desde ciertos países, o enviar a challenge determinados user-agent sospechosos en URI concretas. Pero al escribir reglas, asegúrate de no bloquear a usuarios reales. En una tienda online, poner por error un challenge en la página de pago puede provocar pérdida de conversiones.

Ejemplo práctico: en un sitio corporativo orientado al mercado español o latinoamericano, se puede aplicar Managed Challenge a los accesos a /wp-admin desde países fuera del público objetivo. Sin embargo, si hay miembros del equipo trabajando en remoto o sedes en otros países, conviene crear una allowlist de IP. Este enfoque reduce de forma considerable los ataques de fuerza bruta sin impedir el acceso a usuarios autorizados.

Cómo configurar la protección DDoS

Un ataque DDoS intenta dejar tu sitio o servidor inaccesible mediante una cantidad excesiva de tráfico. La principal ventaja de Cloudflare es que puede absorber ese tráfico en su red global y reenviar al servidor de origen solo las solicitudes filtradas. Para obtener el mejor resultado, no conviene ver la protección DDoS como una función pasiva, sino como un plan defensivo configurado según el escenario.

1. Mantén el proxy activo para el tráfico web

La protección DDoS de Cloudflare funciona en los registros con proxy activo. Si el dominio raíz y el registro www no están en nube naranja, el tráfico web irá directamente al servidor y Cloudflare no podrá filtrarlo. Además, es importante que la IP del servidor de origen no quede expuesta en internet. Registros DNS antiguos, cabeceras de correo o acceso directo por IP pueden permitir que los atacantes esquiven Cloudflare.

2. Usa Security Level y los ajustes de challenge

Security Level determina si los visitantes verán un challenge según su puntuación de riesgo. En periodos normales, “Medium” suele ser suficiente para la mayoría de sitios. Durante un ataque o un aumento de tráfico sospechoso, se puede usar “High” o activar temporalmente “I’m Under Attack Mode”. Under Attack Mode muestra al visitante una breve página de comprobación; por eso puede afectar la experiencia de usuario y no se recomienda dejarlo activo de forma permanente.

3. Limita la intensidad de solicitudes con Rate Limiting

El rate limiting se utiliza para limitar el número de solicitudes procedentes de la misma IP o cliente durante un periodo determinado. Por ejemplo, aplicar un challenge a quien haga más de 20 solicitudes en un minuto a una página de login ayuda a reducir ataques de fuerza bruta. En endpoints de API hay que ser más cuidadoso; si tienes una app móvil o integraciones, establecer límites agresivos sin medir el uso real puede causar bloqueos incorrectos: API ve entegrasyon güvenliği.

4. Restringe el servidor de origen según Cloudflare

Para una seguridad más avanzada, puedes permitir en el firewall del servidor tráfico HTTP/HTTPS solo desde los rangos IP de Cloudflare. Así, aunque un atacante conozca la IP de origen, no podrá conectarse directamente al servidor. Esta operación requiere atención: la lista de IP de Cloudflare debe mantenerse actualizada y los accesos de administración como SSH, panel de control o servicios de backup deben evaluarse por separado.

Protección contra bots y medidas frente a fuerza bruta

El tráfico de bots no siempre es malo; bots como Googlebot son necesarios para que tu sitio se indexe. El problema son los bots de spam, herramientas de scraping, intentos falsos de login y automatizaciones que consumen recursos. La protección contra bots de Cloudflare ayuda a diferenciar este tráfico mediante señales de comportamiento.

  • Bot Fight Mode: puede usarse para reducir tráfico básico de bots, aunque debe probarse si hay integraciones sensibles.
  • Turnstile: ofrece una verificación más cómoda para el usuario como alternativa a CAPTCHA en formularios.
  • Protección de la página de login: wp-login.php, xmlrpc.php y rutas de administración pueden limitarse con reglas personalizadas.
  • Control de XML-RPC: en WordPress, bloquearlo si no se usa reduce el riesgo de fuerza bruta.
  • Reducción de spam en formularios: Turnstile y rate limiting pueden combinarse en formularios de contacto.

Como ejemplo concreto, si un sitio WordPress recibe miles de solicitudes POST por minuto contra xmlrpc.php, el uso de CPU puede dispararse rápidamente. Bloquear las solicitudes a xmlrpc.php con una Custom Rule de Cloudflare, o permitir solo las IP de servicios necesarios como Jetpack, reduce notablemente la carga del servidor.

Ajustes de caché y rendimiento: acelerar sin romper la seguridad

Ajustes de caché y rendimiento: acelerar sin romper la seguridad

Cloudflare no solo es útil en seguridad; también es muy potente en rendimiento. Puede servir archivos estáticos desde el punto de presencia más cercano al visitante y reducir el tiempo de carga. Pero cachear todo no es una buena idea: las páginas de usuarios autenticados, carrito, pago, área de miembros y contenidos personalizados deben quedar fuera de la caché.

Ajustes de caché recomendados

  • Caching Level: el uso estándar es adecuado para la mayoría de sitios.
  • Browser Cache TTL: para archivos estáticos, 1 semana o más puede ser una buena opción.
  • Cache Rules: rutas como /wp-admin, /cart, /checkout y /my-account deben quedar en bypass.
  • Always Online: ofrece ayuda limitada durante interrupciones temporales; en sitios dinámicos hay que ajustar bien las expectativas.
  • Purge Cache: tras cambios de diseño o contenido, purgar URL concretas es más controlado que limpiar toda la caché.

La capa de hosting también importa en la optimización de rendimiento. LiteSpeed, discos NVMe, una versión actual de PHP y un plugin de caché bien configurado funcionan mejor cuando se combinan con Cloudflare: LiteSpeed hosting, web sitesi hızlandırma.

Perfil inicial recomendado para la seguridad en Cloudflare

La siguiente tabla ofrece un perfil de arranque seguro para la mayoría de sitios web pequeños y medianos. Como cada sitio tiene tráfico, software y modelo de negocio diferentes, deberías ajustar la configuración observando datos reales.

AjusteValor recomendadoPor qué es importante
SSL/TLSFull (Strict)Ofrece HTTPS validado de extremo a extremo.
Always Use HTTPSActivadoRedirige el tráfico HTTP a una conexión segura.
WAF Managed RulesActivadoFiltra automáticamente ataques web conocidos.
Security LevelMediumProporciona protección equilibrada para uso diario.
Under Attack ModeSolo durante ataquesAplica verificación adicional en periodos de DDoS intenso.
Limitación de velocidadControlado para login y APIReduce fuerza bruta y abuso de recursos.
Cache RulesBypass en páginas dinámicasEvita errores en carrito, pago y paneles.
DNSSECActivado si es compatibleAñade protección frente a suplantación DNS.

Errores frecuentes en Cloudflare y cómo solucionarlos

Bucle infinito de redirección

Este error suele producirse cuando Cloudflare está en modo SSL Flexible y el servidor de origen fuerza una redirección a HTTPS. La solución es instalar un SSL válido en el servidor y cambiar el modo SSL de Cloudflare a Full o, preferiblemente, Full (Strict).

Errores 521, 522 y 525

El error 521 indica que el servidor rechaza la conexión, el 522 señala un tiempo de espera agotado y el 525 apunta a un problema de handshake SSL. Comprueba que el firewall no bloquea las IP de Cloudflare, que el servidor de hosting está funcionando, que el certificado SSL es válido y que los registros DNS apuntan a la IP correcta.

Los cambios no se ven en el panel de administración

Normalmente esto se debe a una regla de caché demasiado agresiva. Deja fuera de caché las páginas de administración, carrito, pago y cuenta de usuario. En WordPress, usar una integración entre el plugin de caché y la purga de caché de Cloudflare simplifica mucho el mantenimiento.

Problemas de correo electrónico

El proxy web de Cloudflare no transporta tráfico de correo. Los registros MX deben ser correctos y los registros que apuntan al servidor de correo deben quedar en DNS only. Si faltan registros TXT SPF, DKIM y DMARC, puedes tener problemas de entrega.

Checklist paso a paso para una configuración segura de Cloudflare

El siguiente orden de implementación ofrece una hoja de ruta segura y práctica para quienes empiezan:

  • 1. Añade tu dominio a Cloudflare y compara los registros DNS con los de tu proveedor actual.
  • 2. Activa el proxy en el dominio raíz y en el registro www para el tráfico web.
  • 3. Evalúa el uso de DNS only en servicios de correo, FTP y administración.
  • 4. Cambia los nameservers desde el panel del dominio.
  • 5. Instala un SSL válido en el servidor de origen y selecciona Full (Strict) en Cloudflare.
  • 6. Activa Always Use HTTPS y Automatic HTTPS Rewrites.
  • 7. Habilita WAF Managed Rules; durante los primeros días revisa logs y falsos positivos.
  • 8. Define rate limiting o managed challenge para páginas de inicio de sesión.
  • 9. Usa Cache Rules para hacer bypass en zonas dinámicas.
  • 10. Durante un ataque, sube el Security Level y, si es necesario, activa Under Attack Mode de forma temporal.
  • 11. Planifica endurecer el firewall del servidor según las IP de Cloudflare.
  • 12. Revisa semanalmente Security Events, Analytics y los registros DNS.

Esta checklist reduce errores, especialmente durante la primera configuración. En tiendas online o sitios de membresía con más tráfico, es más saludable aplicar cambios en horas de baja actividad y vigilar métricas de conversión.

Cloudflare Analytics y seguimiento de eventos de seguridad

Una vez instalado Cloudflare, el trabajo no termina; el verdadero valor aparece en la fase de monitorización y mejora. En la sección Security Events puedes ver qué reglas han bloqueado cuántas solicitudes, desde qué países o rangos IP llega el ataque y qué URL están siendo objetivo. Estos datos permiten crear reglas personalizadas basadas en evidencia y no en suposiciones.

Por ejemplo, si en los logs ves que /wp-login.php recibió 18.000 solicitudes fallidas en 24 horas, es mejor crear un rate limit y un challenge específicos para ese endpoint que subir el nivel de seguridad de todo el sitio. Del mismo modo, si tu endpoint de API tiene mucho uso legítimo, en lugar de aplicar una regla estricta a toda la web, puedes apuntar solo a la combinación de método, país o user-agent que se esté abusando.

¿Cloudflare es suficiente por sí solo?

Cloudflare es una capa muy potente, pero la seguridad debe plantearse por capas. Si tu servidor de hosting no está actualizado, tu aplicación tiene vulnerabilidades, la contraseña de administrador es débil o no tienes política de copias de seguridad, Cloudflare no eliminará todos los riesgos. Un enfoque robusto debe combinar hosting seguro, PHP actualizado, backups periódicos, SSL, plugins de seguridad, permisos de archivos y control de accesos.

Elegir el paquete de hosting adecuado para tu sitio dentro de la infraestructura de Hostragons te ayuda a construir, junto con Cloudflare, una arquitectura de seguridad y rendimiento más estable. A medida que crece el tráfico, conviene valorar el paso de hosting compartido a VPS o servidor cloud por límites de recursos y resistencia frente a ataques: VPS sunucu, kurumsal hosting çözümleri.

Conclusión: un enfoque equilibrado para configurar Cloudflare con seguridad

Una configuración correcta de Cloudflare se basa en migrar los registros DNS sin errores, usar SSL Full (Strict), activar reglas WAF, aplicar protección contra bots con criterio, configurar rate limiting, definir excepciones de caché adecuadas y utilizar modos DDoS específicos cuando haya un ataque. Para obtener el mejor resultado, no trates estos ajustes como una tarea de una sola vez, sino como un proceso de seguridad que se mejora con datos reales de tráfico.

En resumen: pasa tu tráfico web por el proxy, protege el servidor de origen, usa SSL en modo estricto y ajusta WAF y rate limiting según el uso real de tu sitio. Si quieres construir una base segura en dominio, hosting o SSL, puedes revisar las soluciones de Hostragons y planificar la infraestructura que mejor encaje con las necesidades de tu web: Hostragons hosting paketleri.

Preguntas frecuentes

¿Cuál es el modo SSL más seguro para la configuración de Cloudflare?

En general, el modo SSL más seguro es Full (Strict). En este modo se usa HTTPS tanto entre el visitante y Cloudflare como entre Cloudflare y el servidor de origen, y además se valida el certificado del servidor. Para usarlo, el servidor debe tener un certificado SSL válido.

¿La protección DDoS de Cloudflare funciona en el plan gratuito?

Cloudflare también ofrece protección DDoS básica en el plan gratuito. Sin embargo, los planes de pago proporcionan más opciones para WAF avanzado, rate limiting más detallado, gestión de bots y controles de nivel empresarial. En sitios pequeños y medianos, incluso el plan gratuito bien configurado puede ofrecer una protección importante.

¿Conviene dejar Under Attack Mode siempre activado?

No. Under Attack Mode debe utilizarse temporalmente durante un ataque. Si permanece activo todo el tiempo, los visitantes reales pueden ver una pantalla de comprobación adicional y la experiencia de usuario puede empeorar. En periodos normales, WAF, rate limiting y un Security Level adecuado ofrecen una solución más equilibrada.

¿Sigo necesitando hosting si uso Cloudflare?

Sí. Cloudflare proporciona una capa de seguridad y rendimiento delante de tu sitio, pero los archivos, la base de datos y la aplicación web siguen alojados en un hosting o servidor. Por eso, una infraestructura de hosting fiable sigue siendo un requisito básico aunque utilices Cloudflare.

¿La caché de Cloudflare puede causar problemas en tiendas online?

Sí, si se configura mal. Las páginas dinámicas como carrito, pago, cuenta de usuario y panel de administración deben quedar fuera de la caché. Si se cachean archivos estáticos y se hace bypass en contenidos personalizados, Cloudflare puede utilizarse de forma segura en sitios de comercio electrónico.

Comparte este artículo:
Hiroshi Takeda

Ingeniero de Ciberseguridad

Cuenta con más de 15 años de experiencia en el desarrollo de defensas contra ataques cibernéticos. Trabaja en sistemas de cifrado y seguridad de datos.

Todos los artículos →

Artículos Relacionados

Seguridad Conceptos básicos de seguridad web: una guía para principiantes sobre cómo proteger su sitio de ataques 16 de septiembre de 2025
Seguridad Todo lo que necesita saber sobre los certificados SSL 16 de septiembre de 2025
Seguridad 10 formas efectivas de mantener seguro su sitio de WordPress 15 de septiembre de 2025