تنظیمات Cloudflare: امنیت وب‌سایت و محافظت در برابر DDoS

تنظیمات Cloudflare، راهکاری برای افزایش سرعت، امنیت و مقاومت وب‌سایت در برابر حملات DDoS است که با پیکربندی درست DNS، SSL/TLS، فایروال وب‌اپلیکیشن (WAF)، قوانین امنیتی، فیلتر ربات‌ها و گزینه‌های کش انجام می‌شود. برای یک راه‌اندازی امن پایه، دامنه خود را به Cloudflare اضافه کنید، رکوردهای DNS را دقیق منتقل کنید، حالت SSL را روی Full (Strict) قرار دهید، قوانین مدیریت‌شده WAF را فعال کنید، برای درخواست‌های مشکوک چالش یا محدودیت نرخ اعمال کنید و در زمان حمله از حالت «Under Attack Mode» به شکل کنترل‌شده استفاده کنید.

Cloudflare مانند لایه‌ای از CDN و امنیت بین وب‌سایت و بازدیدکنندگان عمل می‌کند. وقتی کاربری به سایت شما مراجعه می‌کند، درخواست ابتدا به شبکه Cloudflare می‌رسد؛ آنجا ترافیک مخرب فیلتر می‌شود، فایل‌های استاتیک از کش ارائه می‌گردد و درخواست‌های سالم به سرور اصلی هدایت می‌شوند. این ساختار برای وردپرس، ووکامرس، سایت‌های شرکتی، پنل‌های SaaS و سایت‌های پربازدید مزیت چشمگیری ایجاد می‌کند. اما تنظیمات نادرست Cloudflare می‌تواند باعث خطای SSL، حلقه ریدایرکت بی‌پایان، مشکل دسترسی به پنل مدیریت، صفحات به‌روزنشده به دلیل کش و حفره‌های امنیتی شود.

در این راهنما از صفر تا صد راه‌اندازی Cloudflare، فعال‌سازی گزینه‌های حیاتی امنیتی، استفاده درست از محافظت DDoS و بهینه‌سازی عملکرد بدون آسیب به امنیت را گام‌به‌گام بررسی می‌کنیم. برای داشتن زیرساختی سریع، امن و سازگار، ابتدا باید پایه محکمی در دامنه، هاستینگ و SSL ایجاد کنید: Domain kaydı, Web hosting paketleri, SSL sertifikası.

Cloudflare چیست و در امنیت وب‌سایت چه کاربردی دارد؟

Cloudflare پلتفرمی ابری است که مدیریت DNS، CDN، محافظت DDoS، فایروال وب‌اپلیکیشن، کاهش ربات، مدیریت SSL/TLS و تحلیل ترافیک را ارائه می‌دهد. در ساختار سنتی، بازدیدکننده مستقیم به سرور هاستینگ متصل می‌شود، اما با Cloudflare درخواست ابتدا به سرورهای لبه Cloudflare می‌رسد و ترافیک مخرب پیش از رسیدن به سرور اصلی فیلتر می‌گردد.

برای مثال در یک سایت وردپرسی کوچک، معمولاً روزانه ۲۰۰۰ بازدید و ۲۰–۳۰ درخواست در دقیقه وجود دارد. در حمله ساده HTTP Flood این عدد ممکن است به ۲۰ هزار درخواست در دقیقه برسد و سرور به دلیل محدودیت CPU، رم یا پهنای باند از پاسخ‌گویی بازبماند. Cloudflare با بررسی اعتبار IP، تحلیل رفتار، محدودیت نرخ، چالش و امضاهای DDoS، ترافیک واقعی را از مخرب جدا می‌کند.

Cloudflare به تنهایی همه مشکلات امنیتی را حل نمی‌کند. وقتی همراه با هاستینگ قوی، نرم‌افزار به‌روز، رمزهای امن، پشتیبان‌گیری و SSL درست استفاده شود، تأثیرگذار خواهد بود. به‌ویژه اگر از وردپرس استفاده می‌کنید، به‌روزرسانی قالب و افزونه‌ها، امنیت پنل مدیریت و سیاست رمز عبور قوی همچنان حیاتی است: WordPress hosting, WordPress güvenliği.

فهرست آماده‌سازی پیش از راه‌اندازی Cloudflare

پیش از مهاجرت به Cloudflare، چند بررسی اولیه انجام دهید تا مشکلات دسترسی و SSL پس از راه‌اندازی کاهش یابد. به‌ویژه در سایت‌های پرترافیک، تغییرات DNS را برنامه‌ریزی‌شده انجام دهید.

• رکوردهای DNS فعلی را استخراج کنید: رکوردهای A، AAAA، CNAME، MX، TXT، SPF، DKIM، DMARC و ساب‌دامین‌ها را یادداشت کنید.
• آدرس IP هاستینگ را تأیید کنید: رکورد A اشتباه باعث هدایت سایت به سرور دیگری می‌شود.
• وضعیت SSL را بررسی کنید: اگر سرور اصلی SSL معتبر دارد، می‌توانید از حالت Full (Strict) استفاده کنید.
• رکوردهای ایمیل را جدی بگیرید: رکوردهای MX و CNAME مربوط به ایمیل معمولاً باید بدون پروکسی (DNS Only) باشند.
• پشتیبان بگیرید: پشتیبان DNS و سایت، بازگشت سریع در صورت خطا را ممکن می‌کند.
• زمان مناسب برای نگهداری انتخاب کنید: تغییرات Nameserver معمولاً چند دقیقه طول می‌کشد، اما انتشار جهانی ممکن است تا ۲۴ ساعت زمان ببرد.

در سایت‌های شرکتی رویکرد عملی این است: ابتدا رکوردهای DNS دقیق منتقل شوند، سپس فقط رکوردهای www و ریشه دامنه که ترافیک وب دارند به حالت پروکسی درآیند. برای سرویس‌هایی مانند ایمیل، FTP و cPanel معمولاً حالت DNS Only مناسب‌تر است. مثلاً اگر ساب‌دامین جداگانه‌ای برای دسترسی cPanel دارید، بهتر است آن را DNS Only نگه دارید: cPanel hosting yönetimi.

تنظیمات DNS Cloudflare چگونه انجام می‌شود؟

راه‌اندازی Cloudflare با افزودن دامنه به پنل آغاز می‌شود. Cloudflare رکوردهای DNS موجود را اسکن کرده و لیستی نمایش می‌دهد. در این مرحله اسکن خودکار ممکن است همه رکوردها را کامل پیدا نکند، بنابراین بررسی دستی ضروری است.

۱. افزودن دامنه به Cloudflare

پس از ورود به حساب Cloudflare، با گزینه «Add a site» دامنه خود را اضافه کنید. پس از انتخاب پلن، رکوردهای DNS را بررسی کنید. معمولاً برای ریشه دامنه رکورد A و برای www رکورد CNAME وجود دارد. ساختار نمونه به این شکل است:

• رکورد A: example.com → 192.0.2.10
• رکورد CNAME: www → example.com
• رکورد MX: example.com → ارائه‌دهنده ایمیل شما
• رکوردهای TXT: رکوردهای تأیید SPF، DKIM، DMARC

نکته مهم این است که کدام رکوردها از پروکسی Cloudflare عبور کنند. برای ترافیک وب، رکوردهای A و CNAME می‌توانند ابر نارنجی (پروکسی فعال) داشته باشند. برای ترافیک ایمیل، FTP و دسترسی مستقیم سرور بهتر است ابر خاکستری (DNS Only) انتخاب شود.

۲. تغییر Nameserver

Cloudflare دو Nameserver به شما می‌دهد. آن‌ها را در جایی که دامنه را خریداری کرده‌اید جایگزین Nameserverهای فعلی کنید. در Hostragons می‌توانید Nameserverها را از پنل دامنه مدیریت کنید: Domain yönetimi. پس از تغییر، وضعیت دامنه در پنل Cloudflare باید به «Active» برسد.

۳. انتخاب وضعیت پروکسی

وقتی ابر نارنجی فعال است، ترافیک HTTP/HTTPS از Cloudflare عبور می‌کند و ویژگی‌های امنیتی اعمال می‌شوند. در حالت ابر خاکستری، Cloudflare فقط DNS را حل می‌کند. برای وب‌سایت پروکسی باید فعال باشد؛ اما برای mail.example.com، ftp.example.com یا ساب‌دامین‌های مدیریتی معمولاً پروکسی را خاموش نگه دارید.

تنظیمات SSL/TLS: امن‌ترین پیکربندی

تنظیم SSL/TLS در Cloudflare مشخص می‌کند که رمزنگاری بین مرورگر و Cloudflare و همچنین بین Cloudflare و سرور اصلی چگونه باشد. حالت اشتباه SSL یکی از رایج‌ترین خطاهای Cloudflare است.

تفاوت Flexible، Full و Full (Strict)

در استفاده حرفه‌ای هدف شما باید حالت Full (Strict) باشد. برای این کار سرور اصلی باید گواهی SSL معتبر داشته باشد. Let’s Encrypt، گواهی تجاری یا Origin Certificate Cloudflare قابل استفاده هستند. در پکیج‌های هاستینگ Hostragons، نصب و تمدید SSL به‌درستی انجام می‌شود تا بتوانید با خیال راحت از این حالت استفاده کنید: SSL sertifikası kurulumu.

Always Use HTTPS و Automatic HTTPS Rewrites

گزینه «Always Use HTTPS» درخواست‌های HTTP را به HTTPS هدایت می‌کند. «Automatic HTTPS Rewrites» نیز برخی منابع HTTP داخل صفحه را به HTTPS تبدیل می‌کند. با این حال، برای رفع کامل مشکل محتوای مختلط، بهتر است لینک‌های HTTP داخل پایگاه داده و قالب را به‌صورت دائمی به HTTPS تغییر دهید.

استفاده از HSTS با احتیاط

HSTS به مرورگرها می‌گوید که فقط از طریق HTTPS به سایت متصل شوند. این ویژگی امنیتی قوی است، اما اگر تنظیمات SSL نادرست باشد ممکن است بازدیدکنندگان نتوانند به سایت دسترسی پیدا کنند. بنابراین پیش از فعال‌سازی HSTS، مطمئن شوید حالت Full (Strict)، گواهی معتبر، ساب‌دامین‌ها و ریدایرکت‌ها بدون مشکل کار می‌کنند. در مراحل اولیه با مقدار max-age کوتاه تست کنید.

تنظیمات WAF Cloudflare برای امنیت وب‌اپلیکیشن

WAF یا فایروال وب‌اپلیکیشن، درخواست‌های مربوط به SQL Injection، XSS، File Inclusion، رفتار ربات‌های مخرب و آسیب‌پذیری‌های شناخته‌شده را فیلتر می‌کند. تنظیمات WAF Cloudflare به‌ویژه برای وردپرس، جوملا، لاراول، پنل‌های نرم‌افزار سفارشی و فروشگاه‌های اینترنتی اهمیت دارد.

فعال‌سازی Managed Rules

Managed Rules مجموعه قوانینی است که Cloudflare به‌روز نگه می‌دارد. برای وردپرس، قوانین اختصاصی وردپرس، قوانین OWASP و امضاهای CVE شناخته‌شده سطح حمله را کاهش می‌دهند. در ابتدا قوانین را در حالت «Log» یا اثر کم فعال کنید، مثبت‌های کاذب را بررسی کنید و سپس به حالت «Block» یا «Managed Challenge» تغییر دهید.

قوانین سفارشی برای محافظت از بخش‌های حساس

قوانین سفارشی امنیت هدفمند بر اساس ساختار سایت ایجاد می‌کنند. مثلاً می‌توانید دسترسی به wp-login.php یا مسیر /admin را فقط از کشورهای خاص مجاز کنید یا یوزرایجنت‌های مشکوک را به چالش بفرستید. هنگام نوشتن قانون مراقب باشید کاربران واقعی مسدود نشوند؛ در فروشگاه اینترنتی، قراردادن صفحه پرداخت در حالت چالش می‌تواند باعث از دست رفتن فروش شود.

نمونه کاربردی: در یک سایت شرکتی فارسی‌زبان، برای مسیر /wp-admin می‌توان چالش مدیریت‌شده برای دسترسی‌های خارج از کشور اعمال کرد. اگر اعضای دورکار یا دفترهای خارجی دارید، IP Allowlist تعریف کنید. این روش حملات brute force را به‌طور قابل توجهی کاهش می‌دهد و دسترسی کاربران مجاز را حفظ می‌کند.

محافظت در برابر DDoS چگونه انجام می‌شود؟

حمله DDoS با ارسال ترافیک بسیار زیاد، سایت یا سرور را غیرقابل دسترس می‌کند. مزیت اصلی Cloudflare این است که ترافیک را روی شبکه جهانی خود دریافت کرده و فقط درخواست‌های پاک را به سرور اصلی می‌فرستد. برای بهترین نتیجه، محافظت DDoS را نه به‌عنوان ویژگی منفعل، بلکه به‌عنوان بخشی از برنامه دفاع سناریومحور در نظر بگیرید.

۱. فعال نگه‌داشتن پروکسی برای ترافیک وب

محافظت DDoS Cloudflare فقط برای رکوردهایی که پروکسی فعال دارند کار می‌کند. اگر رکورد ریشه دامنه و www در حالت DNS Only باشند، ترافیک وب مستقیم به سرور می‌رود و Cloudflare نمی‌تواند فیلتر کند. همچنین مهم است که IP سرور اصلی در اینترنت به‌طور واضح قابل مشاهده نباشد. رکوردهای DNS قدیمی، هدرهای ایمیل یا دسترسی مستقیم با IP می‌توانند راه را برای دور زدن Cloudflare باز کنند.

۲. استفاده از Security Level و Challenge

Security Level تعیین می‌کند بازدیدکنندگان بر اساس امتیاز ریسک، چالش ببینند یا نه. در شرایط عادی سطح «Medium» برای اکثر سایت‌ها کافی است. در زمان حمله یا ترافیک مشکوک می‌توان سطح را به «High» یا موقتاً «I’m Under Attack Mode» افزایش داد. Under Attack Mode صفحه کنترل کوتاهی به کاربر نشان می‌دهد و تجربه کاربری را تحت تأثیر قرار می‌دهد، بنابراین بهتر است به‌صورت دائمی فعال نباشد.

۳. Rate Limiting برای محدود کردن تراکم درخواست

Rate Limiting تعداد درخواست‌های یک IP یا کلاینت را در بازه زمانی مشخص محدود می‌کند. مثلاً اگر کاربری در یک دقیقه بیش از ۲۰ درخواست به صفحه ورود ارسال کند، می‌توان چالش اعمال کرد تا حملات brute force کاهش یابد. برای نقاط پایانی API باید محتاطانه عمل کرد؛ اگر اپلیکیشن موبایل یا یکپارچه‌سازی دارید، پیش از اعمال محدودیت سخت‌گیرانه، حجم واقعی استفاده را اندازه‌گیری کنید: API ve entegrasyon güvenliği.

۴. محدود کردن سرور اصلی بر اساس IPهای Cloudflare

برای امنیت پیشرفته، در فایروال سرور فقط به محدوده IPهای Cloudflare اجازه ترافیک HTTP/HTTPS بدهید. به این ترتیب حتی اگر مهاجم IP سرور را بداند، نمی‌تواند مستقیماً به آن دسترسی پیدا کند. این کار نیاز به دقت دارد؛ لیست IPهای Cloudflare باید به‌روز نگه داشته شود و دسترسی‌های مدیریتی مانند SSH، پنل کنترل و پشتیبان‌گیری جداگانه بررسی شوند.

محافظت از ربات و اقدامات ضد Brute Force

همه ترافیک ربات‌ها بد نیستند؛ Googlebot برای ایندکس شدن سایت ضروری است. مشکل اصلی ربات‌های اسپم، ابزارهای scraping، تلاش‌های جعلی ورود و اتوماسیون‌های مصرف‌کننده منابع است. محافظت ربات Cloudflare با سیگنال‌های رفتاری این ترافیک را تفکیک می‌کند.

• Bot Fight Mode: برای کاهش ربات‌های ساده قابل استفاده است، اما باید با یکپارچه‌سازی‌ها تست شود.
• Turnstile: جایگزین کاربرپسند CAPTCHA برای فرم‌ها فراهم می‌کند.
• محافظت صفحه ورود: مسیرهایی مانند wp-login.php، xmlrpc.php و admin را با قوانین سفارشی محدود کنید.
• کنترل XML-RPC: اگر در وردپرس استفاده نمی‌شود، مسدود کردن آن خطر brute force را کاهش می‌دهد.
• کاهش اسپم فرم: در فرم‌های تماس می‌توان Turnstile و Rate Limit را همزمان به کار برد.

نمونه عملی: اگر از طریق xmlrpc.php در یک سایت وردپرسی هزاران درخواست POST در دقیقه ارسال شود، مصرف CPU به سرعت بالا می‌رود. با قانون سفارشی Cloudflare می‌توان درخواست‌های xmlrpc.php را مسدود کرد یا فقط IPهای مورد نیاز مانند Jetpack را مجاز دانست و بار سرور را به شکل قابل توجهی کم کرد.

تنظیمات کش و عملکرد: افزایش سرعت بدون آسیب به امنیت

Cloudflare علاوه بر امنیت، در عملکرد نیز قوی عمل می‌کند. با ارائه فایل‌های استاتیک از نزدیک‌ترین نقطه به کاربر، زمان بارگذاری صفحه را کاهش می‌دهد. با این حال کش کردن همه چیز درست نیست؛ صفحات کاربران واردشده، سبد خرید، پرداخت، پنل عضویت و محتوای شخصی‌سازی‌شده باید خارج از کش باقی بمانند.

تنظیمات پیشنهادی کش

• Caching Level: سطح استاندارد برای اکثر سایت‌ها مناسب است.
• Browser Cache TTL: برای فایل‌های استاتیک یک هفته یا بیشتر توصیه می‌شود.
• Cache Rules: مسیرهایی مانند /wp-admin، /cart، /checkout، /my-account باید Bypass شوند.
• Always Online: در قطعی‌های موقتی فایده محدودی دارد؛ در سایت‌های پویا انتظارها را واقع‌بینانه تنظیم کنید.
• Purge Cache: پس از به‌روزرسانی طراحی یا محتوا، به‌جای پاک کردن همه کش، URLهای خاص را پاک کنید.

در بهینه‌سازی عملکرد، لایه هاستینگ نیز مهم است. LiteSpeed، دیسک NVMe، نسخه به‌روز PHP و افزونه کش مناسب در کنار Cloudflare نتیجه بهتری می‌دهند: LiteSpeed hosting, web sitesi hızlandırma.

پروفایل شروع پیشنهادی برای تنظیمات امنیتی Cloudflare

جدول زیر برای اکثر وب‌سایت‌های کوچک و متوسط، یک پروفایل امن اولیه ارائه می‌دهد. چون ترافیک، نرم‌افزار و مدل کسب‌وکار هر سایت متفاوت است، تنظیمات را بر اساس داده‌های زنده نظارت کنید.

اشتباهات رایج Cloudflare و راه‌حل‌ها

حلقه ریدایرکت بی‌پایان

این خطا معمولاً زمانی رخ می‌دهد که حالت SSL Cloudflare روی Flexible باشد اما سرور اصلی ریدایرکت HTTPS داشته باشد. راه‌حل، نصب گواهی SSL معتبر روی سرور و تغییر حالت Cloudflare به Full یا ترجیحاً Full (Strict) است.

خطاهای ۵۲۱، ۵۲۲ و ۵۲۵

خطای ۵۲۱ به معنای رد اتصال توسط سرور، ۵۲۲ زمان‌تمام شدن و ۵۲۵ مشکل دست‌دادن SSL است. فایروال را برای IPهای Cloudflare بررسی کنید، مطمئن شوید سرور هاستینگ فعال است، گواهی SSL معتبر است و رکوردهای DNS به IP صحیح اشاره می‌کنند.

عدم نمایش به‌روزرسانی‌ها در پنل مدیریت

این مشکل معمولاً ناشی از قانون کش تهاجمی است. صفحات مدیریت، سبد خرید، پرداخت و حساب کاربری را از کش خارج کنید. در وردپرس می‌توانید از افزونه کش که با Cloudflare یکپارچه است استفاده کنید.

مشکلات ایمیل

پروکسی وب Cloudflare ترافیک ایمیل را منتقل نمی‌کند. رکوردهای MX باید درست باشند و رکوردهای اشاره‌کننده به سرور ایمیل در حالت DNS Only باقی بمانند. اگر رکوردهای TXT مربوط به SPF، DKIM و DMARC ناقص باشند، ممکن است در تحویل ایمیل مشکل ایجاد شود.

چک‌لیست گام‌به‌گام راه‌اندازی امن Cloudflare

ترتیب زیر برای افراد تازه‌کار، نقشه راهی عملی و امن ارائه می‌دهد:

• ۱. دامنه را به Cloudflare اضافه کنید و رکوردهای DNS را با ارائه‌دهنده فعلی مقایسه کنید.
• ۲. برای ترافیک وب، رکورد ریشه دامنه و www را در حالت پروکسی فعال قرار دهید.
• ۳. برای ایمیل، FTP و سرویس‌های مدیریتی، استفاده از DNS Only را بررسی کنید.
• ۴. Nameserver را از پنل دامنه تغییر دهید.
• ۵. گواهی SSL معتبر روی سرور اصلی نصب کنید و در Cloudflare حالت Full (Strict) را انتخاب کنید.
• ۶. گزینه‌های Always Use HTTPS و Automatic HTTPS Rewrites را فعال کنید.
• ۷. WAF Managed Rules را روشن کنید؛ در روزهای اول لاگ‌ها و مثبت‌های کاذب را نظارت کنید.
• ۸. برای صفحات ورود، Rate Limiting یا Managed Challenge تعریف کنید.
• ۹. با Cache Rules، بخش‌های پویا را Bypass کنید.
• ۱۰. در زمان حمله، Security Level را افزایش دهید و در صورت نیاز Under Attack Mode را موقتاً فعال کنید.
• ۱۱. فایروال سرور را بر اساس IPهای Cloudflare محدود کنید.
• ۱۲. به‌صورت هفتگی Security Events، Analytics و رکوردهای DNS را بررسی کنید.

این چک‌لیست به‌ویژه در اولین راه‌اندازی، خطاها را کاهش می‌دهد. در فروشگاه‌های اینترنتی یا سایت‌های عضویت پرترافیک، بهتر است تغییرات را ابتدا در ساعات کم‌ترافیک اعمال کنید و شاخص‌های تبدیل را رصد کنید.

نظارت بر Analytics و رویدادهای امنیتی Cloudflare

پس از راه‌اندازی Cloudflare، کار تمام نمی‌شود؛ ارزش واقعی در فرآیند نظارت و بهبود مداوم ظاهر می‌شود. در بخش Security Events می‌توانید ببینید کدام قوانین چه تعداد درخواست را مسدود کرده‌اند، حملات از کدام کشورها یا محدوده IP آمده‌اند و کدام URLها هدف قرار گرفته‌اند. این داده‌ها به شما اجازه می‌دهند بر اساس شواهد و نه حدس، قانون بنویسید.

برای مثال اگر در لاگ‌ها مشاهده کنید که در ۲۴ ساعت گذشته ۱۸ هزار درخواست ناموفق به آدرس /wp-login.php ارسال شده، به‌جای افزایش کلی سطح امنیتی، بهتر است برای این نقطه پایانی خاص Rate Limit و Challenge تعریف کنید. به همین ترتیب اگر نقطه پایانی API شما پراستفاده است، به‌جای اعمال قانون سخت‌گیرانه روی کل سایت، فقط متد، کشور یا یوزرایجنت مورد سوءاستفاده را هدف قرار دهید.

آیا Cloudflare به‌تنهایی کافی است؟

Cloudflare لایه قدرتمندی است، اما امنیت باید چندلایه باشد. اگر سرور هاستینگ به‌روز نباشد، نرم‌افزار شما حفره داشته باشد، رمز عبور مدیریت ضعیف باشد یا سیاست پشتیبان‌گیری نداشته باشید، Cloudflare همه ریسک‌ها را از بین نمی‌برد. رویکرد محکم، ترکیب هاستینگ امن، PHP به‌روز، پشتیبان‌گیری منظم، SSL، افزونه‌های امنیتی، مجوزهای فایل و کنترل دسترسی است.

در زیرساخت Hostragons، انتخاب پکیج هاستینگ مناسب به همراه Cloudflare، معماری امنیتی و عملکرد پایدارتری ایجاد می‌کند. با رشد ترافیک می‌توانید از هاستینگ اشتراکی به VPS یا سرور ابری مهاجرت کنید تا محدودیت منابع و مقاومت در برابر حمله بهتر مدیریت شود: VPS sunucu, kurumsal hosting çözümleri.

نتیجه‌گیری: رویکرد متعادل برای تنظیمات امن Cloudflare

تنظیمات درست Cloudflare شامل انتقال بدون خطای رکوردهای DNS، SSL در حالت Full (Strict)، قوانین WAF، محافظت کنترل‌شده ربات، Rate Limiting، استثناهای صحیح کش و حالت‌های DDoS مخصوص زمان حمله است. بهترین نتیجه وقتی حاصل می‌شود که تنظیمات را فرآیندی مداوم و مبتنی بر داده‌های ترافیک بدانید، نه اقدامی یک‌باره.

به طور خلاصه: ترافیک وب را از پروکسی عبور دهید، سرور اصلی را محافظت کنید، SSL را در حالت سخت‌گیرانه استفاده کنید، قوانین WAF و Rate Limit را بر اساس الگوی واقعی استفاده تنظیم کنید. اگر می‌خواهید پایه امن در دامنه، هاستینگ یا SSL ایجاد کنید، می‌توانید راه‌حل‌های Hostragons را بررسی کرده و زیرساخت مناسب سایت خود را برنامه‌ریزی کنید: Hostragons hosting paketleri.

سؤالات متداول

امن‌ترین حالت SSL برای تنظیمات Cloudflare کدام است؟

به طور کلی امن‌ترین حالت SSL، گزینه Full (Strict) است. در این حالت بین بازدیدکننده و Cloudflare و همچنین بین Cloudflare و سرور اصلی از HTTPS استفاده می‌شود و گواهی سرور اصلی اعتبارسنجی می‌گردد. برای استفاده از این حالت، سرور باید گواهی SSL معتبر داشته باشد.

آیا محافظت DDoS Cloudflare در پلن رایگان هم کار می‌کند؟

بله، Cloudflare در پلن رایگان هم محافظت پایه DDoS ارائه می‌دهد. اما برای WAF پیشرفته، Rate Limiting دقیق‌تر، مدیریت ربات و کنترل‌های سازمانی، پلن‌های پولی گزینه‌های بیشتری فراهم می‌کنند. در سایت‌های کوچک و متوسط، حتی پلن رایگان با پیکربندی درست می‌تواند حفاظت قابل قبولی ایجاد کند.

آیا باید Under Attack Mode را همیشه روشن نگه داشت؟

خیر. Under Attack Mode فقط باید در زمان حمله و به‌صورت موقت فعال شود. روشن ماندن دائمی آن باعث می‌شود کاربران واقعی صفحه کنترل اضافی ببینند و تجربه کاربری آسیب ببیند. در شرایط عادی، WAF، Rate Limiting و Security Level مناسب، راه‌حل متعادل‌تری هستند.

آیا با استفاده از Cloudflare دیگر نیازی به هاستینگ نیست؟

خیر. Cloudflare فقط لایه امنیت و عملکرد جلوی سایت ایجاد می‌کند؛ فایل‌ها، پایگاه داده و برنامه وب‌سایت همچنان باید روی هاستینگ یا سرور میزبانی شوند. بنابراین حتی هنگام استفاده از Cloudflare، داشتن هاستینگ قابل اعتماد همچنان ضروری است.

آیا تنظیمات کش Cloudflare در فروشگاه‌های اینترنتی مشکل ایجاد می‌کند؟

اگر نادرست پیکربندی شود بله. سبد خرید، صفحه پرداخت، حساب کاربری و پنل مدیریت باید خارج از کش باشند. فایل‌های استاتیک را کش کنید اما محتوای شخصی‌سازی‌شده را Bypass کنید تا Cloudflare در فروشگاه‌های اینترنتی بدون مشکل استفاده شود.