La configuration Cloudflare consiste à paramétrer correctement le DNS, le SSL/TLS, le WAF, les règles de sécurité, le filtrage des bots et la mise en cache afin de rendre un site web plus rapide, plus sûr et plus résistant aux attaques DDoS. Pour une base fiable, ajoutez votre nom de domaine à Cloudflare, migrez soigneusement vos enregistrements DNS, choisissez si possible le mode SSL Full (Strict), activez les règles managées du WAF, appliquez des challenges ou du rate limiting aux requêtes suspectes et utilisez des protections comme “Under Attack Mode” uniquement lorsque le contexte le justifie.
Cloudflare agit comme une couche CDN et sécurité placée entre votre site web et vos visiteurs. Lorsqu’un internaute arrive sur votre site, sa requête passe d’abord par le réseau Cloudflare ; le trafic malveillant peut alors être filtré, les fichiers statiques peuvent être servis depuis le cache et les requêtes légitimes sont transmises à votre serveur d’origine. Cette architecture apporte de vrais bénéfices aux sites WordPress, boutiques WooCommerce, sites d’entreprise, tableaux de bord SaaS et médias à fort trafic. En revanche, des paramètres Cloudflare mal configurés peuvent provoquer des erreurs SSL, des boucles de redirection infinies, des problèmes d’accès à l’administration, des pages qui ne se mettent pas à jour à cause du cache, voire des failles de sécurité.
Dans ce guide, nous allons voir comment installer Cloudflare depuis zéro, activer les options essentielles pour la sécurité d’un site web, utiliser la protection DDoS au bon moment et optimiser les performances sans compromettre la fiabilité. Si vous souhaitez bâtir une infrastructure rapide, sécurisée et compatible avec les bonnes pratiques web, il est important de partir sur des bases solides côté nom de domaine, hébergement et certificat SSL : Domain kaydı, Web hosting paketleri, SSL sertifikası.
Qu’est-ce que Cloudflare et à quoi sert-il pour la sécurité d’un site web ?
Cloudflare est une plateforme cloud qui réunit gestion DNS, CDN, protection DDoS, pare-feu applicatif web, réduction du trafic bot, gestion SSL/TLS et analyse du trafic. Dans une architecture classique, le visiteur se connecte directement à votre serveur d’hébergement. Avec Cloudflare, il se connecte d’abord à un serveur périphérique du réseau Cloudflare. Cela permet de filtrer une partie importante du trafic malveillant avant qu’il n’atteigne votre serveur d’origine.
Prenons l’exemple d’un petit site WordPress recevant habituellement 2 000 visites par jour et 20 à 30 requêtes par minute. Lors d’une attaque HTTP flood basique, ce volume peut grimper à 20 000 requêtes par minute. Le serveur peut alors saturer à cause du CPU, de la RAM ou du nombre maximal de connexions. Cloudflare aide à distinguer les visiteurs réels du trafic abusif grâce à la réputation IP, à l’analyse comportementale, au rate limiting, aux challenges et aux signatures DDoS.
Cloudflare n’est pas pour autant une solution magique qui “règle tout” à elle seule. Il devient réellement efficace lorsqu’il est associé à un hébergement robuste, des logiciels à jour, des mots de passe forts, des sauvegardes régulières, un SSL correctement installé et une configuration serveur saine. Si vous utilisez WordPress, les mises à jour du thème et des extensions, la protection du tableau de bord et une politique de mots de passe solides restent indispensables : WordPress hosting, WordPress güvenliği.
Checklist avant de configurer Cloudflare
Avant de basculer vers Cloudflare, quelques vérifications simples permettent d’éviter de nombreux problèmes d’accès, de DNS ou de certificat SSL après la mise en service. Pour un site déjà en production, il est préférable de planifier les changements DNS plutôt que d’improviser en pleine période de trafic.
- Listez vos enregistrements DNS actuels : notez les A, AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC ainsi que les sous-domaines existants.
- Vérifiez l’adresse IP de votre hébergement : un mauvais enregistrement A peut envoyer votre site vers un autre serveur.
- Contrôlez l’état du SSL : si le serveur d’origine possède déjà un certificat valide, vous pourrez utiliser Full (Strict) dans Cloudflare.
- Soyez attentif aux enregistrements e-mail : les MX et les enregistrements liés au courrier doivent généralement rester sans proxy, c’est-à-dire en DNS only.
- Faites une sauvegarde : une copie de la zone DNS et du site permet de revenir rapidement en arrière en cas d’erreur.
- Choisissez une fenêtre de maintenance : les changements de nameservers sont souvent visibles en quelques minutes, mais la propagation mondiale peut prendre jusqu’à 24 heures.
Pour un site professionnel, l’approche la plus prudente consiste à recopier d’abord les enregistrements DNS à l’identique, puis à activer le proxy uniquement sur le domaine racine et le sous-domaine www qui transportent le trafic web. Pour les services comme mail, FTP, cPanel ou webmail, il faut adapter selon le cas d’usage. Par exemple, si vous utilisez un sous-domaine dédié à l’accès cPanel, le laisser en DNS only peut éviter des dysfonctionnements : cPanel hosting yönetimi.
Comment configurer les DNS Cloudflare ?
L’installation de Cloudflare commence par l’ajout de votre domaine dans le tableau de bord. Cloudflare scanne ensuite vos enregistrements DNS existants et vous propose une liste. Cette détection automatique est pratique, mais elle n’est pas infaillible : un contrôle manuel reste indispensable.
1. Ajouter le nom de domaine à Cloudflare
Connectez-vous à votre compte Cloudflare, puis utilisez l’étape “Add a site” pour ajouter votre domaine. Après le choix du plan, examinez tous les enregistrements DNS. En général, le domaine racine utilise un enregistrement A et le sous-domaine www utilise un CNAME. Une structure typique peut ressembler à ceci :
- Enregistrement A : example.com → 192.0.2.10
- Enregistrement CNAME : www → example.com
- Enregistrement MX : example.com → votre fournisseur e-mail
- Enregistrements TXT : SPF, DKIM, DMARC et autres validations
Le point essentiel est de choisir quels enregistrements doivent passer par le proxy Cloudflare. Pour le trafic web, le nuage orange peut être activé sur les enregistrements A et CNAME concernés. Pour l’e-mail, le FTP et les services nécessitant un accès direct au serveur, privilégiez le nuage gris, donc DNS only.
2. Modifier les nameservers
Cloudflare vous fournit deux nameservers. Vous devez remplacer les nameservers actuels par ceux de Cloudflare chez le registrar où votre domaine a été acheté. Pour les domaines enregistrés chez Hostragons, la gestion des nameservers se fait depuis le panneau de gestion du domaine : Domain yönetimi. Après modification, le statut du domaine doit passer à “Active” dans l’interface Cloudflare.
3. Choisir correctement l’état du proxy
Lorsque le nuage orange est actif, le trafic HTTP/HTTPS passe par Cloudflare et les fonctions de sécurité peuvent s’appliquer. Lorsque le nuage est gris, Cloudflare se limite à la résolution DNS. Pour votre site web principal, le proxy doit généralement être activé. Pour mail.example.com, ftp.example.com ou les sous-domaines liés à l’administration serveur, il est souvent préférable de le laisser désactivé.
Paramètres SSL/TLS : la configuration la plus sûre
Le réglage SSL/TLS de Cloudflare définit la manière dont les connexions sont chiffrées entre le navigateur et Cloudflare, puis entre Cloudflare et le serveur d’origine. Un mauvais mode SSL fait partie des causes les plus fréquentes d’erreurs Cloudflare.
Différence entre Flexible, Full et Full (Strict)
| Mode SSL | Cloudflare - Visiteur | Cloudflare - Serveur | Recommandation |
|---|---|---|---|
| Flexible | HTTPS | HTTP | À éviter sauf dépannage temporaire ; peut créer des boucles de redirection et un risque de sécurité. |
| Full | HTTPS | HTTPS | Le serveur dispose d’un SSL, mais la validation du certificat n’est pas stricte. |
| Full (Strict) | HTTPS | HTTPS, certificat valide | Le standard le plus sûr ; à utiliser dès que possible. |
Dans un contexte professionnel, votre objectif doit être Full (Strict). Pour cela, le serveur d’origine doit disposer d’un certificat SSL valide. Vous pouvez utiliser Let’s Encrypt, un certificat commercial ou un Cloudflare Origin Certificate. Avec les offres d’hébergement Hostragons, une installation et un renouvellement SSL correctement configurés vous permettent d’utiliser ce mode en toute confiance : SSL sertifikası kurulumu.
Always Use HTTPS et Automatic HTTPS Rewrites
L’option “Always Use HTTPS” redirige les requêtes HTTP vers HTTPS. “Automatic HTTPS Rewrites” aide à convertir certaines ressources internes en HTTPS lorsque la page contient encore des liens HTTP. Toutefois, si votre site souffre de contenu mixte, la vraie solution consiste à remplacer durablement les URL HTTP dans la base de données, le thème et les extensions.
Attention lors de l’activation de HSTS
HSTS indique aux navigateurs qu’ils doivent se connecter à votre site uniquement via HTTPS. C’est une mesure de sécurité puissante, mais elle peut bloquer l’accès des visiteurs si votre SSL est mal configuré. Avant d’activer HSTS, assurez-vous donc que Full (Strict), le certificat valide, les sous-domaines et les redirections fonctionnent sans erreur. Au départ, il est plus prudent de tester avec une valeur max-age courte.
Sécurité applicative avec les paramètres WAF Cloudflare
Le WAF, ou Web Application Firewall, filtre les requêtes liées aux injections SQL, aux attaques XSS, aux inclusions de fichiers, aux comportements de bots malveillants et aux vulnérabilités connues. Les paramètres WAF Cloudflare sont particulièrement importants pour WordPress, Joomla, Laravel, les applications sur mesure et les sites e-commerce.
Activer les Managed Rules
Les Managed Rules sont des ensembles de règles de sécurité maintenus par Cloudflare. Si vous utilisez WordPress, les règles spécifiques à WordPress, les règles OWASP générales et les signatures de CVE connues réduisent votre surface d’attaque. Lors de la première configuration, une bonne méthode consiste à observer les règles en mode “Log” ou avec un impact limité, à vérifier les faux positifs, puis à passer progressivement en “Block” ou “Managed Challenge”.
Protéger les zones sensibles avec des Custom Rules
Les règles personnalisées permettent de cibler précisément les zones critiques de votre site. Vous pouvez, par exemple, autoriser l’accès à wp-login.php ou à /admin uniquement depuis certains pays, ou envoyer vers un challenge les user-agents suspects sur des URL spécifiques. Il faut toutefois éviter de bloquer de vrais utilisateurs. Sur un site e-commerce, placer par erreur la page de paiement derrière un challenge peut faire chuter les conversions.
Exemple concret : pour un site vitrine destiné principalement au marché turc, vous pouvez appliquer un Managed Challenge aux accès étrangers vers /wp-admin. Mais si votre équipe travaille à distance ou si vous avez des bureaux à l’étranger, il faudra prévoir une allowlist IP. Cette approche réduit fortement les attaques par force brute tout en conservant l’accès aux utilisateurs autorisés.
Comment mettre en place une protection DDoS ?
Une attaque DDoS vise à rendre votre site ou votre serveur indisponible en l’inondant de trafic. Le grand avantage de Cloudflare est sa capacité à absorber une partie de ce trafic sur son réseau mondial et à ne transmettre au serveur d’origine que les requêtes nettoyées. Pour obtenir de bons résultats, il ne faut toutefois pas voir la protection DDoS comme une simple option passive, mais comme un plan de défense à adapter au scénario.
1. Garder le proxy actif sur le trafic web
La protection DDoS Cloudflare s’applique aux enregistrements dont le proxy est actif. Si votre domaine racine et votre www ne sont pas en nuage orange, le trafic web va directement vers votre serveur et Cloudflare ne peut pas le filtrer. Il est également important que l’adresse IP d’origine ne soit pas exposée publiquement. D’anciens enregistrements DNS, des en-têtes e-mail ou un accès direct par IP peuvent permettre à un attaquant de contourner Cloudflare.
2. Utiliser Security Level et les paramètres de challenge
Le Security Level détermine si un visiteur doit voir un challenge selon son score de risque. En période normale, “Medium” suffit pour la plupart des sites. Lors d’un pic suspect ou d’une attaque, vous pouvez passer à “High” ou activer temporairement “I’m Under Attack Mode”. Under Attack Mode affiche une courte page de vérification au visiteur ; il peut donc dégrader l’expérience utilisateur et ne doit pas rester activé en permanence.
3. Limiter le volume de requêtes avec le rate limiting
Le rate limiting sert à limiter le nombre de requêtes provenant d’une même IP ou d’un même client sur une période donnée. Par exemple, appliquer un challenge à un utilisateur qui envoie plus de 20 requêtes en une minute vers une page de connexion aide à réduire les attaques brute force. Pour les endpoints API, il faut être plus précis : si vous avez une application mobile ou des intégrations externes, fixer des limites trop agressives sans mesurer le trafic réel peut bloquer des usages légitimes : API ve entegrasyon güvenliği.
4. Restreindre le serveur d’origine à Cloudflare
Pour un niveau de sécurité plus avancé, le firewall du serveur peut autoriser le trafic HTTP/HTTPS uniquement depuis les plages IP de Cloudflare. Ainsi, même si un attaquant connaît l’IP d’origine, il ne peut pas atteindre directement le serveur web. Cette opération demande de la rigueur : la liste des IP Cloudflare doit rester à jour et les accès d’administration comme SSH, panneau de contrôle ou services de sauvegarde doivent être traités séparément.
Protection contre les bots et attaques brute force
Tout trafic bot n’est pas mauvais : Googlebot et les autres robots de moteurs de recherche sont nécessaires pour l’indexation de votre site. Le problème vient des bots de spam, des outils de scraping, des fausses tentatives de connexion et des automatisations qui consomment vos ressources. Les fonctions anti-bot de Cloudflare aident à distinguer ces comportements grâce à des signaux comportementaux.
- Bot Fight Mode : utile pour réduire le trafic bot basique, mais à tester si votre site dépend d’intégrations externes.
- Turnstile : alternative au CAPTCHA qui offre une vérification plus fluide dans les formulaires.
- Protection de la page de connexion : wp-login.php, xmlrpc.php et les chemins admin peuvent être limités avec des règles personnalisées.
- Contrôle XML-RPC : si vous ne l’utilisez pas sur WordPress, le bloquer réduit le risque de force brute.
- Réduction du spam formulaire : Turnstile et rate limiting peuvent être combinés sur les formulaires de contact.
Exemple parlant : sur un site WordPress, si xmlrpc.php reçoit des milliers de requêtes POST par minute, l’utilisation CPU peut grimper très vite. Une Custom Rule Cloudflare permettant de bloquer xmlrpc.php ou d’autoriser uniquement les IP de services nécessaires comme Jetpack peut réduire fortement la charge serveur.
Cache et performances : accélérer sans casser la sécurité
Cloudflare n’est pas seulement un outil de sécurité ; c’est aussi un levier de performance. En servant les fichiers statiques depuis le point de présence le plus proche du visiteur, il peut réduire le temps de chargement des pages. Mais tout ne doit pas être mis en cache. Les pages d’utilisateurs connectés, le panier, le paiement, l’espace membre et les contenus personnalisés doivent rester hors cache.
Paramètres de cache recommandés
- Caching Level : le mode standard convient à la majorité des sites.
- Browser Cache TTL : pour les fichiers statiques, une durée d’une semaine ou plus est souvent pertinente.
- Cache Rules : /wp-admin, /cart, /checkout, /my-account et les zones similaires doivent être bypassées.
- Always Online : utile en cas d’interruption temporaire, mais ses limites doivent être comprises sur les sites dynamiques.
- Purge Cache : après une mise à jour de design ou de contenu, purger les URL concernées est plus maîtrisé que vider tout le cache.
La couche hébergement reste elle aussi essentielle pour les performances. LiteSpeed, des disques NVMe, une version PHP récente et une bonne extension de cache fonctionnent encore mieux lorsqu’ils sont combinés à Cloudflare : LiteSpeed hosting, web sitesi hızlandırma.
Profil de départ recommandé pour les réglages de sécurité Cloudflare
Le tableau ci-dessous propose une configuration de départ sûre pour la plupart des petits et moyens sites. Comme chaque site a son trafic, son logiciel et son modèle économique, il est indispensable de surveiller les données réelles et d’ajuster les paramètres progressivement.
| Paramètre | Valeur recommandée | Pourquoi c’est important ? |
|---|---|---|
| SSL/TLS | Full (Strict) | Assure un HTTPS vérifié de bout en bout. |
| Always Use HTTPS | Activé | Redirige le trafic HTTP vers une connexion sécurisée. |
| WAF Managed Rules | Activé | Filtre automatiquement les attaques web connues. |
| Security Level | Medium | Offre une protection équilibrée au quotidien. |
| Under Attack Mode | Uniquement pendant une attaque | Ajoute une vérification supplémentaire lors de forts épisodes DDoS. |
| Rate Limiting | Contrôlé pour login et API | Réduit la force brute et les abus. |
| Cache Rules | Bypass sur les pages dynamiques | Évite les erreurs de panier, paiement et tableau de bord. |
| DNSSEC | Activé si compatible | Ajoute une protection contre l’usurpation DNS. |
Erreurs Cloudflare fréquentes et solutions
Boucle de redirection infinie
Cette erreur apparaît souvent lorsque Cloudflare est en mode SSL Flexible alors que le serveur d’origine force déjà la redirection HTTPS. La solution consiste à installer un certificat SSL valide sur le serveur, puis à passer Cloudflare en mode Full ou, de préférence, Full (Strict).
Erreurs 521, 522 et 525
L’erreur 521 signifie généralement que le serveur refuse la connexion, 522 indique un délai d’attente dépassé et 525 signale un problème de négociation SSL. Vérifiez que le firewall ne bloque pas les IP Cloudflare, que le serveur d’hébergement fonctionne, que le certificat SSL est valide et que les enregistrements DNS pointent vers la bonne adresse IP.
Les mises à jour ne s’affichent pas dans l’administration
Ce problème vient souvent d’une règle de cache trop agressive. Excluez du cache les pages d’administration, panier, paiement et compte utilisateur. Côté WordPress, l’intégration entre votre extension de cache et la purge Cloudflare simplifie beaucoup la gestion quotidienne.
Problèmes d’e-mail
Le proxy web Cloudflare ne transporte pas le trafic e-mail. Les enregistrements MX doivent être corrects et les enregistrements pointant vers le serveur mail doivent rester en DNS only. Si les TXT SPF, DKIM et DMARC sont absents ou erronés, vous pouvez rencontrer des problèmes de délivrabilité.
Checklist étape par étape pour une configuration Cloudflare sécurisée
L’ordre suivant constitue une feuille de route simple et fiable pour les débutants :
- 1. Ajoutez votre domaine à Cloudflare et comparez les enregistrements DNS avec ceux de votre fournisseur actuel.
- 2. Activez le proxy sur le domaine racine et le www pour le trafic web.
- 3. Évaluez l’usage du DNS only pour l’e-mail, le FTP et les services d’administration.
- 4. Modifiez les nameservers depuis le panneau de gestion du domaine.
- 5. Installez un SSL valide sur le serveur d’origine et sélectionnez Full (Strict) dans Cloudflare.
- 6. Activez Always Use HTTPS et Automatic HTTPS Rewrites.
- 7. Activez les WAF Managed Rules ; les premiers jours, surveillez les logs et les faux positifs.
- 8. Définissez du rate limiting ou un managed challenge pour les pages de connexion.
- 9. Bypassez les zones dynamiques avec des Cache Rules.
- 10. En cas d’attaque, augmentez le Security Level et activez temporairement Under Attack Mode si nécessaire.
- 11. Planifiez le durcissement du firewall serveur autour des plages IP Cloudflare.
- 12. Contrôlez chaque semaine Security Events, Analytics et les enregistrements DNS.
Cette checklist réduit les erreurs lors de la première mise en place. Pour les sites e-commerce ou les plateformes membres à fort trafic, il est préférable d’appliquer les changements pendant des heures creuses et de suivre les indicateurs de conversion après chaque modification.
Suivre Cloudflare Analytics et les événements de sécurité
Une fois Cloudflare installé, le travail n’est pas terminé ; la vraie valeur se révèle dans le suivi et l’amélioration continue. Dans la section Security Events, vous pouvez voir quelles règles ont bloqué combien de requêtes, depuis quels pays ou plages IP les attaques proviennent, et quelles URL sont ciblées. Ces données permettent d’écrire des règles personnalisées sur la base de preuves, pas d’intuitions.
Par exemple, si les logs montrent 18 000 tentatives échouées sur /wp-login.php en 24 heures, il sera plus efficace de créer une règle de rate limit et de challenge ciblée sur cet endpoint que d’augmenter brutalement le niveau de sécurité de tout le site. De même, si votre API est très utilisée, mieux vaut cibler uniquement la méthode, le pays ou le user-agent abusif plutôt que d’appliquer une règle stricte à toutes les pages.
Cloudflare suffit-il à lui seul ?
Cloudflare est une couche puissante, mais la sécurité doit être pensée en profondeur. Si votre serveur d’hébergement n’est pas à jour, si votre application contient une faille, si le mot de passe administrateur est faible ou si vous n’avez aucune politique de sauvegarde, Cloudflare ne supprimera pas tous les risques. Une stratégie solide combine hébergement sécurisé, PHP à jour, sauvegardes régulières, SSL, extensions de sécurité, permissions de fichiers correctes et contrôle des accès.
Sur l’infrastructure Hostragons, choisir l’offre d’hébergement adaptée à votre site vous aide à construire, avec Cloudflare, une architecture plus stable en sécurité comme en performance. Lorsque le trafic augmente, le passage d’un hébergement mutualisé à un VPS ou à un serveur cloud peut être envisagé pour améliorer les ressources disponibles et la résistance aux attaques : VPS sunucu, kurumsal hosting çözümleri.
Conclusion : une approche équilibrée pour sécuriser Cloudflare
Une bonne configuration Cloudflare repose sur des DNS transférés sans erreur, un SSL Full (Strict), des règles WAF adaptées, une protection bot maîtrisée, du rate limiting, des exclusions de cache bien pensées et des modes DDoS activés uniquement lors des situations critiques. Pour obtenir les meilleurs résultats, considérez ces paramètres non pas comme une opération ponctuelle, mais comme un processus de sécurité à améliorer régulièrement selon vos données de trafic.
En résumé : faites passer votre trafic web par le proxy, protégez le serveur d’origine, utilisez un mode SSL strict, ajustez le WAF et les limites de requêtes selon votre usage réel. Si vous voulez établir une base fiable côté domaine, hébergement ou SSL, vous pouvez découvrir les solutions Hostragons et planifier l’infrastructure la plus adaptée aux besoins de votre site : Hostragons hosting paketleri.
Questions fréquentes
Quel est le mode SSL le plus sûr pour une configuration Cloudflare ?
Le mode SSL le plus sûr est généralement Full (Strict). Dans ce mode, la connexion entre le visiteur et Cloudflare, puis entre Cloudflare et le serveur d’origine, utilise HTTPS, et le certificat d’origine est vérifié. Il faut donc disposer d’un certificat SSL valide sur le serveur.
La protection DDoS Cloudflare fonctionne-t-elle avec le plan gratuit ?
Cloudflare propose une protection DDoS de base même avec le plan gratuit. En revanche, les fonctions avancées de WAF, de rate limiting détaillé, de gestion des bots et de contrôle entreprise sont plus riches dans les offres payantes. Pour de nombreux petits et moyens sites, un plan gratuit bien configuré apporte déjà une protection significative.
Faut-il laisser Under Attack Mode activé en permanence ?
Non. Under Attack Mode doit être utilisé temporairement pendant une attaque. S’il reste activé en continu, les visiteurs légitimes peuvent voir une page de contrôle supplémentaire, ce qui dégrade l’expérience utilisateur. En période normale, le WAF, le rate limiting et un Security Level adapté sont plus équilibrés.
A-t-on encore besoin d’un hébergement avec Cloudflare ?
Oui. Cloudflare ajoute une couche de sécurité et de performance devant votre site, mais les fichiers, la base de données et l’application web restent hébergés sur un serveur ou une offre d’hébergement. Une infrastructure d’hébergement fiable reste donc indispensable.
Les réglages de cache Cloudflare peuvent-ils poser problème sur un site e-commerce ?
Oui, s’ils sont mal configurés. Les pages dynamiques comme le panier, le paiement, le compte client et l’administration doivent être exclues du cache. En mettant en cache les fichiers statiques tout en bypassant les contenus personnalisés, Cloudflare peut être utilisé en toute sécurité sur un site e-commerce.
