Le impostazioni Cloudflare sono l’insieme di configurazioni DNS, SSL/TLS, WAF, regole di sicurezza, filtri anti-bot e opzioni di cache che permettono di rendere un sito web più veloce, più sicuro e più resistente agli attacchi DDoS. Per una configurazione di base solida, dovresti aggiungere il dominio a Cloudflare, migrare correttamente i record DNS, scegliere quando possibile la modalità SSL Full (Strict), attivare le WAF managed rules, applicare challenge o rate limit alle richieste sospette e usare protezioni come “Under Attack Mode” solo quando il contesto lo richiede.
Cloudflare funziona come un livello CDN e di sicurezza posizionato tra il tuo sito web e i visitatori. Quando un utente apre il sito, la richiesta arriva prima alla rete Cloudflare: qui il traffico malevolo può essere filtrato, i file statici possono essere serviti dalla cache e le richieste legittime vengono inoltrate al server origin. Questa architettura è particolarmente utile per siti WordPress, WooCommerce, portali aziendali, pannelli SaaS e magazine online con molto traffico. Tuttavia, impostazioni Cloudflare configurate male possono causare errori SSL, loop di redirect infiniti, problemi di accesso all’area amministrativa, pagine non aggiornate per colpa della cache e persino nuove superfici di rischio.
In questa guida vedremo come configurare Cloudflare da zero, quali opzioni attivare per migliorare la sicurezza del sito web, come usare correttamente la protezione DDoS e come ottimizzare le prestazioni senza compromettere la stabilità. Se vuoi costruire un’infrastruttura rapida, sicura e compatibile con le esigenze del tuo progetto, è importante partire da una base solida su dominio, hosting e SSL: Domain kaydı, Web hosting paketleri, SSL sertifikası.
Cos’è Cloudflare e a cosa serve per la sicurezza di un sito web?
Cloudflare è una piattaforma cloud per sicurezza e performance che offre gestione DNS, CDN, protezione DDoS, web application firewall, mitigazione dei bot, gestione SSL/TLS e analisi del traffico. In una configurazione tradizionale, il visitatore si collega direttamente al server hosting. Con Cloudflare, invece, il visitatore si collega prima ai server edge della rete Cloudflare. In questo modo una parte importante del traffico dannoso può essere bloccata prima che raggiunga il server origin.
Per esempio, un piccolo sito WordPress potrebbe ricevere normalmente 2.000 visite al giorno e 20-30 richieste al minuto. Durante un semplice attacco HTTP flood, quel volume può salire a 20.000 richieste al minuto. A quel punto il server può smettere di rispondere per saturazione di CPU, RAM, connessioni o limiti del piano hosting. Cloudflare aiuta a distinguere il traffico reale da quello sospetto usando reputazione IP, analisi comportamentale, rate limiting, challenge e firme DDoS, facilitando l’accesso al sito da parte dei visitatori legittimi.
Cloudflare, però, non è una bacchetta magica che risolve ogni problema di sicurezza. Diventa davvero efficace quando viene usato insieme a un hosting affidabile, software aggiornato, password robuste, backup regolari, SSL valido e una corretta configurazione del server. Se utilizzi WordPress, aggiornamenti di tema e plugin, protezione del pannello admin e criteri di password sicuri restano elementi fondamentali: WordPress hosting, WordPress güvenliği.
Checklist prima di configurare Cloudflare
Prima di passare a Cloudflare conviene fare alcuni controlli di base. Questo riduce il rischio di problemi di accesso, errori SSL o disservizi legati alla posta elettronica. Soprattutto per siti già online e con traffico attivo, le modifiche DNS andrebbero pianificate con attenzione.
- Elenca i record DNS esistenti: annota A, AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC e tutti i sottodomini importanti.
- Verifica l’indirizzo IP dell’hosting: un record A errato può far puntare il sito verso un server sbagliato.
- Controlla lo stato del certificato SSL: se sul server origin è presente un SSL valido, puoi usare Full (Strict) su Cloudflare.
- Fai attenzione ai record e-mail: MX e record collegati alla posta dovrebbero di norma restare senza proxy, cioè in modalità DNS only.
- Esegui un backup: un backup del sito e una copia della zona DNS permettono di ripristinare rapidamente la situazione in caso di errore.
- Scegli una finestra di manutenzione: il cambio nameserver può risultare visibile in pochi minuti, ma la propagazione globale può richiedere fino a 24 ore.
Per i siti aziendali, un approccio pratico è questo: prima si copiano i record DNS uno a uno, poi si attiva il proxy solo per il dominio principale e per www, cioè per il traffico web. Servizi come mail, FTP, cPanel e webmail vanno invece gestiti con più cautela in base allo scenario. Per esempio, se usi un sottodominio separato per accedere a cPanel, lasciarlo in modalità DNS only può evitare diversi problemi: cPanel hosting yönetimi.
Come configurare i DNS su Cloudflare?
La configurazione di Cloudflare inizia aggiungendo il dominio al pannello. Cloudflare esegue una scansione dei record DNS esistenti e propone una lista iniziale. Questa scansione automatica è utile, ma non sempre rileva tutto: per questo il controllo manuale è indispensabile.
1. Aggiungi il dominio a Cloudflare
Dopo aver effettuato l’accesso al tuo account Cloudflare, aggiungi il dominio tramite “Add a site”. Una volta scelto il piano, controlla attentamente i record DNS rilevati. Per il dominio principale è frequente trovare un record A, mentre per www spesso viene usato un CNAME. Una struttura tipica può essere:
- Record A: example.com → 192.0.2.10
- Record CNAME: www → example.com
- Record MX: example.com → provider della posta
- Record TXT: record di verifica SPF, DKIM e DMARC
Il punto più importante è decidere quali record devono passare attraverso il proxy Cloudflare. Per i record A e CNAME usati dal sito web, la nuvola arancione può essere attiva. Per traffico e-mail, FTP e servizi che richiedono accesso diretto al server, è preferibile usare la nuvola grigia, cioè DNS only.
2. Modifica i nameserver
Cloudflare ti fornisce due nameserver. Nel pannello del registrar presso cui hai acquistato il dominio devi sostituire i nameserver esistenti con quelli indicati da Cloudflare. Se i tuoi domini sono registrati su Hostragons, puoi gestire i nameserver dal pannello dominio: Domain yönetimi. Dopo la modifica, nel pannello Cloudflare lo stato dovrebbe diventare “Active”.
3. Scegli correttamente lo stato del proxy
Quando la nuvola arancione è attiva, il traffico HTTP/HTTPS passa da Cloudflare e vengono applicate le funzionalità di sicurezza. Con la nuvola grigia, Cloudflare si limita alla risoluzione DNS. Per il sito web il proxy dovrebbe essere attivo; per mail.example.com, ftp.example.com o sottodomini usati per amministrare il server, nella maggior parte dei casi è meglio lasciarlo disattivato.
Impostazioni SSL/TLS: la configurazione più sicura
Le impostazioni SSL/TLS di Cloudflare definiscono come viene cifrata la connessione tra browser e Cloudflare, e tra Cloudflare e il server origin. La scelta errata della modalità SSL è una delle cause più comuni di errori durante l’uso di Cloudflare.
Differenza tra Flexible, Full e Full (Strict)
| Modalità SSL | Cloudflare - Visitatore | Cloudflare - Server | Consiglio |
|---|---|---|---|
| Flexible | HTTPS | HTTP | Sconsigliata salvo uso temporaneo; può creare loop di redirect e rischi di sicurezza. |
| Full | HTTPS | HTTPS | Sul server è presente SSL, ma la verifica del certificato non è rigorosa. |
| Full (Strict) | HTTPS | HTTPS, certificato valido | È l’opzione standard più sicura; va usata quando possibile. |
In un contesto professionale l’obiettivo dovrebbe essere Full (Strict). Per usarla, il server origin deve avere un certificato SSL valido. Puoi utilizzare Let’s Encrypt, un certificato commerciale oppure un Cloudflare Origin Certificate. Con i pacchetti hosting Hostragons, configurando correttamente installazione e rinnovo SSL, puoi usare questa modalità in modo stabile: SSL sertifikası kurulumu.
Always Use HTTPS e Automatic HTTPS Rewrites
L’opzione “Always Use HTTPS” reindirizza le richieste HTTP verso HTTPS. “Automatic HTTPS Rewrites”, invece, aiuta a trasformare in HTTPS alcune risorse richiamate nella pagina tramite HTTP. Tuttavia, se il sito soffre di mixed content, la soluzione migliore non è affidarsi solo a questa opzione: conviene aggiornare in modo permanente i link HTTP presenti nel database, nel tema e nei contenuti.
Attenzione quando usi HSTS
HSTS comunica ai browser che il sito deve essere aperto esclusivamente tramite HTTPS. È una misura di sicurezza potente, ma se l’SSL è configurato male può impedire ai visitatori di accedere al sito. Prima di attivare HSTS, assicurati che Full (Strict), il certificato SSL, i sottodomini e tutti i redirect funzionino correttamente. All’inizio è più prudente testare con un valore max-age breve.
Sicurezza delle applicazioni web con le impostazioni WAF di Cloudflare
Il WAF, cioè Web Application Firewall, filtra richieste legate a SQL injection, XSS, file inclusion, bot malevoli e vulnerabilità note delle applicazioni. Le impostazioni WAF di Cloudflare sono particolarmente importanti per WordPress, Joomla, Laravel, pannelli custom, e-commerce e applicazioni web con aree riservate.
Attiva le Managed Rules
Le Managed Rules sono set di regole di sicurezza già pronti e aggiornati da Cloudflare. Se usi WordPress, le regole specifiche per WordPress, le regole OWASP generiche e le firme legate a CVE note possono ridurre sensibilmente la superficie di attacco. Nella fase iniziale è sensato osservare le regole in modalità “Log” o con impatto ridotto, controllare eventuali falsi positivi e poi passare a “Block” o “Managed Challenge”.
Proteggi le aree critiche con Custom Rules
Le regole personalizzate permettono una protezione mirata in base alla struttura del sito. Per esempio, puoi consentire l’accesso a wp-login.php o a /admin solo da determinati Paesi, oppure inviare a challenge user-agent sospetti su specifici URI. Quando scrivi regole di questo tipo, però, devi evitare di bloccare utenti reali. In un e-commerce, applicare per errore una challenge alla pagina di pagamento può ridurre le conversioni.
Un esempio concreto: per un sito aziendale rivolto principalmente al mercato italiano, puoi applicare una Managed Challenge agli accessi esteri verso /wp-admin. Se però il team lavora da remoto o esistono uffici fuori dall’Italia, è necessario definire una allowlist di IP autorizzati. Questo approccio riduce molto gli attacchi brute force senza ostacolare gli utenti legittimi.
Come configurare la protezione DDoS?
Un attacco DDoS mira a rendere il sito o il server irraggiungibile tramite un volume anomalo di traffico. Il principale vantaggio di Cloudflare è la capacità di assorbire questo traffico sulla propria rete globale e inoltrare al server origin solo le richieste filtrate. Per ottenere il miglior risultato, però, la protezione DDoS non va vista come un’opzione passiva: deve far parte di un piano di difesa configurato in base allo scenario.
1. Mantieni attivo il proxy sul traffico web
La protezione DDoS di Cloudflare funziona sui record con proxy attivo. Se il dominio principale e il record www non hanno la nuvola arancione, il traffico web raggiunge direttamente il server e Cloudflare non può filtrarlo. È importante anche evitare che l’indirizzo IP origin sia facilmente visibile online. Vecchi record DNS, intestazioni e-mail o accesso diretto via IP possono permettere agli attaccanti di aggirare Cloudflare.
2. Usa Security Level e impostazioni di challenge
Security Level determina se un visitatore deve vedere una challenge in base al suo punteggio di rischio. In periodi normali, “Medium” è sufficiente per molti siti. Durante un attacco o in presenza di traffico sospetto, puoi passare a “High” oppure attivare temporaneamente “I’m Under Attack Mode”. Under Attack Mode mostra al visitatore una breve pagina di controllo; per questo può incidere sull’esperienza utente e non andrebbe lasciato sempre attivo.
3. Limita il volume delle richieste con Rate Limiting
Il rate limiting serve a limitare il numero di richieste provenienti dallo stesso IP o client in un determinato intervallo di tempo. Per esempio, applicare una challenge a chi effettua più di 20 richieste in un minuto verso la pagina di login può ridurre gli attacchi brute force. Sugli endpoint API, invece, bisogna essere più prudenti: se hai app mobile o integrazioni, impostare limiti aggressivi senza misurare il traffico reale può causare blocchi indesiderati: API ve entegrasyon güvenliği.
4. Limita il server origin alle connessioni Cloudflare
Per una sicurezza più avanzata, puoi configurare il firewall del server in modo da consentire traffico HTTP/HTTPS solo dagli intervalli IP di Cloudflare. Così, anche se un attaccante conosce l’IP origin, non può raggiungere direttamente il server web. Questa operazione richiede attenzione: la lista degli IP Cloudflare va mantenuta aggiornata e gli accessi amministrativi come SSH, pannello di controllo e servizi di backup devono essere valutati separatamente.
Protezione bot e misure contro il brute force
Il traffico bot non è sempre negativo: bot come Googlebot sono indispensabili per l’indicizzazione del sito. Il problema riguarda spam bot, strumenti di scraping, tentativi di login falsi e automazioni che consumano risorse. La protezione bot di Cloudflare aiuta a distinguere questo traffico usando segnali comportamentali.
- Bot Fight Mode: può ridurre il traffico bot semplice, ma va testato se usi integrazioni o servizi esterni.
- Turnstile: offre una verifica più user-friendly rispetto ai CAPTCHA tradizionali nei form.
- Protezione della pagina di login: wp-login.php, xmlrpc.php e percorsi admin possono essere limitati con regole personalizzate.
- Controllo XML-RPC: se non lo usi in WordPress, bloccarlo riduce il rischio di brute force.
- Riduzione dello spam nei form: Turnstile e rate limit possono lavorare insieme sui moduli di contatto.
Un caso tipico: se un sito WordPress riceve migliaia di richieste POST al minuto su xmlrpc.php, l’utilizzo CPU può crescere rapidamente. Bloccare xmlrpc.php con una Custom Rule di Cloudflare, oppure consentirlo solo agli IP di servizi necessari come Jetpack, può ridurre in modo evidente il carico del server.
Cache e performance: velocizzare senza rompere la sicurezza
Cloudflare non è solo uno strumento di sicurezza: è molto efficace anche sul fronte performance. Servendo file statici dal nodo edge più vicino al visitatore, può ridurre i tempi di caricamento delle pagine. Tuttavia non bisogna mettere tutto in cache. Pagine di utenti loggati, carrello, checkout, area membri e contenuti personalizzati devono essere esclusi dalla cache.
Impostazioni cache consigliate
- Caching Level: l’uso Standard è adatto alla maggior parte dei siti.
- Browser Cache TTL: per file statici si può scegliere 1 settimana o un valore più lungo.
- Cache Rules: aree come /wp-admin, /cart, /checkout, /my-account dovrebbero essere in bypass.
- Always Online: può aiutare in caso di interruzioni temporanee, ma sui siti dinamici va considerato con aspettative realistiche.
- Purge Cache: dopo aggiornamenti grafici o di contenuto, cancellare solo gli URL interessati è spesso più controllato rispetto a svuotare tutta la cache.
Anche il livello hosting incide molto sulle prestazioni. LiteSpeed, dischi NVMe, una versione PHP aggiornata e un plugin cache configurato bene possono lavorare insieme a Cloudflare per risultati migliori: LiteSpeed hosting, web sitesi hızlandırma.
Profilo iniziale consigliato per le impostazioni di sicurezza Cloudflare
La tabella seguente propone un profilo iniziale sicuro per la maggior parte dei siti web piccoli e medi. Ogni sito ha traffico, software e modello di business diversi: per questo le impostazioni vanno monitorate e adattate ai dati reali.
| Impostazione | Valore consigliato | Perché è importante? |
|---|---|---|
| SSL/TLS | Full (Strict) | Garantisce HTTPS verificato end-to-end. |
| Always Use HTTPS | Attivo | Reindirizza il traffico HTTP verso una connessione sicura. |
| WAF Managed Rules | Attivo | Filtra automaticamente attacchi web conosciuti. |
| Security Level | Medium | Offre una protezione equilibrata nell’uso quotidiano. |
| Under Attack Mode | Solo durante un attacco | Aggiunge una verifica extra nei periodi di DDoS intenso. |
| Limitazione della frequenza | Controllato per login e API | Riduce brute force e abuso degli endpoint. |
| Cache Rules | Bypass sulle pagine dinamiche | Evita errori su carrello, checkout e pannelli utente. |
| DNSSEC | Attivo se supportato | Aggiunge protezione contro la falsificazione DNS. |
Errori Cloudflare comuni e soluzioni
Loop di redirect infinito
Questo errore si verifica spesso quando Cloudflare è impostato su Flexible mentre il server origin forza già il redirect verso HTTPS. La soluzione è installare un certificato SSL valido sul server e impostare la modalità SSL di Cloudflare su Full o, meglio ancora, Full (Strict).
Errori 521, 522 e 525
L’errore 521 indica che il server rifiuta la connessione, il 522 segnala un timeout, mentre il 525 riguarda un problema di handshake SSL. Controlla che il firewall non blocchi gli IP Cloudflare, che il server hosting sia online, che il certificato SSL sia valido e che i record DNS puntino all’indirizzo IP corretto.
Le modifiche non compaiono nel pannello admin
Di solito il problema è causato da regole cache troppo aggressive. Escludi dalla cache area admin, carrello, checkout e pagine account. Su WordPress, un’integrazione tra plugin cache e pulizia cache Cloudflare rende la gestione molto più semplice.
Problemi con la posta elettronica
Il proxy web di Cloudflare non gestisce il traffico e-mail. I record MX devono essere corretti e i record che puntano al server mail devono restare in modalità DNS only. Se mancano SPF, DKIM e DMARC nei record TXT, potresti avere problemi di consegna o finire più facilmente nello spam.
Checklist passo passo per configurare Cloudflare in modo sicuro
La sequenza seguente offre una roadmap pratica e sicura per chi configura Cloudflare per la prima volta:
- 1. Aggiungi il dominio a Cloudflare e confronta i record DNS con quelli del provider attuale.
- 2. Attiva il proxy sul dominio principale e sul record www per il traffico web.
- 3. Valuta l’uso di DNS only per posta, FTP e servizi di amministrazione.
- 4. Esegui il cambio nameserver dal pannello del dominio.
- 5. Installa un SSL valido sul server origin e scegli Full (Strict) in Cloudflare.
- 6. Attiva Always Use HTTPS e Automatic HTTPS Rewrites.
- 7. Abilita WAF Managed Rules; nei primi giorni monitora log e falsi positivi.
- 8. Configura rate limiting o managed challenge per le pagine di login.
- 9. Usa Cache Rules per escludere le aree dinamiche.
- 10. Durante un attacco, aumenta Security Level e, se necessario, attiva temporaneamente Under Attack Mode.
- 11. Pianifica il rafforzamento del firewall server consentendo il traffico web dagli IP Cloudflare.
- 12. Controlla ogni settimana Security Events, Analytics e record DNS.
Questa checklist riduce gli errori soprattutto nella prima configurazione. Per e-commerce o siti membership con traffico elevato, è consigliabile applicare le modifiche nelle fasce orarie meno trafficate e monitorare anche metriche come conversioni, login e checkout completati.
Monitorare Cloudflare Analytics e gli eventi di sicurezza
Dopo aver installato Cloudflare, il lavoro non è finito: il vero valore emerge dal monitoraggio e dall’ottimizzazione continua. Nella sezione Security Events puoi vedere quali regole hanno bloccato quante richieste, da quali Paesi o range IP arrivano gli attacchi e quali URL vengono presi di mira. Questi dati permettono di scrivere regole personalizzate basate su evidenze, non su supposizioni.
Per esempio, se nei log vedi 18.000 richieste fallite verso /wp-login.php in 24 ore, invece di alzare genericamente il livello di sicurezza di tutto il sito è più efficace creare rate limit e challenge mirati su quell’endpoint. Allo stesso modo, se un endpoint API riceve molto traffico legittimo, è meglio non applicare regole rigide a tutto il sito, ma isolare combinazioni sospette di metodo, Paese o user-agent.
Cloudflare da solo è sufficiente?
Cloudflare è un livello di protezione molto potente, ma la sicurezza va sempre pensata a strati. Se il server hosting non è aggiornato, se l’applicazione ha vulnerabilità, se la password admin è debole o se non esiste una politica di backup, Cloudflare non elimina tutti i rischi. Un approccio solido include hosting sicuro, PHP aggiornato, backup regolari, SSL, plugin di sicurezza, permessi file corretti e controllo degli accessi.
Sull’infrastruttura Hostragons, scegliere il pacchetto hosting più adatto al tuo sito ti aiuta a costruire, insieme a Cloudflare, un’architettura più stabile in termini di sicurezza e performance. Quando il traffico cresce, può essere utile valutare il passaggio da hosting condiviso a VPS o server cloud, soprattutto per limiti di risorse e resistenza agli attacchi: VPS sunucu, kurumsal hosting çözümleri.
Conclusione: un approccio equilibrato per impostazioni Cloudflare sicure
Impostazioni Cloudflare corrette nascono da una migrazione DNS senza errori, SSL Full (Strict), regole WAF, protezione bot controllata, rate limiting, eccezioni cache ben definite e modalità DDoS da usare solo quando serve. Per ottenere il massimo, non dovresti considerare la configurazione come un’operazione una tantum, ma come un processo di sicurezza da migliorare regolarmente in base ai dati di traffico.
In sintesi: fai passare il traffico web dal proxy, proteggi il server origin, usa SSL in modalità rigorosa e configura WAF e rate limit in base all’uso reale del sito. Se vuoi costruire una base sicura anche su dominio, hosting e SSL, puoi valutare le soluzioni Hostragons e pianificare l’infrastruttura più adatta alle esigenze del tuo progetto: Hostragons hosting paketleri.
Domande frequenti
Qual è la modalità SSL più sicura per le impostazioni Cloudflare?
In generale, la modalità SSL più sicura è Full (Strict). In questa modalità viene usato HTTPS sia tra visitatore e Cloudflare, sia tra Cloudflare e server origin, e il certificato del server viene verificato. Per usarla è necessario avere un certificato SSL valido sul server.
La protezione DDoS di Cloudflare funziona nel piano gratuito?
Sì, Cloudflare offre una protezione DDoS di base anche nel piano gratuito. Tuttavia, per WAF avanzato, rate limiting più dettagliato, gestione bot e controlli di livello enterprise, i piani a pagamento offrono più opzioni. Per molti siti piccoli e medi, anche il piano gratuito configurato correttamente può garantire una protezione importante.
Under Attack Mode deve restare sempre attivo?
No. Under Attack Mode dovrebbe essere usato temporaneamente durante un attacco. Se resta sempre attivo, i visitatori reali possono vedere schermate di controllo aggiuntive e l’esperienza utente può peggiorare. Nei periodi normali, WAF, rate limiting e un Security Level adeguato sono una soluzione più equilibrata.
Se uso Cloudflare ho ancora bisogno dell’hosting?
Sì. Cloudflare aggiunge un livello di sicurezza e performance davanti al sito, ma file, database e applicazione continuano a risiedere su un hosting o su un server. Per questo un’infrastruttura hosting affidabile resta un requisito fondamentale anche quando usi Cloudflare.
Le impostazioni cache di Cloudflare possono creare problemi negli e-commerce?
Sì, se configurate male. Carrello, checkout, account utente e pannello amministrativo devono essere esclusi dalla cache. Se metti in cache i file statici e lasci in bypass i contenuti personalizzati, Cloudflare può essere usato in modo sicuro anche sui siti e-commerce.
