Cloudflare-innstillinger handler om å konfigurere DNS, SSL/TLS, WAF, sikkerhetsregler, botfiltrering og caching-alternativer på riktig måte for å gjøre et nettsted raskere, sikrere og motstandsdyktig mot DDoS-angrep. For en sikker grunnleggende oppsett bør du legge til domenet ditt til Cloudflare, overføre DNS-postene korrekt, velge SSL-modus som Full (Strict) hvis mulig, aktivere WAF-managed rules, bruke challenge eller rate limiting for mistenkelige forespørsel, og bruke beskyttelser som “Under Attack Mode” på en kontrollert måte under angrep.
Cloudflare fungerer som et CDN og sikkerhetslag som plasseres mellom nettstedet ditt og besøkende. Når en besøkende kommer til nettstedet ditt, når forespørselen først Cloudflare-nettverket; her filtreres ondsinnet trafikk, statiske filer kan leveres fra cache, og passende forespørsel dirigeres til serveren din. Denne strukturen gir betydelige fordeler, spesielt for WordPress, WooCommerce, bedriftsnettsteder, SaaS-paneler og innholdssider med høy trafikk. Feilkonfigurert Cloudflare kan imidlertid føre til problemer som SSL-feil, uendelige omdirigeringssløyfer, tilgangsproblemer til administrasjonspanelet, oppdaterte sider som ikke vises på grunn av cache, og sikkerhetshull.
I denne guiden vil vi trinnvis gå gjennom hvordan du setter opp Cloudflare fra bunnen av, aktiverer kritiske alternativer for nettsikkerhet, bruker DDoS-beskyttelse i riktige scenarioer, og optimaliserer ytelsesinnstillingene uten å kompromittere sikkerheten. Hvis du ønsker å bygge en rask, sikker og kompatibel infrastruktur for nettstedet ditt, er det viktig å ha et solid grunnlag på domenenavn, hosting og SSL: Domene registrering, Webhosting-pakker, SSL-sertifikat.
Hva er Cloudflare og hvordan bidrar det til sikkerhet for nettsteder?
Cloudflare er en skybasert sikkerhets- og ytelsesplattform som tilbyr DNS-administrasjon, CDN, DDoS-beskyttelse, webapplikasjonsbrannmur, botreduksjon, SSL/TLS-administrasjon og trafikkanalyse. I en tradisjonell oppsett kobles besøkende direkte til hosting-serveren, mens i Cloudflare-scenarioet kobles de først til Cloudflare-edge-serverne. Dermed kan ondsinnet trafikk filtreres før den når origin-serveren.
For eksempel kan en liten WordPress-side normalt ha 2 000 besøkende daglig og 20-30 forespørsel per minutt. Under et enkelt HTTP flood-angrep kan dette tallet stige til 20 000 forespørsel per minutt. Serveren din kan bli utilgjengelig på grunn av CPU-, RAM- eller tilkoblingsbegrensninger. Cloudflare skiller denne trafikken ved hjelp av IP-reputasjon, atferdsanalyse, rate limiting, challenge og DDoS-signaturer, noe som gjør det lettere for ekte besøkende å nå nettstedet.
Cloudflare er ikke et “one-size-fits-all” sikkerhetsverktøy. Det er effektivt når det brukes sammen med en robust hosting-infrastruktur, oppdatert programvare, sikre passord, backup, SSL og riktig serverkonfigurasjon. Spesielt hvis du bruker WordPress, er oppdateringer av temaer og plugins, sikkerhet i administrasjonspanelet og sterke passordpolitikker fortsatt kritiske: WordPress hosting, WordPress sikkerhet.
Forberedelsesliste før Cloudflare-installering
Før du går over til Cloudflare, er det viktig å gjøre noen grunnleggende kontroller for å redusere mulige tilgangs- og SSL-problemer etter installasjonen. Spesielt på nettsteder med aktiv trafikk må DNS-endringer gjøres planlagt.
- Noter eksisterende DNS-poster: Noter A, AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC og subdomener.
- Bekreft hosting-IP-adressen din: Feil A-post kan føre til at nettstedet dirigeres til en annen server.
- Sjekk SSL-status: Hvis det er gyldig SSL på origin-serveren, kan du bruke Full (Strict) på Cloudflare.
- Vær oppmerksom på e-postpostene: MX- og mail-relaterte CNAME/A-poster bør vanligvis være DNS only, dvs. proxyen bør være deaktivert.
- Ta backup: En backup av DNS og nettsted gir rask gjenoppretting ved feil.
- Velg et vedlikeholdstidspunkt: Selv om navneserver-endringer vanligvis vises innen få minutter, kan global distribusjon ta opptil 24 timer.
For bedriftsnettsteder er den praktiske tilnærmingen som følger: Først overføres DNS-postene direkte, deretter aktiveres proxyen kun for www og rot-domenet som håndterer webtrafikk. For tjenester som mail, FTP, cPanel og webmail må man opptre forsiktig avhengig av bruksanvendelsen. For eksempel, hvis du bruker et eget subdomene for cPanel-tilgang, kan det være mer problemfritt å la denne posten være DNS only: cPanel hostingadministrasjon.
Slik konfigureres Cloudflare DNS-innstillinger
Cloudflare-installasjonen begynner med å legge til domenet ditt til panelet. Cloudflare skanner eksisterende DNS-poster og gir deg en liste over dem. På dette stadiet kan den automatiske skanningen kanskje ikke finne alle postene korrekt; derfor er manuell kontroll nødvendig.
1. Legg til domenet i Cloudflare
Logg inn på Cloudflare-kontoen din og legg til domenet ditt ved å bruke “Add a site”-funksjonen. Etter å ha valgt plan, kan du gjennomgå DNS-postene. For rot-domenet er det vanligvis A-post, mens det for www er CNAME-post. Et eksempel kan være:
- A-post: example.com → 192.0.2.10
- CNAME-post: www → example.com
- MX-post: example.com → din e-postleverandør
- TXT-poster: SPF, DKIM, DMARC valideringsposter
Det viktige her er hvilke poster som skal gå gjennom Cloudflare-proxyen. A- og CNAME-poster brukt for webtrafikk kan ha oransje sky aktivert. For mailtrafikk, FTP og tjenester som krever direkte servertilgang, bør man bruke grå sky, det vil si DNS only.
2. Gjør navneserver-endringen
Cloudflare gir deg to navneservere. Du vil erstatte de eksisterende navneserverne der du kjøpte domenet med disse verdiene. For domenene dine registrert på Hostragons, kan du håndtere navneserveradministrasjonen fra domene-panelet: Domeneadministrasjon. Etter endringen forventes det at statusen i Cloudflare-panelet viser “Active”.
3. Velg riktig proxy-status
Når den oransje skyen er aktiv, går HTTP/HTTPS-trafikken gjennom Cloudflare og sikkerhetsfunksjonene anvendes. Med grå sky utfører Cloudflare kun DNS-oppløsning. Proxyen bør være aktivert for nettstedet ditt; mens mail.example.com, ftp.example.com eller serveradministrasjons-subdomener vanligvis bør ha proxyen deaktivert.
SSL/TLS-innstillinger: Den sikreste konfigurasjonen
Cloudflare SSL/TLS-innstillingen bestemmer hvordan nettstedet ditt krypteres mellom nettleseren og Cloudflare, samt mellom Cloudflare og origin-serveren. Feil SSL-modus er en av de vanligste Cloudflare-feilene.
Forskjellen mellom Flexible, Full og Full (Strict)
| SSL-modus | Cloudflare - Besøker | Cloudflare - Server | Anbefaling |
|---|---|---|---|
| Flexible | HTTPS | HTTP | Anbefales ikke, bortsett fra midlertidig bruk; kan forårsake omdirigeringssløyfer og sikkerhetsrisiko. |
| Full | HTTPS | HTTPS | Det er SSL på serveren, men sertifikatvalideringen er ikke streng. |
| Full (Strict) | HTTPS | HTTPS, gyldig sertifikat | Det sikreste standardvalget; bør brukes hvis mulig. |
Målsettingen for profesjonell bruk bør være Full (Strict). For dette må det finnes et gyldig SSL-sertifikat på origin-serveren. Let’s Encrypt, kommersielle SSL eller Cloudflare Origin Certificate kan brukes. Du kan trygt bruke denne modusen ved å korrekt konfigurere SSL-innstillingen og fornyelsesprosessen i Hostragons hostingpakker: SSL-sertifikat installasjon.
Always Use HTTPS og Automatic HTTPS Rewrites
“Always Use HTTPS”-alternativet omdirigerer HTTP-forespørsel til HTTPS. “Automatic HTTPS Rewrites” hjelper med å konvertere enkelte HTTP-kilder på siden til HTTPS. Men for nettsteder med blandet innhold er den egentlige løsningen å permanent flytte HTTP-lenker i databasen og temaet til HTTPS.
Vær oppmerksom på HSTS
HSTS ber nettlesere om å kun koble til nettstedet ditt via HTTPS. Det er et sterkt sikkerhetstiltak, men hvis SSL-konfigurasjonen er feil, kan besøkende kanskje ikke få tilgang til nettstedet ditt. Sørg for at HSTS er aktivert bare etter at Full (Strict) er konfigurert, gyldig SSL er på plass, subdomener og omdirigeringer fungerer uten problemer. I første omgang er det tryggere å teste med en kort max-age-verdi.
Cloudflare WAF-innstillinger for webapplikasjonssikkerhet
WAF, eller Web Application Firewall, filtrerer forespørsel mot SQL-injeksjon, XSS, filinkludering, ondsinnet botatferd og kjente applikasjonsfeil. Cloudflare WAF-innstillingene er spesielt viktige for WordPress, Joomla, Laravel, spesialbygde programvarepaneler og netthandelsnettsteder.
Aktiver Managed Rules
Managed Rules er sett med sikkerhetsregler som oppdateres av Cloudflare. Hvis du bruker WordPress, reduserer spesifikke regler for WordPress, generelle OWASP-regler og kjente CVE-signaturer angrepsflaten din. Det er sunt å overvåke reglene i “Log”-modus eller lav effekt modus under den innledende installasjonen for å kontrollere falske positiver, og deretter anvende “Block” eller “Managed Challenge”.
Beskytt kritiske områder med Custom Rules
Tilpassede regler gir presis sikkerhet basert på strukturen til nettstedet ditt. For eksempel kan du gi tilgang til innloggingssidene wp-login.php eller /admin kun fra bestemte land, eller sende mistenkelige user-agents til challenge for spesifikke URI-er. Vær imidlertid forsiktig så du ikke blokkerer ekte brukere. Å feilaktig utfordre betalingssidene på et netthandelssted kan føre til tap av konverteringer.
Eksempel på anvendelse: På et bedriftsnettsted rettet mot Tyrkia kan Managed Challenge anvendes for /wp-admin-stien for tilgang fra utenlandske IP-er. Men hvis det er teammedlemmer som jobber eksternt eller internasjonale kontorer, bør IP-allowlist defineres. Denne tilnærmingen reduserer betydelig brute-force-angrep samtidig som den beskytter autoriserte brukeres tilgang.
Hvordan gjøre DDoS-beskyttelse?
DDoS-angrep har som mål å gjøre nettstedet eller serveren din utilgjengelig ved å overbelaste den med trafikk. Den grunnleggende fordelen med Cloudflare er at det kan håndtere denne trafikken på sitt globale nettverk og bare sende rensede forespørsel til origin-serveren. Men for best mulig resultat må DDoS-beskyttelse betraktes som en forsvarsplan som er konfigurert i henhold til scenariet, ikke som en passiv funksjon.
1. Hold proxy aktivert for webtrafikk
Cloudflare DDoS-beskyttelse fungerer for proxy-aktive poster. Hvis rot-domenet ditt og www-posten ikke er i oransje sky, går webtrafikken direkte til serveren, og Cloudflare kan ikke filtrere. Det er også viktig at origin-IP-adressen din ikke er synlig offentlig på internett. Gamle DNS-poster, e-postoverskrifter eller direkte tilgang via IP kan føre til at angripere omgår Cloudflare.
2. Bruk Security Level og Challenge-innstillinger
Security Level bestemmer om besøkende vil se en challenge basert på deres risikoscore. I normale perioder er “Medium” vanligvis tilstrekkelig for de fleste nettsteder. Under angrep eller mistenkelig trafikk kan “High” eller midlertidig “I’m Under Attack Mode” brukes. Under Attack Mode viser besøkende en kort kontrollside; dette kan imidlertid påvirke den normale brukeropplevelsen og bør ikke være aktivert kontinuerlig.
3. Begrens forespørselstettheten med Rate Limiting
Rate limiting brukes for å begrense antall forespørsel fra samme IP eller klient innen en viss tidsperiode. For eksempel kan du bruke challenge for brukere som sender mer enn 20 forespørsel til en innloggingsside i løpet av ett minutt, noe som reduserer risikoen for brute-force-angrep. På API-endepunkter bør man imidlertid være mer forsiktig; hvis du har mobilapper eller integrasjoner, kan det føre til feil blokkeringer å sette aggressive grenser uten å måle den faktiske bruken: API og integrasjonssikkerhet.
4. Begrens origin-serveren i henhold til Cloudflare
For avansert sikkerhet kan serverbrannmuren tillate HTTP/HTTPS-trafikk kun fra Cloudflare IP-områder. Dermed vil angriperen ikke kunne nå serveren direkte, selv om de kjenner origin-IP-adressen. Denne prosessen krever oppmerksomhet; Cloudflare IP-listen må holdes oppdatert, og administrasjonstilganger som SSH, kontrollpanel og backup-tjenester må vurderes separat.
Bot-beskyttelse og tiltak mot brute-force
Bot-trafikk er ikke alltid dårlig; søkemotorbots som Googlebot er nødvendige for indeksering av nettstedet ditt. Problemet oppstår fra spam-bots, scraping-verktøy, falske innloggingsforsøk og ressurskrevende automatiseringer. Cloudflare-botbeskyttelse hjelper med å skille denne trafikken ved hjelp av atferdsmessige signaler.
- Bot Fight Mode: Kan brukes for å redusere enkel bot-trafikk, men bør testes i noen integrasjoner.
- Turnstile: Gir mer brukervennlig validering i skjemaer som et alternativ til CAPTCHA.
- Beskyttelse av innloggingssider: wp-login.php, xmlrpc.php og admin-stier kan begrenses med spesielle regler.
- XML-RPC-kontroll: Hvis det ikke brukes i WordPress, kan blokkering redusere risikoen for brute-force.
- Reduksjon av skjema-spam: Turnstile og rate limiting kan brukes sammen i kontaktskjemaer.
Som et konkret eksempel, hvis en WordPress-side får tusenvis av POST-forespørsel per minutt via xmlrpc.php, kan CPU-bruken raskt øke. Å blokkere xmlrpc.php-forespørsel med en Cloudflare-tilpasset regel, eller å tillate forespørsel kun fra nødvendige tjenesteleverandører som Jetpack, kan betydelig redusere serverens belastning.
Cache og ytelsesinnstillinger: Øke hastigheten uten å kompromittere sikkerheten
Cloudflare er ikke bare sterk på sikkerhet, men også på ytelse. Det kan redusere lastetiden for sider ved å levere statiske filer fra den nærmeste edge-serveren til besøkeren. Men det er ikke alltid riktig å cache alt; sider for innloggede brukere, handlekurv, betaling, medlemskapspanel og tilpasset innhold bør holdes utenfor cache.
Anbefalte cache-innstillinger
- Cache-nivå: Standardbruk er egnet for de fleste nettsteder.
- Browser Cache TTL: For statiske filer kan 1 uke eller lengre være passende.
- Cache-regler: Områder som /wp-admin, /cart, /checkout, /my-account bør bypasses.
- Always Online: Gir begrenset nytte ved midlertidige avbrudd; forventningen må være riktig innstilt for dynamiske nettsteder.
- Purge Cache: I stedet for å rydde alt cache etter design- eller innholdsoppdateringer, er det mer kontrollert å rydde spesifikke URL-er.
Ytelsesoptimalisering på hosting-nivå er også viktig. LiteSpeed, NVMe-disker, oppdatert PHP-versjon og riktig cache-plugin gir bedre resultater sammen med Cloudflare: LiteSpeed hosting, nettside akselerering.
Anbefalt startprofil for Cloudflare-sikkerhetsinnstillinger
Tabellen nedenfor gir en sikker startprofil for de fleste små og mellomstore nettsteder. Siden trafikk, programvare og forretningsmodeller varierer, må innstillingene overvåkes basert på live-data.
| Innstilling | Anbefalt verdi | Hvorfor er det viktig? |
|---|---|---|
| SSL/TLS | Full (Strict) | Gir end-to-end verifisert HTTPS. |
| Always Use HTTPS | Aktivert | Omdirigerer HTTP-trafikk til en sikker forbindelse. |
| WAF Managed Rules | Aktivert | Filtrerer kjente webangrep automatisk. |
| Security Level | Medium | Gir balansert beskyttelse under daglig bruk. |
| Under Attack Mode | Bare under angrep | Gir ekstra verifisering under intense DDoS-perioder. |
| Prisbegrensning | Kontrollert for innlogging og API | Reduserer brute-force og misbruk. |
| Cache-regler | Bypass for dynamiske sider | Forhindrer feil på handlekurv, betaling og panel. |
| DNSSEC | Aktivert hvis mulig | Gir ekstra beskyttelse mot DNS-forfalskning. |
Vanlige Cloudflare-feil og løsninger
Uendelig omdirigeringssløyfe
Denne feilen oppstår vanligvis når Cloudflare SSL-modus er satt til Flexible, men origin-serveren har HTTPS-omdirigering. Løsningen er å installere et gyldig SSL på serveren og sette Cloudflare SSL-modus til Full eller helst Full (Strict).
Feil 521, 522 og 525
Feil 521 indikerer at serveren avviste tilkoblingen, 522 betyr tidsavbrudd, mens 525 viser SSL håndtrykkproblemer. Sjekk at brannmuren ikke blokkerer Cloudflare IP-er, at hosting-serveren fungerer, at SSL-sertifikatet er gyldig, og at DNS-postene peker til riktig IP.
Oppdateringer vises ikke i administrasjonspanelet
Dette skyldes vanligvis aggressive cache-regler. Hold administrasjon, handlekurv, betaling og brukerkonto-sider utenfor cache. Bruk av en cache-plugin med Cloudflare cache-rensing kan lette arbeidet.
E-postproblemer
Cloudflare-webproxyen transporterer ikke e-posttrafikk. MX-poster må være korrekte, og poster som peker til e-postserveren bør være DNS only. Hvis SPF, DKIM og DMARC TXT-poster mangler, kan du oppleve leveringsproblemer.
Trinn-for-trinn sjekkliste for sikker Cloudflare-installasjon
Følgende rekkefølge gir en sikker og praktisk veikart for nybegynnere:
- 1. Legg til domenet ditt i Cloudflare og sammenlign DNS-postene med eksisterende leverandør.
- 2. Aktiver proxyen for rot-domenet og www-posten for webtrafikk.
- 3. Vurder å bruke DNS only for mail, FTP og administrasjonstjenester.
- 4. Gjør navneserver-endringen fra domene-panelet.
- 5. Installer gyldig SSL på origin-serveren og velg Full (Strict) på Cloudflare.
- 6. Aktiver Always Use HTTPS og Automatic HTTPS Rewrites.
- 7. Åpne WAF Managed Rules; overvåk loggene og falske positiver i de første dagene.
- 8. Definer rate limiting eller managed challenge for innloggingssider.
- 9. Bypass dynamiske områder med Cache Rules.
- 10. Hev Security Level under angrep og aktiver Under Attack Mode midlertidig om nødvendig.
- 11. Planlegg å stramme serverbrannmuren i henhold til Cloudflare IP-er.
- 12. Sjekk ukentlig Security Events, Analytics og DNS-poster.
Denne sjekklisten reduserer feil, spesielt ved første installasjon. For nettsteder med høyere trafikk, som netthandel eller medlemskap, er det mer hensiktsmessig å gjøre endringer i lavtrafikktimer og overvåke konverteringsmetrikker.
Cloudflare Analytics og overvåking av sikkerhetshendelser
Etter at Cloudflare er installert, er arbeidet ikke over; den virkelige verdien kommer frem i overvåkings- og forbedringsprosessen. I delen Security Events kan du se hvilke regler som har blokkert hvor mange forespørsel, hvilke land eller IP-områder angrepene kom fra, og hvilke URL-er som ble målrettet. Disse dataene gir deg muligheten til å handle basert på bevis, ikke gjetning, når du skriver tilpassede regler.
For eksempel, hvis du ser at det har vært 18 000 mislykkede forespørsel til /wp-login.php i løpet av 24 timer, kan det være mer riktig å skrive rate limit og challenge spesifikt for dette endepunktet, i stedet for bare å heve det generelle sikkerhetsnivået. På samme måte, hvis API-endepunktet ditt har høy bruk, kan det være mer hensiktsmessig å målrette mot misbrukte metoder, land eller user-agent-kombinasjoner i stedet for å bruke strenge regler for hele nettstedet.
Er Cloudflare tilstrekkelig alene?
Cloudflare er et sterkt lag, men sikkerhet bør tenkes på som flerlagd. Hvis hosting-serveren din ikke er oppdatert, hvis programvaren din har sårbarheter, hvis admin-passordet ditt er svakt, eller hvis du ikke har en backup-politikk, vil ikke Cloudflare eliminere alle risikoer. En solid tilnærming bør inkludere sikker hosting, oppdatert PHP, regelmessige backups, SSL, sikkerhetsplugins, filrettigheter og tilgangskontroll sammen.
Å velge riktig hostingpakke for nettstedet ditt på Hostragons-infrastrukturen kan hjelpe deg med å bygge en mer stabil sikkerhets- og ytelsesarkitektur sammen med Cloudflare. Etter hvert som trafikken vokser, kan overgangen fra delt hosting til VPS eller skyserver vurderes med hensyn til ressursbegrensninger og angrepstoleranse: VPS-server, bedriftsløsninger for hosting.
Konklusjon: Balansert tilnærming for sikre Cloudflare-innstillinger
Riktige Cloudflare-innstillinger består av feilfri overføring av DNS-poster, Full (Strict) SSL, WAF-regler, kontrollert botbeskyttelse, rate limiting, riktige cache-unntak og spesifikke DDoS-moduser under angrep. For best resultat bør du se innstillingene som en sikkerhetsprosess som regelmessig forbedres basert på trafikdata, ikke bare som en engangsprosess.
Kort oppsummert: La webtrafikken gå via proxy, beskytt origin-serveren, bruk SSL i strengt modus, og juster WAF- og rate limit-regler etter din faktiske bruk. Hvis du ønsker å bygge et sikkert fundament på domenenavn, hosting eller SSL, kan du se nærmere på Hostragons-løsningene og planlegge infrastrukturen som passer til nettstedets behov: Hostragons hostingpakker.
Ofte stilte spørsmål
Hvilken er den sikreste SSL-modusen for Cloudflare-innstillinger?
Generelt er den sikreste SSL-modusen Full (Strict). I denne modusen brukes HTTPS mellom besøkeren og Cloudflare, samt mellom Cloudflare og origin-serveren, og origin-sertifikatet verifiseres. For dette må det finnes et gyldig SSL-sertifikat på serveren.
Fungerer Cloudflare DDoS-beskyttelse på gratisplanen?
Cloudflare tilbyr grunnleggende DDoS-beskyttelse selv på gratisplanen. Imidlertid gir betalte planer mer omfattende alternativer for avansert WAF, mer detaljert rate limiting, botadministrasjon og bedriftsnivåkontroller. Selv en riktig konfigurert gratisplan kan gi betydelig beskyttelse for små og mellomstore nettsteder.
Bør Under Attack Mode være aktivert kontinuerlig?
Nei. Under Attack Mode bør brukes midlertidig under angrep. Hvis det forblir aktivert kontinuerlig, kan ekte besøkende se ekstra kontrollskjermer, noe som kan påvirke brukeropplevelsen negativt. I normale perioder gir WAF, rate limiting og passende Security Level en mer balansert løsning.
Er hosting nødvendig når man bruker Cloudflare?
Ja. Cloudflare gir et sikkerhets- og ytelseslag foran nettstedet ditt; nettstedets filer, database og applikasjon må fortsatt være vert på en hosting-tjeneste eller server. Derfor er pålitelig hosting-infrastruktur en grunnleggende nødvendighet når du bruker Cloudflare.
Kan Cloudflare cache-innstillinger forårsake problemer for netthandelsnettsteder?
Ja, hvis de er feil konfigurert. Dynamiske sider som handlekurv, betaling, brukerkonto og administrasjonspanel bør holdes utenfor cache. Når statiske filer caches, kan personlige innhold unntas, slik at Cloudflare kan brukes trygt på netthandelsnettsteder.
