Configurações do Cloudflare são o conjunto de ajustes de DNS, SSL/TLS, WAF, regras de segurança, filtragem de bots e cache que tornam um site mais rápido, mais seguro e mais resistente a ataques DDoS. Para uma configuração básica realmente segura, você deve adicionar seu domínio ao Cloudflare, migrar corretamente os registros DNS, escolher o modo SSL Full (Strict) sempre que possível, ativar as regras gerenciadas do WAF, aplicar challenge ou rate limit a solicitações suspeitas e usar proteções como “Under Attack Mode” de forma controlada durante incidentes.
O Cloudflare funciona como uma camada de CDN e segurança posicionada entre o seu site e os visitantes. Quando alguém acessa sua página, a solicitação chega primeiro à rede do Cloudflare; ali, tráfego malicioso pode ser filtrado, arquivos estáticos podem ser entregues a partir do cache e somente as requisições legítimas seguem para o servidor de origem. Essa arquitetura traz ganhos importantes para WordPress, WooCommerce, sites institucionais, painéis SaaS e portais de conteúdo com alto volume de tráfego. Por outro lado, configurações incorretas do Cloudflare podem causar erros de SSL, loop infinito de redirecionamento, bloqueio de acesso ao painel administrativo, páginas que não atualizam por causa do cache e até brechas de segurança.
Neste guia, vamos mostrar como configurar o Cloudflare do zero, quais opções são críticas para segurança de sites, como usar a proteção contra DDoS no cenário certo e como otimizar performance sem comprometer a proteção. Se você quer construir uma base rápida, segura e compatível para o seu projeto, é essencial começar bem em domínio, hospedagem e SSL: Domain kaydı, Web hosting paketleri, SSL sertifikası.
O que é Cloudflare e para que serve na segurança de sites?
Cloudflare é uma plataforma em nuvem de segurança e desempenho que oferece gerenciamento de DNS, CDN, proteção contra DDoS, firewall de aplicações web, mitigação de bots, gestão de SSL/TLS e análise de tráfego. No modelo tradicional, o visitante se conecta diretamente ao servidor de hospedagem. Com Cloudflare, o visitante primeiro se conecta aos servidores de borda da rede Cloudflare. Assim, tráfego mal-intencionado pode ser bloqueado antes de chegar ao servidor de origem.
Imagine, por exemplo, um pequeno site WordPress que recebe cerca de 2.000 visitas por dia e 20 a 30 requisições por minuto. Em um ataque HTTP flood simples, esse número pode saltar para 20.000 requisições por minuto. O servidor pode parar de responder por limite de CPU, RAM ou conexões simultâneas. O Cloudflare ajuda a separar esse tráfego usando reputação de IP, análise comportamental, rate limiting, challenges e assinaturas de DDoS, facilitando o acesso dos visitantes reais.
O Cloudflare, sozinho, não é uma solução mágica que “resolve tudo”. Ele é mais eficiente quando combinado com uma boa infraestrutura de hospedagem, software atualizado, senhas fortes, backups, SSL e configuração correta do servidor. Se você usa WordPress, atualizações de tema e plugins, segurança do painel administrativo e uma política de senhas robusta continuam sendo indispensáveis: WordPress hosting, WordPress güvenliği.
Checklist antes de configurar o Cloudflare
Antes de migrar para o Cloudflare, vale fazer algumas verificações básicas para reduzir o risco de erros de acesso, e-mail e SSL depois da mudança. Em sites que já recebem tráfego real, alterações de DNS devem ser planejadas com cuidado.
- Liste os registros DNS atuais: anote A, AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC e todos os subdomínios.
- Confirme o IP da hospedagem: um registro A errado pode apontar o site para outro servidor.
- Verifique o estado do SSL: se o servidor de origem já tem SSL válido, você pode usar Full (Strict) no Cloudflare.
- Tenha atenção com e-mail: registros MX e registros A/CNAME relacionados a mail normalmente devem ficar sem proxy, ou seja, em DNS only.
- Faça backup: cópias dos DNS e do site permitem voltar atrás rapidamente em caso de erro.
- Escolha um horário de baixa demanda: mudanças de nameserver costumam aparecer em poucos minutos, mas a propagação global pode levar até 24 horas.
Em sites corporativos, a abordagem mais segura é simples: primeiro, copie os registros DNS exatamente como estão; depois, ative o proxy apenas para o tráfego web no domínio raiz e no www. Serviços como mail, FTP, cPanel e webmail devem ser avaliados caso a caso. Por exemplo, se você usa um subdomínio separado para acessar o cPanel, deixá-lo em DNS only tende a evitar problemas de conexão: cPanel hosting yönetimi.
Como configurar DNS no Cloudflare?
A configuração do Cloudflare começa adicionando seu domínio ao painel. O Cloudflare faz uma varredura dos registros DNS existentes e apresenta uma lista para revisão. Essa detecção automática é útil, mas nem sempre encontra tudo; por isso, a conferência manual é obrigatória.
1. Adicione o domínio ao Cloudflare
Depois de entrar na sua conta Cloudflare, clique em “Add a site” e informe o domínio. Após escolher o plano, revise os registros DNS. Normalmente, o domínio raiz usa um registro A, enquanto o www usa um CNAME. Uma estrutura comum seria:
- Registro A: example.com → 192.0.2.10
- Registro CNAME: www → example.com
- Registro MX: example.com → seu provedor de e-mail
- Registros TXT: SPF, DKIM e DMARC para autenticação de e-mail
O ponto principal é decidir quais registros devem passar pelo proxy do Cloudflare. Para registros A e CNAME usados pelo tráfego do site, a nuvem laranja pode ficar ativa. Para tráfego de e-mail, FTP e serviços que exigem acesso direto ao servidor, a nuvem cinza, ou DNS only, costuma ser a escolha correta.
2. Altere os nameservers
O Cloudflare fornecerá dois nameservers. No painel da empresa onde você registrou o domínio, substitua os nameservers atuais pelos valores indicados. Em domínios registrados na Hostragons, você pode gerenciar nameservers pelo painel de domínio: Domain yönetimi. Após a alteração, o status esperado no Cloudflare é “Active”.
3. Escolha corretamente o status do proxy
Quando a nuvem laranja está ativa, o tráfego HTTP/HTTPS passa pelo Cloudflare e as camadas de segurança são aplicadas. Quando a nuvem está cinza, o Cloudflare atua apenas como DNS. Para o site, o proxy deve estar ativo; para mail.example.com, ftp.example.com ou subdomínios de administração do servidor, geralmente é melhor manter o proxy desativado.
Configurações de SSL/TLS: a opção mais segura
A configuração SSL/TLS do Cloudflare define como a conexão será criptografada entre navegador e Cloudflare e entre Cloudflare e servidor de origem. A escolha incorreta do modo SSL é uma das causas mais comuns de problemas em sites que usam Cloudflare.
Diferença entre Flexible, Full e Full (Strict)
| Modo SSL | Cloudflare - Visitante | Cloudflare - Servidor | Recomendação |
|---|---|---|---|
| Flexible | HTTPS | HTTP | Não é recomendado, exceto em uso temporário; pode causar loop de redirecionamento e risco de segurança. |
| Full | HTTPS | HTTPS | Há SSL no servidor, mas a validação do certificado não é rigorosa. |
| Full (Strict) | HTTPS | HTTPS, certificado válido | É o padrão mais seguro; deve ser usado sempre que possível. |
Em ambientes profissionais, o objetivo deve ser usar Full (Strict). Para isso, o servidor de origem precisa ter um certificado SSL válido. Você pode usar Let’s Encrypt, um SSL comercial ou um Cloudflare Origin Certificate. Nos planos de hospedagem da Hostragons, ao configurar corretamente a instalação e a renovação do SSL, é possível usar esse modo com segurança: SSL sertifikası kurulumu.
Always Use HTTPS e Automatic HTTPS Rewrites
A opção “Always Use HTTPS” redireciona solicitações HTTP para HTTPS. Já “Automatic HTTPS Rewrites” ajuda a converter alguns recursos internos de HTTP para HTTPS dentro das páginas. Porém, se o site sofre com conteúdo misto, a solução definitiva é corrigir os links HTTP no banco de dados, no tema e nos arquivos do site, migrando tudo de forma permanente para HTTPS.
Cuidado ao ativar HSTS
HSTS informa aos navegadores que eles devem acessar o site apenas via HTTPS. É uma medida de segurança forte, mas, se o SSL estiver mal configurado, os visitantes podem ficar sem acesso ao site. Por isso, antes de ativar HSTS, confirme que Full (Strict), certificado válido, subdomínios e redirecionamentos funcionam sem falhas. No início, é mais seguro testar com um valor de max-age curto.
Segurança de aplicações com o WAF do Cloudflare
WAF, ou Web Application Firewall, filtra solicitações associadas a SQL injection, XSS, inclusão de arquivos, comportamento de bots maliciosos e vulnerabilidades conhecidas em aplicações. As configurações de WAF do Cloudflare são especialmente importantes para WordPress, Joomla, Laravel, painéis sob medida e lojas virtuais.
Ative as Managed Rules
Managed Rules são conjuntos de regras de segurança mantidos e atualizados pelo próprio Cloudflare. Se você usa WordPress, regras específicas para WordPress, regras OWASP gerais e assinaturas de CVEs conhecidas reduzem a superfície de ataque. Uma boa prática na primeira configuração é acompanhar as regras em modo “Log” ou em um modo de baixo impacto para identificar falsos positivos; depois, aplique “Block” ou “Managed Challenge” quando estiver confiante.
Proteja áreas críticas com Custom Rules
Regras personalizadas permitem criar uma proteção mais precisa de acordo com a estrutura do seu site. Por exemplo, você pode permitir acesso a wp-login.php ou /admin apenas a partir de determinados países, ou enviar user-agents suspeitos para challenge em URLs específicas. Mas é importante não bloquear usuários reais. Em um e-commerce, colocar challenge por engano na página de pagamento pode reduzir conversões e prejudicar vendas.
Um exemplo prático: em um site institucional voltado ao público brasileiro, é possível aplicar Managed Challenge a acessos de fora do país no caminho /wp-admin. Porém, se a equipe trabalha remotamente ou existem escritórios em outros países, será necessário configurar uma allowlist de IPs. Essa estratégia reduz bastante ataques de força bruta sem impedir o acesso dos usuários autorizados.
Como configurar proteção contra DDoS?
Um ataque DDoS tenta deixar seu site ou servidor indisponível por meio de um volume excessivo de tráfego. A grande vantagem do Cloudflare é absorver esse tráfego em sua rede global e repassar ao servidor de origem apenas as solicitações filtradas. Mesmo assim, para obter bons resultados, a proteção contra DDoS não deve ser vista como um recurso passivo: ela precisa fazer parte de um plano de defesa ajustado ao cenário.
1. Mantenha o proxy ativo no tráfego web
A proteção DDoS do Cloudflare funciona para registros com proxy ativo. Se o domínio raiz e o registro www não estiverem na nuvem laranja, o tráfego web vai direto para o servidor e o Cloudflare não consegue filtrá-lo. Também é importante evitar que o IP de origem fique exposto na internet. Registros DNS antigos, cabeçalhos de e-mail ou acesso direto por IP podem permitir que atacantes contornem o Cloudflare.
2. Use Security Level e configurações de Challenge
Security Level define se visitantes verão ou não um challenge de acordo com a pontuação de risco. Em períodos normais, “Medium” costuma ser suficiente para a maioria dos sites. Durante ataques ou picos de tráfego suspeito, você pode usar “High” ou, temporariamente, “I’m Under Attack Mode”. O Under Attack Mode exibe uma página rápida de verificação ao visitante; por isso, pode impactar a experiência do usuário e não deve ficar ativo o tempo todo.
3. Limite excesso de requisições com Rate Limiting
Rate limiting serve para limitar o número de requisições vindas do mesmo IP ou cliente dentro de um intervalo. Por exemplo, aplicar challenge a quem fizer mais de 20 tentativas em uma página de login em 1 minuto ajuda a reduzir ataques de força bruta. Em endpoints de API, o cuidado deve ser maior: se você tem aplicativo mobile ou integrações, limites agressivos definidos sem medir o uso real podem bloquear tráfego legítimo: API ve entegrasyon güvenliği.
4. Restrinja o servidor de origem ao Cloudflare
Para um nível avançado de segurança, o firewall do servidor pode permitir tráfego HTTP/HTTPS apenas a partir dos intervalos de IP do Cloudflare. Assim, mesmo que um atacante descubra o IP de origem, não conseguirá acessar diretamente o servidor. Essa configuração exige atenção: a lista de IPs do Cloudflare deve ser mantida atualizada, e acessos administrativos como SSH, painel de controle e serviços de backup precisam ser tratados separadamente.
Proteção contra bots e força bruta
Nem todo tráfego de bots é ruim; bots como o Googlebot são necessários para indexar o site nos buscadores. O problema está em bots de spam, ferramentas de scraping, tentativas falsas de login e automações que consomem recursos. A proteção contra bots do Cloudflare ajuda a diferenciar esse tráfego com base em sinais comportamentais.
- Bot Fight Mode: pode reduzir tráfego de bots simples, mas deve ser testado em sites com integrações.
- Turnstile: oferece validação mais amigável em formulários como alternativa ao CAPTCHA tradicional.
- Proteção da página de login: wp-login.php, xmlrpc.php e rotas administrativas podem ser limitadas com regras específicas.
- Controle de XML-RPC: no WordPress, bloquear esse recurso quando não é usado reduz risco de força bruta.
- Redução de spam em formulários: Turnstile e rate limit podem ser usados juntos em formulários de contato.
Como exemplo concreto, se um site WordPress recebe milhares de requisições POST por minuto em xmlrpc.php, o uso de CPU pode subir rapidamente. Uma Custom Rule no Cloudflare para bloquear solicitações a xmlrpc.php, ou permitir apenas IPs de serviços necessários como Jetpack, pode reduzir significativamente a carga no servidor.
Cache e performance: mais velocidade sem comprometer a segurança
O Cloudflare não é apenas uma ferramenta de segurança; ele também é forte em performance. Ao entregar arquivos estáticos a partir do ponto de presença mais próximo do visitante, pode reduzir o tempo de carregamento das páginas. Porém, nem tudo deve ir para cache. Páginas de usuários logados, carrinho, checkout, área de membros e conteúdos personalizados devem ficar fora do cache.
Configurações de cache recomendadas
- Caching Level: o uso padrão atende bem à maioria dos sites.
- Browser Cache TTL: para arquivos estáticos, 1 semana ou mais pode ser uma boa escolha.
- Cache Rules: áreas como /wp-admin, /cart, /checkout e /my-account devem ser ignoradas pelo cache.
- Always Online: ajuda de forma limitada em interrupções temporárias; em sites dinâmicos, alinhe as expectativas.
- Purge Cache: após mudanças de design ou conteúdo, limpar URLs específicas é mais controlado do que limpar todo o cache.
A camada de hospedagem também pesa muito na performance. LiteSpeed, discos NVMe, versão atual do PHP e um plugin de cache bem configurado funcionam ainda melhor em conjunto com o Cloudflare: LiteSpeed hosting, web sitesi hızlandırma.
Perfil inicial recomendado para configurações de segurança do Cloudflare
A tabela abaixo apresenta um perfil inicial seguro para a maioria dos sites pequenos e médios. Como cada site tem tráfego, tecnologia e modelo de negócio diferentes, é importante acompanhar dados reais e ajustar as configurações com o tempo.
| Configuração | Valor recomendado | Por que é importante? |
|---|---|---|
| SSL/TLS | Full (Strict) | Garante HTTPS validado de ponta a ponta. |
| Always Use HTTPS | Ativo | Redireciona tráfego HTTP para conexão segura. |
| WAF Managed Rules | Ativo | Filtra automaticamente ataques web conhecidos. |
| Security Level | Medium | Oferece proteção equilibrada no uso diário. |
| Under Attack Mode | Apenas durante ataques | Aplica verificação extra em períodos de DDoS intenso. |
| Limitação de taxa | Controlado para login e API | Reduz força bruta e abuso de recursos. |
| Cache Rules | Bypass em páginas dinâmicas | Evita erros em carrinho, checkout e painéis. |
| DNSSEC | Ativo, se compatível | Adiciona proteção contra falsificação de DNS. |
Erros comuns no Cloudflare e como resolver
Loop infinito de redirecionamento
Esse problema geralmente ocorre quando o modo SSL do Cloudflare está em Flexible e o servidor de origem também força redirecionamento para HTTPS. A solução é instalar um SSL válido no servidor e alterar o modo SSL do Cloudflare para Full ou, preferencialmente, Full (Strict).
Erros 521, 522 e 525
O erro 521 indica que o servidor recusou a conexão; o 522 indica tempo esgotado; e o 525 aponta falha no handshake SSL. Verifique se o firewall não está bloqueando IPs do Cloudflare, se o servidor de hospedagem está online, se o certificado SSL é válido e se os registros DNS apontam para o IP correto.
Atualizações não aparecem no painel administrativo
Normalmente, isso é causado por uma regra de cache agressiva. Deixe fora do cache páginas de administração, carrinho, pagamento e conta do usuário. No WordPress, integrar o plugin de cache à limpeza de cache do Cloudflare facilita bastante a rotina.
Problemas de e-mail
O proxy web do Cloudflare não transporta tráfego de e-mail. Os registros MX devem estar corretos e os registros que apontam para o servidor de e-mail precisam ficar em DNS only. Se SPF, DKIM e DMARC estiverem ausentes ou incorretos, você pode enfrentar falhas de entrega e mensagens indo para spam.
Checklist passo a passo para uma configuração segura do Cloudflare
A sequência abaixo é um roteiro prático e seguro para quem está começando:
- 1. Adicione seu domínio ao Cloudflare e compare os registros DNS com os do provedor atual.
- 2. Ative o proxy no domínio raiz e no registro www para tráfego web.
- 3. Avalie o uso de DNS only para mail, FTP e serviços administrativos.
- 4. Altere os nameservers no painel do domínio.
- 5. Instale SSL válido no servidor de origem e selecione Full (Strict) no Cloudflare.
- 6. Ative Always Use HTTPS e Automatic HTTPS Rewrites.
- 7. Ligue WAF Managed Rules e, nos primeiros dias, acompanhe logs e falsos positivos.
- 8. Configure rate limiting ou managed challenge para páginas de login.
- 9. Use Cache Rules para fazer bypass em áreas dinâmicas.
- 10. Durante ataques, aumente o Security Level e, se necessário, ative temporariamente o Under Attack Mode.
- 11. Planeje restringir o firewall do servidor aos IPs do Cloudflare.
- 12. Revise semanalmente Security Events, Analytics e registros DNS.
Esse checklist reduz erros especialmente na primeira configuração. Em e-commerces e sites de membros com tráfego maior, é mais prudente aplicar mudanças em horários de menor movimento e acompanhar métricas de conversão depois de cada ajuste.
Monitoramento com Cloudflare Analytics e eventos de segurança
Depois de configurar o Cloudflare, o trabalho não termina; o maior valor aparece no processo contínuo de monitoramento e melhoria. Na seção Security Events, você pode ver quais regras bloquearam requisições, de quais países ou faixas de IP vieram os ataques e quais URLs foram mais visadas. Esses dados permitem criar regras personalizadas com base em evidências, e não em suposições.
Por exemplo, se os logs mostram 18.000 tentativas malsucedidas em /wp-login.php em 24 horas, faz mais sentido criar rate limit e challenge específicos para esse endpoint do que simplesmente aumentar o nível de segurança do site inteiro. Da mesma forma, se um endpoint de API recebe tráfego intenso legítimo, é melhor mirar apenas combinações abusivas de método, país ou user-agent em vez de aplicar uma regra rígida para todos os visitantes.
Cloudflare sozinho é suficiente?
Cloudflare é uma camada poderosa, mas segurança deve ser pensada em múltiplas camadas. Se o servidor de hospedagem está desatualizado, se a aplicação tem vulnerabilidades, se a senha do administrador é fraca ou se não existe política de backup, o Cloudflare não elimina todos os riscos. Uma estratégia sólida deve combinar hospedagem segura, PHP atualizado, backups regulares, SSL, plugins de segurança, permissões de arquivo corretas e controle de acesso.
Na infraestrutura da Hostragons, escolher o plano de hospedagem adequado para o seu site ajuda a construir uma arquitetura mais estável de segurança e performance junto com o Cloudflare. Conforme o tráfego cresce, a migração de hospedagem compartilhada para VPS ou servidor em nuvem pode ser avaliada em termos de limites de recursos e resistência a ataques: VPS sunucu, kurumsal hosting çözümleri.
Conclusão: uma abordagem equilibrada para configurar o Cloudflare com segurança
Boas configurações do Cloudflare dependem de DNS migrado sem erros, SSL em Full (Strict), regras de WAF, proteção contra bots bem calibrada, rate limiting, exceções corretas de cache e modos de DDoS usados apenas quando o cenário exige. Para obter o melhor resultado, trate essas configurações não como uma tarefa única, mas como um processo de segurança ajustado periodicamente com base nos dados de tráfego.
Em resumo: faça o tráfego web passar pelo proxy, proteja o servidor de origem, use SSL no modo rigoroso e ajuste WAF e rate limits de acordo com o comportamento real dos usuários. Se você quer criar uma base segura em domínio, hospedagem ou SSL, pode conhecer as soluções da Hostragons e planejar a infraestrutura ideal para o seu site: Hostragons hosting paketleri.
Perguntas frequentes
Qual é o modo SSL mais seguro nas configurações do Cloudflare?
Em geral, o modo SSL mais seguro é Full (Strict). Nesse modo, tanto a conexão entre visitante e Cloudflare quanto a conexão entre Cloudflare e servidor de origem usam HTTPS, e o certificado do servidor de origem é validado. Para isso, o servidor precisa ter um certificado SSL válido.
A proteção DDoS do Cloudflare funciona no plano gratuito?
Sim. O Cloudflare oferece proteção DDoS básica também no plano gratuito. Porém, planos pagos incluem opções mais avançadas de WAF, rate limiting detalhado, gerenciamento de bots e controles corporativos. Para sites pequenos e médios, mesmo o plano gratuito bem configurado já pode oferecer uma proteção relevante.
O Under Attack Mode deve ficar sempre ativado?
Não. O Under Attack Mode deve ser usado temporariamente durante ataques. Se ficar ativo o tempo todo, visitantes reais podem ver uma tela extra de verificação, o que prejudica a experiência do usuário. Em períodos normais, WAF, rate limiting e um Security Level adequado costumam ser uma solução mais equilibrada.
Ainda preciso de hospedagem ao usar Cloudflare?
Sim. O Cloudflare fornece uma camada de segurança e performance à frente do site; os arquivos, banco de dados e aplicação continuam hospedados em um servidor ou plano de hospedagem. Por isso, uma infraestrutura de hospedagem confiável continua sendo requisito essencial mesmo com Cloudflare.
Configurações de cache do Cloudflare podem causar problemas em e-commerce?
Podem, se forem configuradas de forma incorreta. Páginas dinâmicas como carrinho, checkout, conta do usuário e painel administrativo devem ficar fora do cache. Quando arquivos estáticos são armazenados em cache e conteúdos personalizados são ignorados corretamente, o Cloudflare pode ser usado com segurança em lojas virtuais.
