Настройки Cloudflare — это правильная конфигурация DNS, SSL/TLS, WAF, правил безопасности, фильтрации ботов и кэширования, которая делает сайт быстрее, надёжнее и устойчивым к DDoS-атакам. Для максимально защищённой базовой схемы нужно добавить домен в Cloudflare, корректно перенести DNS-записи, выбрать режим SSL Full (Strict), включить управляемые правила WAF, настроить challenge или rate limiting для подозрительных запросов и при атаке аккуратно использовать режим «Under Attack Mode».
Cloudflare работает как CDN и защитный слой между вашим сайтом и посетителями. Когда пользователь заходит на сайт, запрос сначала попадает в сеть Cloudflare: здесь отсеивается вредный трафик, статические файлы отдаются из кэша, а чистые запросы передаются на origin-сервер. Такая схема особенно полезна для WordPress, WooCommerce, корпоративных порталов, SaaS-панелей и контентных проектов с высокой посещаемостью. При этом неправильно настроенный Cloudflare может вызвать ошибки SSL, циклы редиректов, проблемы с доступом в админку и устаревший кэш.
В этом руководстве мы разберём, как с нуля подключить Cloudflare, включить ключевые опции безопасности, правильно использовать защиту от DDoS и оптимизировать производительность без ущерба для защиты. Если вы хотите создать быстрый и безопасный фундамент, начните с надёжного домена, хостинга и SSL: Domain kaydı, Web hosting paketleri, SSL sertifikası.
Что такое Cloudflare и как он помогает защитить сайт?
Cloudflare — облачная платформа, которая объединяет управление DNS, CDN, защиту от DDoS, веб-фаервол (WAF), фильтрацию ботов, управление SSL/TLS и аналитику трафика. В обычной схеме посетитель напрямую подключается к вашему хостингу, а при использовании Cloudflare запрос сначала обрабатывается на ближайшем сервере Cloudflare. Это позволяет отфильтровать большую часть вредного трафика ещё до того, как он дойдёт до origin-сервера.
Например, на небольшом WordPress-сайте может быть 2000 посетителей в день и 20–30 запросов в минуту. При простой HTTP-фlood атаке количество запросов легко вырастет до 20 000 в минуту — сервер перестанет отвечать из-за исчерпания CPU, RAM или лимита соединений. Cloudflare разделяет трафик по репутации IP, поведенческим признакам, rate limiting, challenge-страницам и DDoS-сигнатурам, пропуская только реальных пользователей.
Cloudflare не заменяет комплексную безопасность. Он эффективен только вместе с актуальным ПО, надёжными паролями, резервными копиями и правильной настройкой сервера. Если вы используете WordPress, не забывайте про обновления тем и плагинов, защиту админ-панели и надёжные пароли: WordPress hosting, WordPress güvenliği.
Подготовка перед подключением Cloudflare
Перед переносом сайта на Cloudflare выполните несколько проверок — это снизит риск проблем с доступом и SSL после миграции. Особенно важно планировать изменения DNS на сайтах с живым трафиком.
- Выгрузите текущие DNS-записи: A, AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC и все поддомены.
- Проверьте IP-адрес хостинга: Ошибка в A-записи приведёт к тому, что сайт откроется на другом сервере.
- Проверьте наличие SSL на origin-сервере: Если сертификат уже установлен, можно сразу выбрать режим Full (Strict).
- Обратите внимание на почтовые записи: MX и связанные CNAME/A-записи обычно должны оставаться в режиме DNS only (серый облачок).
- Сделайте резервную копию: Сохраните DNS-зоны и файлы сайта — это позволит быстро откатить изменения.
- Выберите удобное время для работ: Смена nameserver’ов обычно занимает несколько минут, но полное распространение может длиться до 24 часов.
На корпоративных проектах удобно сначала перенести все DNS-записи, а затем включить прокси только для www и корневого домена. Почту, FTP, cPanel и веб-почту лучше оставить в режиме DNS only. Если у вас отдельный поддомен для доступа к панели управления, его тоже рекомендуется оставить без прокси: cPanel hosting yönetimi.
Как настроить DNS в Cloudflare
Подключение начинается с добавления домена в панель Cloudflare. Сервис сканирует существующие записи и предлагает список. Автоматическое сканирование не всегда находит все записи, поэтому обязательно проверьте их вручную.
1. Добавьте домен в Cloudflare
После входа в аккаунт нажмите «Add a site» и введите домен. Выберите тариф и изучите предложенные DNS-записи. Обычно для корневого домена создаётся A-запись, для www — CNAME. Пример структуры:
- A-запись: example.com → 192.0.2.10
- CNAME-запись: www → example.com
- MX-запись: example.com → ваш почтовый сервер
- TXT-записи: SPF, DKIM, DMARC для подтверждения домена
Важно понимать, какие записи будут проходить через Cloudflare. Для веб-трафика (A и CNAME) можно включить оранжевое облачко. Для почты, FTP и прямого доступа к серверу лучше оставить серый режим (DNS only).
2. Измените nameserver’ы
Cloudflare выдаст два nameserver’а. Замените ими текущие на стороне регистратора домена. В панели Hostragons это можно сделать в разделе управления доменом: Domain yönetimi. После изменения дождитесь статуса «Active» в Cloudflare.
3. Правильно настройте прокси
При активном оранжевом облачке HTTP/HTTPS-трафик идёт через Cloudflare и применяются все защитные функции. Серый режим означает, что Cloudflare только разрешает DNS. Для основного сайта прокси должен быть включён, а для mail.example.com, ftp.example.com и поддоменов управления — обычно выключен.
Настройка SSL/TLS: самый безопасный вариант
Режим SSL/TLS определяет, как шифруется трафик между браузером и Cloudflare, а также между Cloudflare и origin-сервером. Неправильный режим — одна из самых частых причин ошибок.
Разница между Flexible, Full и Full (Strict)
| Режим SSL | Cloudflare — посетитель | Cloudflare — сервер | Рекомендация |
|---|---|---|---|
| Flexible | HTTPS | HTTP | Не рекомендуется, кроме временных ситуаций: возможны циклы редиректов и риски безопасности. |
| Full | HTTPS | HTTPS | SSL на сервере есть, но строгая проверка сертификата не выполняется. |
| Full (Strict) | HTTPS | HTTPS + действительный сертификат | Самый безопасный и рекомендуемый вариант. |
В профессиональных проектах лучше сразу выбирать Full (Strict). Для этого на origin-сервере должен быть установлен действующий сертификат (Let’s Encrypt, коммерческий SSL или Origin Certificate от Cloudflare). На хостинге Hostragons установка и продление SSL настроены так, чтобы этот режим работал без проблем: SSL sertifikası kurulumu.
Always Use HTTPS и Automatic HTTPS Rewrites
«Always Use HTTPS» автоматически перенаправляет HTTP-запросы на HTTPS. «Automatic HTTPS Rewrites» помогает исправить HTTP-ссылки внутри страниц. Однако для полного устранения mixed content лучше вручную заменить все HTTP-ссылки в базе данных и шаблонах на HTTPS.
Осторожно с HSTS
HSTS заставляет браузер всегда использовать HTTPS. Это мощная мера защиты, но при ошибках в SSL-настройке пользователи могут потерять доступ к сайту. Включайте HSTS только после того, как убедитесь, что Full (Strict) работает корректно на всех поддоменах. Сначала протестируйте с небольшим значением max-age.
Защита веб-приложений через WAF
WAF (Web Application Firewall) блокирует SQL-инъекции, XSS, попытки включения файлов и другие известные атаки. Особенно важно настроить WAF для WordPress, Joomla, Laravel, панелей управления и интернет-магазинов.
Включите Managed Rules
Managed Rules — это готовые наборы правил, которые Cloudflare регулярно обновляет. Для WordPress доступны специальные правила, общие правила OWASP и сигнатуры известных уязвимостей. На старте лучше ставить режим «Log» или мягкий режим, чтобы проверить ложные срабатывания, а потом переключить на «Block» или «Managed Challenge».
Создавайте собственные правила
Custom Rules позволяют точечно защитить важные разделы. Например, можно разрешить доступ к wp-login.php или /admin только из определённых стран или отправлять подозрительные User-Agent на проверку. Главное — не заблокировать реальных пользователей. На интернет-магазине неправильное правило на странице оплаты может привести к потере заказов.
Пример: для корпоративного сайта, ориентированного на Россию, можно применить Managed Challenge к /wp-admin для всех запросов из-за рубежа. Если у команды есть сотрудники из других стран, добавьте их IP в whitelist. Такой подход сильно снижает количество brute-force атак и сохраняет удобство для сотрудников.
Как настроить защиту от DDoS
DDoS-атака направлена на то, чтобы сделать сайт недоступным за счёт огромного количества запросов. Преимущество Cloudflare в том, что он принимает этот трафик на своей глобальной сети и передаёт на сервер только очищенные запросы. Чтобы защита работала эффективно, её нужно правильно настроить.
1. Включите прокси для веб-трафика
DDoS-защита работает только на записях с активным прокси. Если корневой домен и www остаются в режиме DNS only, трафик идёт напрямую на сервер и Cloudflare не может его фильтровать. Также важно, чтобы реальный IP origin-сервера не светился публично — старые DNS-записи, заголовки писем или прямой доступ по IP позволяют злоумышленникам обходить Cloudflare.
2. Используйте Security Level и Challenge
Security Level определяет, когда посетителям показывается проверка. В обычное время достаточно уровня «Medium». Во время атаки можно временно поднять до «High» или включить «I’m Under Attack Mode». Последний режим показывает дополнительную страницу проверки и влияет на пользовательский опыт, поэтому его не стоит оставлять постоянно включённым.
3. Настройте Rate Limiting
Rate limiting ограничивает количество запросов с одного IP за определённый период. Например, можно настроить проверку для страницы входа, если с одного IP приходит больше 20 запросов в минуту. Для API-эндпоинтов лимиты нужно подбирать аккуратно, чтобы не мешать нормальной работе мобильных приложений и интеграций: API ve entegrasyon güvenliği.
4. Ограничьте доступ к origin-серверу
Для продвинутой защиты можно настроить firewall сервера так, чтобы он принимал HTTP/HTTPS-трафик только с IP-адресов Cloudflare. Тогда даже если злоумышленник узнает реальный IP, он не сможет напрямую подключиться к серверу. При этом не забудьте отдельно открыть доступ для SSH, панели управления и резервного копирования.
Защита от ботов и brute-force
Не весь бот-трафик вредный — Googlebot и другие поисковые роботы необходимы для индексации. Проблему создают спам-боты, парсеры, автоматические попытки входа и ресурсоёмкие скрипты. Cloudflare помогает отличать их по поведенческим сигналам.
- Bot Fight Mode: Помогает отсеивать простых ботов, но требует тестирования на проектах с интеграциями.
- Turnstile: Современная альтернатива CAPTCHA, более удобная для пользователей.
- Защита страниц входа: wp-login.php, xmlrpc.php и пути админки можно ограничить отдельными правилами.
- Отключение XML-RPC: Если не используете — заблокируйте, чтобы снизить риск brute-force.
- Защита форм: На контактных формах хорошо работает связка Turnstile + rate limiting.
Например, если на WordPress-сайте через xmlrpc.php приходят тысячи POST-запросов в минуту, CPU быстро уходит в 100 %. Custom Rule, блокирующий xmlrpc.php для всех, кроме нужных IP (Jetpack и т.д.), заметно снижает нагрузку на сервер.
Кэширование и производительность без потери безопасности
Cloudflare отлично ускоряет сайт, отдавая статические файлы с ближайшего сервера. Но кэшировать всё подряд нельзя: страницы авторизованных пользователей, корзину, оплату и личные кабинеты нужно исключить из кэша.
Рекомендуемые настройки кэша
- Caching Level: Стандартный уровень подходит большинству проектов.
- Browser Cache TTL: Для статических файлов можно ставить от недели и выше.
- Cache Rules: /wp-admin, /cart, /checkout, /my-account должны обходиться кэшем.
- Always Online: Полезен при кратковременных сбоях, но на динамичных сайтах не стоит рассчитывать только на него.
- Purge Cache: После обновления дизайна или контента лучше очищать кэш точечно по URL, а не полностью.
Для максимальной скорости сочетайте Cloudflare с быстрым хостингом: LiteSpeed, NVMe-диски, актуальная версия PHP и грамотный плагин кэширования: LiteSpeed hosting, web sitesi hızlandırma.
Рекомендуемый стартовый профиль безопасности
В таблице ниже — безопасная базовая конфигурация для большинства небольших и средних сайтов. Каждую настройку стоит проверять на реальном трафике вашего проекта.
| Параметр | Рекомендуемое значение | Почему важно |
|---|---|---|
| SSL/TLS | Full (Strict) | Обеспечивает сквозное шифрование с проверкой сертификата. |
| Always Use HTTPS | Включено | Автоматически переводит весь трафик на HTTPS. |
| WAF Managed Rules | Включено | Автоматически блокирует известные веб-атаки. |
| Security Level | Medium | Оптимальный баланс между защитой и удобством. |
| Under Attack Mode | Только во время атаки | Дополнительная проверка при интенсивных DDoS. |
| Ограничение скорости (Rate Limiting) | Контролируемое для входа и API | Снижает риск brute-force и злоупотреблений. |
| Cache Rules | Обход для динамических страниц | Предотвращает ошибки в корзине и личном кабинете. |
| DNSSEC | Включить при возможности | Дополнительная защита от подмены DNS. |
Частые ошибки при настройке Cloudflare и их решения
Бесконечный цикл редиректов
Чаще всего возникает, когда в Cloudflare стоит Flexible, а на сервере настроено перенаправление на HTTPS. Решение — установить действующий SSL на origin-сервере и переключить Cloudflare в режим Full или Full (Strict).
Ошибки 521, 522 и 525
521 означает, что сервер отклонил соединение, 522 — таймаут, 525 — проблему с SSL-рукопожатием. Проверьте, что firewall пропускает IP Cloudflare, сервер работает, сертификат валиден и DNS-точки на правильный IP.
Изменения в админке не отображаются
Обычно виновато слишком агрессивное кэширование. Исключите из кэша страницы админки, корзины, оплаты и личного кабинета. В WordPress удобно настроить интеграцию плагина кэширования с Cloudflare.
Проблемы с почтой
Cloudflare не проксирует почтовый трафик. MX-записи должны быть корректными, а почтовые записи — в режиме DNS only. Если отсутствуют SPF, DKIM и DMARC, возможны проблемы с доставкой писем.
Пошаговый чек-лист безопасного подключения Cloudflare
Следуйте этому порядку, чтобы минимизировать ошибки при первой настройке:
- 1. Добавьте домен в Cloudflare и сверьте DNS-записи с текущим провайдером.
- 2. Включите прокси для корневого домена и www.
- 3. Оставьте почту, FTP и поддомены управления в режиме DNS only.
- 4. Измените nameserver’ы в панели домена.
- 5. Установите на сервере действующий SSL и выберите в Cloudflare Full (Strict).
- 6. Включите Always Use HTTPS и Automatic HTTPS Rewrites.
- 7. Активируйте WAF Managed Rules и первые дни отслеживайте логи и ложные срабатывания.
- 8. Настройте rate limiting или managed challenge для страниц входа.
- 9. Создайте Cache Rules с обходом динамических разделов.
- 10. При атаке повышайте Security Level и при необходимости включайте Under Attack Mode.
- 11. Настройте firewall сервера на приём трафика только с IP Cloudflare.
- 12. Регулярно проверяйте Security Events, аналитику и DNS-записи.
Этот чек-лист особенно полезен при первом подключении. На высоконагруженных интернет-магазинах и membership-сайтах изменения лучше вносить в часы минимального трафика и отслеживать конверсию.
Аналитика и мониторинг событий безопасности
После подключения Cloudflare работа не заканчивается — главная ценность появляется при регулярном анализе. В разделе Security Events видно, какие правила срабатывали, из каких стран и IP приходили атаки, какие URL были целью. Эти данные позволяют создавать правила не наугад, а на основе реальной статистики.
Если за сутки на /wp-login.php пришло 18 000 неудачных запросов, имеет смысл настроить отдельный rate limit и challenge именно для этого адреса, а не ужесточать правила для всего сайта. То же касается API — лучше таргетировать конкретные методы, страны или User-Agent, чем применять жёсткие правила ко всему проекту.
Достаточно ли одного Cloudflare?
Cloudflare — мощный слой защиты, но безопасность должна быть многоуровневой. Если сервер устарел, в коде есть уязвимости, пароли слабые или нет резервных копий, Cloudflare не спасёт. Лучший результат даёт сочетание надёжного хостинга, актуального PHP, регулярных бэкапов, SSL, плагинов безопасности и правильных прав доступа.
На инфраструктуре Hostragons можно подобрать оптимальный тариф, который вместе с Cloudflare создаст устойчивую и быструю архитектуру. При росте трафика можно перейти с виртуального хостинга на VPS или облачный сервер: VPS sunucu, kurumsal hosting çözümleri.
Заключение: сбалансированный подход к настройке Cloudflare
Правильные настройки Cloudflare складываются из точного переноса DNS, режима Full (Strict), WAF-правил, контролируемой защиты от ботов, rate limiting, правильных исключений из кэша и своевременного включения DDoS-режимов. Лучше воспринимать Cloudflare не как разовую настройку, а как постоянно совершенствуемый процесс безопасности на основе реальных данных.
Кратко: пропускайте веб-трафик через прокси, скрывайте origin-сервер, используйте строгий SSL, настраивайте WAF и rate limiting под реальные сценарии использования. Если нужно надёжное основание в части домена, хостинга или SSL, изучите решения Hostragons: Hostragons hosting paketleri.
Часто задаваемые вопросы
Какой режим SSL в Cloudflare самый безопасный?
Самый безопасный режим — Full (Strict). В нём используется HTTPS как между посетителем и Cloudflare, так и между Cloudflare и origin-сервером с проверкой сертификата. Для этого на сервере должен быть установлен действующий SSL-сертификат.
Работает ли защита от DDoS на бесплатном тарифе?
Да, базовая защита от DDoS доступна и на бесплатном плане. Расширенные возможности WAF, детальный rate limiting и корпоративные функции появляются на платных тарифах. При правильной настройке даже бесплатный план даёт хорошую защиту для небольших и средних сайтов.
Можно ли постоянно держать Under Attack Mode включённым?
Нет. Этот режим предназначен только для периода атаки. При постоянном использовании реальные посетители будут видеть дополнительную страницу проверки, что ухудшает пользовательский опыт. В обычное время лучше использовать WAF, rate limiting и подходящий Security Level.
Нужен ли хостинг, если используется Cloudflare?
Да. Cloudflare обеспечивает защиту и ускорение, но файлы сайта, база данных и приложение всё равно должны находиться на хостинге или сервере. Надёжная хостинг-инфраструктура остаётся базовым требованием.
Может ли Cloudflare создавать проблемы на интернет-магазинах?
При неправильной настройке — да. Динамические страницы (корзина, оплата, личный кабинет, админка) нужно исключать из кэша. Если это сделать правильно, Cloudflare отлично работает с e-commerce проектами и не создаёт проблем с конверсией.
