Cloudflare подешавања представљају кључан процес за убрзавање, сигурност и отпорност веб сајта на DDoS нападе. То укључује правилно подешавање DNS записа, SSL/TLS, WAF, безбедносних правила, филтера за ботове и кеширања. За најбезбеднију основну конфигурацију, додајте свој домен у Cloudflare, пренесите DNS записе без грешке, изаберите SSL режим Full (Strict) ако је могуће, активирајте WAF managed rules, примените challenge или rate limit на сумњиве захтеве и користите мод „Under Attack Mode“ само кад је заиста потребно.
Cloudflare функционише као CDN и безбедносни слој између вашег сајта и посетиоца. Када посетилац приступи вашем сајту, захтев прво стиже до Cloudflare мреже, где се опасан саобраћај филтрира, статички фајлови се служе из кеша, а валидни захтеви се прослеђују origin серверу. Ова архитектура је изузетно корисна за WordPress, WooCommerce, корпоративне сајтове, SaaS панеле и медијске портале са великом посетом. Али лоша Cloudflare конфигурација може изазвати SSL грешке, бесконачне редиректе, проблеме са приступом админ панелу, неосвежене странице због кеширања и безбедносне пропусте.
Овај водич покрива: Cloudflare инсталацију од нуле, критичне безбедносне опције, правилну DDoS заштиту за ваш сценарио, и оптимизацију перформанси без угрожавања сигурности. Ако желите брзу, сигурну и стабилну инфраструктуру, важно је да темељи на домену, хостингу и SSL-у буду добро постављени: Domain kaydı, Web hosting paketleri, SSL sertifikası.
Шта је Cloudflare и како помаже у безбедности веб сајта?
Cloudflare је cloud платформа за DNS управљање, CDN, DDoS заштиту, веб апликациони firewall, филтрирање ботова, SSL/TLS менаџмент и анализу саобраћаја. У класичном моделу, посетилац се директно повезује са вашим хостингом, али са Cloudflare-ом, прво иде до Cloudflare edge сервера ― што омогућава филтрирање пре него што опасан саобраћај стигне до origin-а.
Рецимо, мали WordPress сајт има 2.000 дневних посетилаца и 20-30 захтева у минути. Са обичним HTTP flood нападом, то може нарасти на 20.000 захтева у минути, што ваш сервер може да оптерети до неприступачности због лимита CPU, RAM-а или конекција. Cloudflare раздваја овај саобраћај на основу IP репутације, анализа понашања, rate limiting-а, challenge-а и DDoS потписа, омогућавајући да прави корисници ипак дођу до сајта.
Cloudflare није „чаробно решење“ за све безбедносне изазове. Најбоље функционише са стабилним хостингом, ажурираним софтвером, сигурним лозинком, редовним backup-ом, SSL-ом и добром серверском конфигурацијом. За WordPress је и даље критично редовно ажурирање теме и plugin-а, сигурност админ панела и јаке лозинке: WordPress hosting, WordPress güvenliği.
Припрема пре Cloudflare инсталације
Пре преласка на Cloudflare, проверите неке основне ствари да бисте избегли проблеме са приступом или SSL-ом. На сајтовима са живим саобраћајем, планирајте DNS промене.
- Излистате све DNS записе: А, AAAA, CNAME, MX, TXT, SPF, DKIM, DMARC и поддомене.
- Проверите IP адресу хостинга: Грешка у А запису може да преусмери сајт на погрешан сервер.
- Проверите SSL статус: Ако origin сервер има важећи SSL, можете користити Cloudflare Full (Strict) мод.
- Пажљиво са email записима: MX и mail записи треба да буду DNS only (сива облачић), никако прокси.
- Урадите backup: DNS и сајт backup омогућава брз опоравак у случају проблема.
- Изаберите време за одржавање: Промена nameserver-а може бити видљива за пар минута, али глобална пропагација траје до 24h.
Практично, код корпоративних сајтова: Прво пренесите све DNS записе, затим проксирате само www и root домен који носе веб саобраћај. За mail, FTP, cPanel, webmail и сличне сервисе пажљиво процените потребу за проксијем. На пример, ако имате посебан поддомен за cPanel, оставите га DNS only ради мањих проблема: cPanel hosting yönetimi.
Како подесити Cloudflare DNS?
Cloudflare инсталација почиње додавањем домена у Cloudflare панел. Cloudflare скенира ваше DNS записе и приказује списак, али аутоматска детекција није увек потпуна ― ручна провера је обавезна.
1. Додајте домен у Cloudflare
Улоговани у Cloudflare, идите на “Add a site” и додајте свој домен. Изаберите план и проверите DNS записе. За root домен најчешће имате А запис, а за www CNAME. Пример:
- А запис: example.com → 192.0.2.10
- CNAME запис: www → example.com
- MX запис: example.com → ваш email провајдер
- TXT записи: SPF, DKIM, DMARC за email валидацију
Кључно је који записи пролазе кроз Cloudflare proxy. За веб саобраћај (А и CNAME) активирајте наранџасти облачић (proxy), а за email, FTP и директне сервисе користите DNS only (сива облачић).
2. Промените nameserver
Cloudflare ће вам дати два nameserver-а. На регистратору домена замените постојеће nameserver-е овим Cloudflare вредностима. На Hostragons-у то радите преко домен панела: Domain yönetimi. После промене, Cloudflare статус треба да буде “Active”.
3. Изаберите proxy статус
Када је proxy (наранџасти облачић) активан, HTTP/HTTPS саобраћај иде кроз Cloudflare и примењују се безбедносне функције. Са DNS only (сива облачић), Cloudflare само решава DNS. За веб сајт proxy мора бити активан, али за mail, FTP и админ сервисе обично треба да остане искључен.
SSL/TLS подешавања: Најбезбеднија конфигурација
Cloudflare SSL/TLS управља шифровањем између браузера и Cloudflare-а и између Cloudflare-а и origin сервера. Грешке у SSL моду су међу најчешћим Cloudflare проблемима.
Flexible, Full и Full (Strict): разлике
| SSL режим | Cloudflare – Посетилац | Cloudflare – Сервер | Препорука |
|---|---|---|---|
| Flexible | ХТТПС | HTTP | Не препоручује се осим као привремено; изазива редирект петље и безбедносне ризике. |
| Full | ХТТПС | ХТТПС | SSL постоји на серверу, али није строго валидиран. |
| Full (Strict) | ХТТПС | HTTPS, валидан сертификат | Најсигурнији стандард; користите ако је могуће. |
Циљ је Full (Strict). Треба да на origin серверу имате важећи SSL сертификат – Let’s Encrypt, комерцијални SSL или Cloudflare Origin Certificate. На Hostragons хостингу, инсталација и обнова SSL-а се лако подешавају за овај мод: SSL sertifikası kurulumu.
Always Use HTTPS и Automatic HTTPS Rewrites
„Always Use HTTPS“ преусмерава HTTP захтеве на HTTPS. „Automatic HTTPS Rewrites“ помаже да се ресурси унутар странице пребаце на HTTPS. Ипак, ако имате mixed content проблем, трајно решење је миграција свих веза у бази и теми на HTTPS.
Обазриво са HSTS
HSTS приморава браузере да сајт отварају само преко HTTPS-а. То је снажна безбедносна мера, али ако SSL није исправно конфигурисан, посетиоци неће моћи да приступе сајту. Пре активације HSTS осигурајте Full (Strict), валидан SSL, исправне поддомене и редиректе. Прво тестирајте са кратким max-age периодом.
Cloudflare WAF подешавања за веб апликациону сигурност
WAF (Web Application Firewall) филтрира захтеве за SQL injection, XSS, инклузију фајлова, лоше ботове и познате рањивости веб апликација. Cloudflare WAF је посебно важан за WordPress, Joomla, Laravel, custom панеле и e-commerce сајтове.
Активирајте Managed Rules
Managed Rules су унапред дефинисане и редовно ажуриране безбедносне групе. За WordPress постоје посебна правила, као и OWASP и CVE потписи који смањују ризик. Прво подесите правила у “Log” или „low impact“ режиму и пратите false positive, а затим прелазите на “Block” или “Managed Challenge”.
Custom Rules за критичне секције
Custom правила омогућавају заштиту по вашој архитектури. На пример, wp-login.php или /admin може бити доступан само из одређених земаља или се сумњиви user-agent-и шаљу на challenge. Будите опрезни да не блокирате легитимне кориснике – у e-commerce-у, погрешно обавезан challenge на checkout страници може смањити продају.
Пример: За корпоративни сајт са фокусом на Србију, можете на /wp-admin дозволити само приступ из Србије, док за тимове у иностранству додате IP allowlist. Овако значајно смањујете brute force нападе, а избегавате блокаду овлашћених корисника.
Како подесити DDoS заштиту?
DDoS напад има за циљ да сајт или сервер учини недоступним прекомерним саобраћајем. Cloudflare-ова предност је што прво филтрира напад на својој мрежи, па до origin сервера стижу само чисти захтеви. Да би заштита била ефикасна, DDoS треба схватити као активну стратегију, не пасивну опцију.
1. Proxy треба бити активан за веб саобраћај
Cloudflare DDoS заштита функционише само на proxy записима. Ако вам root и www није под proxy-ем, саобраћај иде директно на сервер и Cloudflare не филтрира. Такође, важно је да origin IP није јавно доступан – стари DNS записи, mail header-и или директан приступ по IP-у омогућавају напад који заобилази Cloudflare.
2. Користите Security Level и Challenge
Security Level одређује да ли посетиоци виде challenge на основу ризика. „Medium“ је довољан за већину сајтова, а у време напада или сумњивог саобраћаја користите „High“ или привремено „I’m Under Attack Mode“. Under Attack Mode приказује контролни екран посетиоцима и утиче на UX, па га користите само кратко док траје напад.
3. Rate Limiting за контролу захтева
Rate limiting ограничава број захтева по IP или клијенту у одређеном времену. На пример, login страницу можете заштитити тако да више од 20 захтева у минуту из истог IP-а добија challenge, што смањује brute force нападе. За API endpoint-е будите прецизни – ако имате мобилне апликације или интеграције, не постављајте превише строге лимите без анализе стварног саобраћаја: API ve entegrasyon güvenliği.
4. Ограничите origin сервер на Cloudflare IP
За напредну сигурност, на firewall-у дозволите HTTP/HTTPS само са Cloudflare IP опсега. Тако, и ако нападач зна ваш IP, директан приступ није могућ. Ово тражи пажњу – редовно ажурирајте Cloudflare IP листу и одвојено разгледајте SSH, панел и backup сервисе.
Заштита од ботова и brute force напада
Неки бот саобраћај је добар – Googlebot и слични ботови су корисни за индексирање. Проблем су spam ботови, scraping алати, лажне login пробе и неконтролисан automation. Cloudflare bot protection разликује овај саобраћај по понашању.
- Bot Fight Mode: Смањује основне ботове, али тестирајте на интеграцијама.
- Turnstile: Пријатељски CAPTCHA алтернатив за форме.
- Заштита login странице: wp-login.php, xmlrpc.php и admin путеви се могу ограничити custom правилима.
- XML-RPC контрола: Ако није потребна у WordPress-у, блокирајте ради мање brute force напада.
- Смањење spam-а у формама: Turnstile и rate limit заједно на контакт формама.
Пример: Ако вам WordPress сајт добија хиљаде POST захтева на xmlrpc.php, CPU usage расте. Cloudflare Custom Rule може блокирати те захтеве или дозволити само легитимним сервисима попут Jetpack-а, што значајно смањује оптерећење сервера.
Кеш и перформансе: Убрзање без угрожавања сигурности
Cloudflare није само безбедност, већ и перформансе. Статички садржај се сервира са edge-а најближе посетиоцу, што скраћује време учитавања. Али није добро кеширати све – странице за логоване кориснике, корпу, плаћање, чланство и персонализован садржај морају бити изузети из кеша.
Препоручена кеш подешавања
- Caching Level: Standard је добар за већину сајтова.
- Browser Cache TTL: За статичке фајлове, недељу дана или више.
- Cache Rules: /wp-admin, /cart, /checkout, /my-account треба bypass.
- Always Online: Корисно за привремене прекиде, али не решава све на динамичким сајтовима.
- Purge Cache: После измена дизајна или садржаја чистите само релевантне URL-ове, не цео кеш.
За боље перформансе битан је и хостинг слој – LiteSpeed, NVMe SSD, актуелни PHP, добар кеш plugin уз Cloudflare дају најбоље резултате: LiteSpeed hosting, web sitesi hızlandırma.
Препоручени Cloudflare сигурносни профил за почетак
Табела испод нуди сигурну почетну конфигурацију за већину малих и средњих веб сајтова. Прилагодите по сопственом саобраћају и софтверу.
| Параметар | Препоручена вредност | Зашто је важно? |
|---|---|---|
| SSL/TLS | Full (Strict) | Пуни, валидирани HTTPS од корисника до сервера. |
| Always Use HTTPS | Активно | Преусмерава сав HTTP на сигурну везу. |
| WAF Managed Rules | Активно | Аутоматски филтрира познате веб нападе. |
| Security Level | Medium | Баланс сигурности и UX-а за свакодневну употребу. |
| Under Attack Mode | Само при нападу | Додаје challenge током DDoS напада. |
| Ограничавање стопе | Login и API – умерено | Смањује brute force и злоупотребу. |
| Cache Rules | Bypass на динамици | Избегава грешке у корпи, плаћању и панелу. |
| ДНСЕК | Активирати ако је могуће | Додаје додатну DNS заштиту од фалсификата. |
Најчешће Cloudflare грешке и решења
Бесконачна редирект петља
Ова грешка се најчешће јавља ако је Cloudflare SSL мод Flexible, а origin сервер врши HTTPS редирект. Решење: Инсталирајте валидни SSL на сервер и подесите Cloudflare SSL на Full или Full (Strict).
521, 522 и 525 грешке
521 значи да сервер одбија конекцију, 522 је timeout, а 525 проблем са SSL handshake-ом. Проверите да ли firewall блокира Cloudflare IP, да ли сервер ради, да ли је SSL важећи и да ли DNS записе усмеравају на исправан IP.
Неосвежени update-ови у админ панелу
Ово је обично последица агресивног кеширања. Изузмите admin, cart, checkout и user account странице из кеша. Код WordPress-а, интегрирајте кеш plugin са Cloudflare purge функцијом ради лакшег управљања.
Проблеми са email-ом
Cloudflare proxy не носи email саобраћај. MX записи морају бити исправни, а записи за mail сервер DNS only (без proxy-а). Ако недостају SPF, DKIM или DMARC TXT записи, могуће су проблеми у испоруци порука.
Контролна листа за безбедну Cloudflare инсталацију
Овај редослед је практичан и сигуран за почетнике:
- 1. Додајте домен у Cloudflare и упоредите DNS записе са постојећим провајдером.
- 2. На root и www активирајте proxy за веб саобраћај.
- 3. За mail, FTP и admin сервисе размотрите DNS only.
- 4. Промените nameserver у домен панелу.
- 5. Инсталирајте валидни SSL на origin сервер и изаберите Full (Strict) у Cloudflare.
- 6. Активирајте Always Use HTTPS и Automatic HTTPS Rewrites.
- 7. Укључите WAF Managed Rules; првих дана пратите логове и false positive.
- 8. За login странице подесите rate limiting или managed challenge.
- 9. Кеш правила за bypass на динамичким страницама.
- 10. У време напада подигните Security Level и, ако треба, кратко активирајте Under Attack Mode.
- 11. Планирајте firewall ограничења на Cloudflare IP-ове.
- 12. Редовно проверавајте Security Events, Analytics и DNS записе.
Ова листа смањује грешке током инсталације. За сајтове са већим саобраћајем (e-commerce, чланство), промене радите у периоду мањег саобраћаја и пратите ефекат на конверзију.
Cloudflare Analytics и праћење безбедносних догађаја
Cloudflare није „подесиш и заборавиш“ – права вредност је у континуираном праћењу и оптимизацији. У Security Events видите колико је захтева блокирано, из којих земаља или IP опсега долазе напади и који URL-ови су мета. Ови подаци помажу да пишете custom правила на основу доказа, не претпоставки.
На пример, ако видите да је на /wp-login.php било 18.000 неуспешних покушаја за 24h, боље је написати rate limit и challenge за ту страницу него само подизати општи Security Level. Ако је API endpoint често употребљаван, не постављајте строга правила за цео сајт већ циљајте конкретне злоупотребе (метод, земља, user-agent).
Да ли је Cloudflare довољан сам за себе?
Cloudflare је моћан слој, али сигурност се гради у више слојева. Ако сервер није ажуриран, ако је софтвер рањив, ако је admin лозинка слаба или нема backup-а, Cloudflare не уклања све ризике. За сигуран сајт потребни су стабилан хостинг, актуелан PHP, редовни backup, SSL, security plugin-и, права фајлова и контролисан приступ.
На Hostragons инфраструктури, избор правог хостинг пакета вам омогућава стабилан и сигуран сајт уз Cloudflare. Како саобраћај расте, можете прећи са shared хостинга на VPS или cloud ради боље скалабилности и отпорности: VPS sunucu, kurumsal hosting çözümleri.
Закључак: Балансирана Cloudflare подешавања за сигурност
Правилна Cloudflare подешавања значе: прецизан пренос DNS записа, Full (Strict) SSL, WAF правила, контролу ботова, rate limiting, изузећа за кеш на динамици и DDoS модове кад је потребно. Најбоље је да подешавања редовно прилагођавате на основу саобраћаја и безбедносних догађаја.
Сажето: Proxy-рајте веб саобраћај, заштитите origin сервер, користите строг SSL, прилагодите WAF и rate limit по стварној употреби. Ако вам треба сигурна основа на домену, хостингу или SSL-у, погледајте Hostragons решења и планирајте инфраструктуру по потреби: Hostragons hosting paketleri.
Често постављана питања
Који је најсигурнији SSL режим за Cloudflare?
Full (Strict) је најсигурнији SSL мод. Омогућава HTTPS код посетиоца и од Cloudflare-а до origin сервера, уз обавезну валидацију сертификата. За овај мод, сервер мора имати важећи SSL сертификат.
Да ли Cloudflare DDoS заштита ради на бесплатном плану?
Cloudflare и у бесплатном плану нуди основну DDoS заштиту. За напредни WAF, фино rate limiting, управљање ботовима и корпоративне контроле потребан је плаћени план. За мале и средње сајтове, добро подешен бесплатан Cloudflare нуди солидну заштиту.
Да ли Under Attack Mode треба стално да буде укључен?
Не. Under Attack Mode користите само привремено током напада. Ако је стално активан, посетиоци ће видети додатни challenge екран, што може утицати на UX. За свакодневни рад, боље је користити WAF, rate limiting и одговарајући Security Level.
Да ли је хостинг потребан ако користим Cloudflare?
Да. Cloudflare је безбедносни и CDN слој испред вашег сајта, али фајлови, база и апликација се и даље налазе на хостингу или серверу. Сигуран хостинг је основа и са Cloudflare-ом.
Може ли Cloudflare кеш подешавање изазвати проблеме на e-commerce сајтовима?
Ако је погрешно подешен – да. Корпа, плаћање, кориснички налог и админ панел морају бити изузети из кеша. Статички садржај се кешира, а персонализовани bypass-ује, тако Cloudflare може безбедно да се користи и на e-commerce сајтовима.
