Cloudflare CDN einrichten: Komplette Anleitung für Speed & Sicherheit

Cloudflare ist der weltweit verbreitetste CDN- und Sicherheitsdienst — selbst der Free-Plan beschleunigt Ihre Site um 30-60%, bietet DDoS-Schutz und kostenloses SSL. Diese Anleitung deckt Konto-Setup, DNS-Wechsel, Cache und Performance-Tipps ab.

Was macht Cloudflare?

• CDN: liefert statische Inhalte (CSS, JS, Bilder) aus 300+ Rechenzentren weltweit
• DDoS-Schutz: fängt volumetrische Angriffe auf Backbone-Ebene ab (DDoS-Beitrag)
• WAF: blockt SQL-Injection, XSS u. ä.
• Kostenloses SSL: auf Domain-Ebene
• Bot Management: blockt Bad Bots
• Bildoptimierung: WebP/AVIF (Pro+)

1. Konto + Site anlegen

1. https://www.cloudflare.com/ → Sign Up → kostenloses Konto
2. Dashboard → Add a Site → Domain → Free-Plan
3. Cloudflare scannt vorhandene DNS-Records → Liste prüfen

2. Nameserver wechseln

Cloudflare gibt 2 Nameserver:

xxx.ns.cloudflare.com
yyy.ns.cloudflare.com

Im Domain-Registrar (GoDaddy, Namecheap u. a.):

• Domain → Manage → Nameservers → Custom
• Cloudflares 2 NS einfügen → speichern

Propagation: 5 Minuten bis 24 Stunden. Cloudflare schickt eine E-Mail bei Aktivierung.

3. Proxy-Einstellung (wichtig)

Im DNS-Panel hat jeder A/CNAME-Record ein Wolken-Symbol:

• 🟠 Orange (Proxied): Traffic über Cloudflare (CDN + DDoS + WAF aktiv)
• ⚫ Grau (DNS only): nur DNS, Traffic direkt zum Server

Für Web-Sites: orange ✓ Für SSH, FTP, Mail: grau (Cloudflare proxiert nicht ausserhalb HTTP/HTTPS)

4. SSL/TLS

SSL/TLS → Overview:

• Encryption mode: Full (strict)
  • Off: kein SSL (nicht tun)
  • Flexible: nur Cloudflare↔Besucher verschlüsselt, Server bekommt HTTP (unsicher)
  • Full: beidseitig verschlüsselt, Server-Cert ungeprüft
  • Full (strict): voll sicher — Let’s Encrypt auf Server Pflicht (unser Beitrag)

SSL/TLS → Edge Certificates:

• Always Use HTTPS ✓
• Automatic HTTPS Rewrites ✓
• Min TLS version: TLS 1.2

5. Cache

Caching → Configuration:

• Caching Level: Standard
• Browser Cache TTL: 4 hours - 1 month
• Always Online ✓

Caching → Tiered Cache ✓

6. Page Rules (Free: 3)

Rule 1: WP-Admin-Cache umgehen

*ihre-site.com/wp-admin* → Cache Level: Bypass

Rule 2: WP-Login umgehen

*ihre-site.com/wp-login.php* → Cache Level: Bypass

Rule 3: Statische Dateien lange cachen

*ihre-site.com/wp-content/uploads/* → Edge/Browser Cache TTL: a month

7. Performance

Speed → Optimization:

• Brotli ✓ (20% kleiner als gzip)
• Early Hints ✓ (LCP-Verbesserung)
• Rocket Loader ❌ (bricht oft WordPress)

8. Firewall (Cloudflare-only)

Gegen Bypass-Angriffe nur Cloudflare-IPs auf Server-Firewall erlauben:

for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
    sudo ufw allow from $ip to any port 80,443 proto tcp
done
sudo ufw deny 80/tcp
sudo ufw deny 443/tcp

Details: UFW-Beitrag.

9. Cloudflare-Plugin für WordPress

WP-Plugin → Cloudflare → API-Key verbinden → automatisches Cache-Purging.

Performance-Check

Nach Aktivierung:

• https://gtmetrix.com/ — TTFB und LCP vergleichen
• https://www.webpagetest.org/ — Wasserfall
• DevTools → Network → cf-cache-status: HIT sehen

In den ersten 24h “wärmt” der Cache sich auf.

Häufige Probleme

• “Too many redirects”: SSL “Flexible” aber WP HTTPS → auf Full (strict)
• “Error 521 - Web server is down”: Server tatsächlich down oder Cloudflare nicht erlaubt
• “Error 525 - SSL handshake failed”: Let’s Encrypt fehlt → installieren
• wp-admin langsam: cached → Page-Rule-Bypass
• API/AJAX-Fehler: Endpunkt nicht cachen → Page-Rule-Bypass

Fazit

Cloudflare-Free-Plan = Performance + Sicherheit + SSL in einem. Pflicht-Erstmaßnahme für jede Website.

Cloudflare + KavesNET VDS + Let’s Encrypt + WP Rocket = produktionsreifer Stack.

Verwandt: DDoS-Schutz · Let’s Encrypt SSL