Как настроить Cloudflare CDN: полный гид по скорости и безопасности

Cloudflare — самый распространённый в мире CDN + сервис безопасности. Даже бесплатный план ускоряет сайт на 30-60%, даёт защиту от DDoS и бесплатный SSL. В гиде — регистрация, смена DNS, кэш, советы по производительности.

Что делает Cloudflare?

• CDN: статика (CSS, JS, картинки) из 300+ дата-центров мира
• Защита от DDoS: гасит объёмные атаки на магистрали (пост DDoS)
• WAF: блокирует SQL-injection, XSS и т. п.
• Бесплатный SSL на уровне домена
• Управление ботами: автоматически блокирует плохих
• Оптимизация изображений: WebP/AVIF (Pro+)

1. Аккаунт + добавить сайт

1. https://www.cloudflare.com/ → Sign Up → бесплатный аккаунт
2. Dashboard → Add a Site → домен → план Free
3. Cloudflare сам сканирует существующие DNS — проверьте список A/AAAA/CNAME/MX

2. Сменить nameserver

Cloudflare даст 2 NS:

xxx.ns.cloudflare.com
yyy.ns.cloudflare.com

В регистраторе домена (GoDaddy, Namecheap и др.):

• Domain → Manage → Nameservers → Custom
• Вставить 2 NS Cloudflare → сохранить

Распространение DNS — от 5 минут до 24 часов. Cloudflare пришлёт письмо.

3. Proxy (важно)

В DNS-панели у каждой A/CNAME — значок облака:

• 🟠 Оранжевый (Proxied): трафик через Cloudflare (CDN + DDoS + WAF)
• ⚫ Серый (DNS only): только DNS, трафик прямо на сервер

Для веб-сайтов — оранжевый ✓ Для SSH, FTP, mail — серый (Cloudflare не проксирует вне HTTP/HTTPS)

4. SSL/TLS

SSL/TLS → Overview:

• Encryption mode: Full (strict)
  • Off: нет SSL (нельзя)
  • Flexible: только Cloudflare↔посетитель шифруется, сервер получает HTTP (небезопасно)
  • Full: оба направления шифруются, но cert сервера не проверяется
  • Full (strict): полностью безопасно — нужен Let’s Encrypt (наш пост)

SSL/TLS → Edge Certificates:

• Always Use HTTPS ✓
• Automatic HTTPS Rewrites ✓
• Min TLS version: TLS 1.2

5. Кэш

Caching → Configuration:

• Caching Level: Standard
• Browser Cache TTL: 4 hours - 1 month
• Always Online ✓

Caching → Tiered Cache ✓

6. Page Rules (Free: 3)

Rule 1: bypass для WP-admin

*ваш-сайт.com/wp-admin* → Cache Level: Bypass

Rule 2: bypass для WP login

*ваш-сайт.com/wp-login.php* → Cache Level: Bypass

Rule 3: длинный кэш для статики

*ваш-сайт.com/wp-content/uploads/* → Edge/Browser Cache TTL: a month

7. Performance

Speed → Optimization:

• Brotli ✓ (на 20% меньше gzip)
• Early Hints ✓ (улучшение LCP)
• Rocket Loader ❌ (часто ломает WordPress)

8. Firewall (только-Cloudflare)

Против обхода Cloudflare — разрешить только IP Cloudflare в firewall сервера:

for ip in $(curl -s https://www.cloudflare.com/ips-v4); do
    sudo ufw allow from $ip to any port 80,443 proto tcp
done
sudo ufw deny 80/tcp
sudo ufw deny 443/tcp

Подробно — пост UFW.

9. Плагин Cloudflare для WordPress

WP-плагин → Cloudflare → связать API-ключ → авто-purge кэша.

Проверка производительности

После активации:

• https://gtmetrix.com/ — TTFB и LCP
• https://www.webpagetest.org/ — waterfall
• DevTools → Network → должен быть cf-cache-status: HIT

Первые 24 часа кэш “разогревается”.

Частые проблемы

• “Too many redirects”: SSL “Flexible” но WP отдаёт HTTPS → переключите на Full (strict)
• “Error 521 - Web server is down”: сервер реально упал или не пускает Cloudflare → проверьте firewall
• “Error 525 - SSL handshake failed”: нет Let’s Encrypt → установите
• WP-admin тормозит: кэшируется → Page Rule bypass
• Ошибки API/AJAX: эндпоинты не должны кэшироваться → Page Rule bypass

Итог

Cloudflare Free-план = производительность + безопасность + SSL одним выстрелом. Первое действие для любого сайта.

Cloudflare + KavesNET VDS + Let’s Encrypt + WP Rocket = production-стек.

По теме: Защита от DDoS · Let’s Encrypt SSL