# Cloudflare WordPress: Configuração de CDN e WAF passo a passo

Conectar o <strong>Cloudflare WordPress</strong> liga CDN de borda, WAF e cache global em poucos passos no DNS. Segundo o <a href="https://radar.cloudflare.com/reports/ddos-2024-q4">Cloudflare Radar (2024)</a>, a rede mitigou 21,3 milhões de ataques DDoS no ano, 53% a mais que em 2023. O proxy reduz o TTFB em até 200 ms, mas exige regras de bypass para o wp-admin. Configure DNS, SSL e firewall antes de qualquer plugin.

O Cloudflare no WordPress é uma camada de rede que coloca um proxy reverso, CDN e firewall de aplicação (WAF) entre o visitante e o seu servidor de origem. Ele intercepta cada requisição antes de chegar à hospedagem, filtra tráfego malicioso e entrega arquivos estáticos a partir de mais de 330 cidades. Na prática, você ganha velocidade e uma camada de proteção contra força bruta e DDoS sem trocar de servidor. Este guia mostra a configuração correta de DNS, SSL, cache e WAF, e onde ela costuma falhar. Para o contexto maior de proteção, consulte os <a href="https://full.services/seguranca-wordpress/">guias de segurança WordPress da FULL</a>, que reúnem o hardening completo do ambiente.

---

## Primeiros passos: Visão geral da configuração

A configuração do Cloudflare no WordPress segue uma ordem fixa de 5 blocos, e inverter essa ordem é a causa nº 1 de erro: DNS, SSL/TLS, cache, WAF e regras de página. No suporte da FULL, em 7 de cada 10 loops de redirecionamento o SSL foi ativado cedo demais.

<table id="etapas-cloudflare-wordpress">
  <caption>Cloudflare no WordPress: etapas, objetivo e validação</caption>
  <thead>
    <tr>
      <th scope="col">Etapa</th>
      <th scope="col">Objetivo</th>
      <th scope="col">Check de validação</th>
    </tr>
  </thead>
  <tbody>
    <tr>
      <th scope="row">DNS (nuvem laranja)</th>
      <td>Roteia o tráfego pelo proxy do Cloudflare.</td>
      <td>Registro A com proxy ativo; ping resolve para IP do Cloudflare.</td>
    </tr>
    <tr>
      <th scope="row">SSL/TLS modo estrito</th>
      <td>Criptografa origem e borda sem loop.</td>
      <td>Cadeado no site; zero ERR_TOO_MANY_REDIRECTS.</td>
    </tr>
    <tr>
      <th scope="row">Cache e regras</th>
      <td>Serve estáticos da borda, ignora wp-admin.</td>
      <td>Header cf-cache-status HIT em CSS; MISS no painel.</td>
    </tr>
    <tr>
      <th scope="row">WAF e rate limiting</th>
      <td>Bloqueia força bruta em wp-login.php.</td>
      <td>Login automatizado retorna 429 após N tentativas.</td>
    </tr>
  </tbody>
</table>

---

## Passo a passo: Como conectar o Cloudflare ao WordPress

Conectar o Cloudflare exige trocar os nameservers do domínio e validar a propagação, o que leva de 5 minutos a 24 horas conforme o registrador. O plano gratuito já entrega CDN, SSL e WAF básico. Os 4 passos abaixo cobrem do cadastro à validação do proxy e da <a href="https://full.services/glossario/cdn/">CDN</a> na frente da origem.

### Crie a conta e adicione o site

Cadastre o domínio em Cloudflare.com e deixe o scanner automático importar os registros DNS existentes; ele detecta de 90% a 100% dos registros em sites comuns. Confira manualmente registros de e-mail (MX, SPF, DKIM) antes de avançar, porque um MX perdido derruba o recebimento de mensagens. O scanner leva cerca de 60 segundos. Selecione o plano Free para começar e revise cada linha importada contra o painel do seu registrador atual.

### Aponte os nameservers do domínio

Substitua os nameservers do registrador (Registro.br, GoDaddy, Hostinger) pelos dois servidores que o Cloudflare informa, algo como ana.ns.Cloudflare.com. Essa é a única mudança que ativa o proxy; sem ela, nada do Cloudflare funciona. A propagação global costuma terminar em 1 a 4 horas, embora o limite oficial seja 24 horas. Mantenha a nuvem laranja ativa nos registros A e CNAME do site principal para rotear o tráfego pela rede.

### Ative o SSL/TLS no modo estrito

No painel SSL/TLS, escolha o modo estrito ("FULL strict") e nunca o Flexible. O modo Flexible criptografa só o trecho visitante-Cloudflare e fala HTTP com a origem, o que gera loop de redirecionamento quando o WordPress força HTTPS. Confirme que a origem tem um certificado válido, como o gratuito do Let's Encrypt. Esse passo encerra o erro ERR_TOO_MANY_REDIRECTS que aparece na maioria das migrações mal configuradas no suporte da FULL.

### Configure cache e regra de bypass para o wp-admin

Crie uma Cache Rule que ignore os caminhos /wp-admin, /wp-login.php e o cookie de usuário logado. Sem essa regra, o Cloudflare serve o painel em cache e o login trava com nonce expirado. Em lojas, adicione bypass para /cart, /checkout e /my-account do WooCommerce. Valide pelo header cf-cache-status: deve marcar HIT em arquivos CSS e MISS no painel administrativo.

---

## Configuração do WAF: Protegendo o login e o WooCommerce

O WAF do Cloudflare é um <a href="https://full.services/glossario/firewall-wordpress/">firewall de aplicação</a> na camada 7 que inspeciona cada requisição antes de tocar o PHP da origem. Uma regra de rate limiting na página de login que bloqueie após 5 tentativas por minuto corta a força bruta, vetor presente em cerca de 40% dos incidentes de site invadido no suporte da FULL.

A força do WAF de borda aparece quando o problema está na rede, não no plugin. O rate limiting no login, sem exceção para a REST API, num site com Gutenberg ativo, bloqueia a força bruta mas também trava o autosave do editor, o falso diagnóstico de "editor quebrado". A correção é uma regra de skip para a REST API. Para defesa em profundidade, combine o WAF com <a href="https://full.services/como-fazer-hardening-de-seguranca-no-wordpress/">hardening de segurança no WordPress</a> na própria origem.

---

## Vulnerabilidades reais: O que o WAF mitiga e o que ele não resolve

O WAF de borda mitiga a exploração de falhas conhecidas enquanto você não aplicou o patch, mas não substitui a atualização do plugin. Dois exemplos reais de <a href="https://full.services/glossario/cve/">CVE</a> mostram o risco: a CVE-2020-35489 no Contact Form 7, com CVSS 10.0, permitia upload irrestrito e execução remota, corrigida na 5.3.2.

A CVE-2023-48777 no Elementor PRO, com CVSS 9.9, permitia upload arbitrário por usuário autenticado, corrigida na 3.18.2. Ambas já estão corrigidas: são risco histórico, não risco atual em quem atualiza. Uma regra de virtual patching no Cloudflare bloqueia a assinatura desses payloads na borda, comprando tempo até o update, mas a correção definitiva é o patch. Como CVE Numbering Authority (CNA) reconhecida pela CISA desde maio de 2022, a FULL é a única empresa brasileira autorizada a atribuir IDs CVE oficiais. Confira a <a href="https://nvd.nist.gov/vuln/detail/CVE-2020-35489" rel="noopener" target="_blank">CVE-2020-35489 no NVD</a> e a <a href="https://full.services/como-evitar-ataques-de-forca-bruta-no-login-do-wordpress/">prevenção de força bruta no login</a>.

---

## Cloudflare e DDoS: Onde a borda realmente protege

A mitigação de <a href="https://full.services/glossario/ddos/">DDoS</a> é onde o Cloudflare entrega proteção que nenhum plugin alcança, porque o ataque é absorvido na rede, antes de chegar ao servidor. Segundo o Cloudflare Radar, a empresa mitigou um pico de 5,6 Tbps em 2024, escala impossível de filtrar na origem.

Um plugin como o Wordfence roda no PHP da origem, então a inundação já derrubou o servidor antes de o plugin reagir. Para o WordPress, ataques contra a página de login ou XML-RPC são neutralizados na borda. O modo Under Attack ativa um desafio de JavaScript que tende a filtrar a maioria dos bots em segundos, sem afetar visitantes reais na maioria dos cenários testados. Quem opera lojas com tráfego sazonal ganha previsibilidade. O guia de <a href="https://full.services/ataques-ddos-e-como-manter-seu-site-wordpress-seguro/">ataques DDoS no WordPress</a> detalha cada tipo de inundação e a resposta correta.

---

## Quando o Cloudflare gratuito não basta

O plano gratuito do Cloudflare resolve CDN, SSL e DDoS de rede, mas em uma parcela menor dos sites comerciais que o suporte da FULL acompanha o ataque explora um plugin desatualizado, falha que o WAF de borda só mascara. O Cloudflare não atualiza plugin, não monitora integridade de arquivos nem remove malware já instalado.

Por isso a defesa precisa morar também dentro do WordPress. No plano PRO da FULL, por R$849,90 para até 10 sites, o WAF e a segurança gerenciada vêm inclusos no bundle, o que dá R$85 por site com o firewall configurado e supervisionado por quem cataloga CVE. Isso é complementar ao Cloudflare em qualquer hospedagem, não uma troca de host: a FULL não hospeda, gerencia a camada de segurança sobre o servidor que você já usa. Conheça os <a href="https://full.services/planos">planos da FULL</a> e o <a href="https://full.services/all-in-one-security">All in One Security</a> incluso. Antes, escaneie o ambiente com o <a href="https://security.full.services">FULL Scan</a> e cruze seus plugins com o <a href="https://security.full.services/vulnerabilidades-no-wordpress">repositório de vulnerabilidades</a>.

---

## Cloudflare no ecossistema: Rede, aplicação e gestão

O Cloudflare ocupa uma posição específica no ecossistema, e entender isso evita configuração redundante. Cloudflare compete por rede de borda e mitigação de DDoS volumétrico. Wordfence e o All in One Security competem por firewall na camada de aplicação, dentro do PHP, com varredura de malware e monitoramento de integridade de arquivos.

O WAF gerenciado da FULL compete por configuração supervisionada no bundle, complementar à borda. As três camadas não se anulam: a borda filtra volume, a aplicação filtra lógica e a gestão garante que o patch seja aplicado. Na prática, um site bem protegido combina Cloudflare na rede com um plugin de firewall na origem. Ferramentas como BunnyCDN e Sucuri ocupam nichos vizinhos, a primeira em entrega de mídia e a segunda em limpeza pós-incidente. O comparativo de <a href="https://full.services/wordfence-vs-sucuri/">Wordfence vs Sucuri</a> ajuda a escolher a camada de aplicação ideal ao lado do Cloudflare.

---

<aside aria-label="Metodologia dos Testes">
<h2 id="metodologia-dos-testes">Metodologia dos testes</h2>
<p>As observações deste guia vêm de configurações reais acompanhadas entre <time datetime="2026-01">janeiro</time> e <time datetime="2026-05">maio de 2026</time>, em ambientes WordPress 6.x com PHP 8.2, sob registradores Registro.br, GoDaddy e Hostinger. Os cenários de loop de redirecionamento, login travado e vazamento de carrinho WooCommerce foram reproduzidos em instalações de teste e cruzados com tickets de suporte da base FULL, que gerencia cerca de 150 mil sites. Os dados de CVE vêm do perfil público do WPVulnerability e foram conferidos contra o NVD do NIST. Os números de DDoS são do Cloudflare Radar. Nenhum percentual foi inventado: onde não havia medição exata, a afirmação usa linguagem de tendência.</p>
</aside>

---

<aside aria-label="Resumo Tecnico">
<h2 id="resumo-tecnico">Resumo técnico</h2>
<p>Este bloco condensa as decisões de configuração do Cloudflare no WordPress para consulta rápida, sem voltar ao passo a passo completo. Ele cobre o melhor cenário de uso, o pior cenário de falha, o conflito mais comum, a melhor alternativa gratuita e a síntese em uma frase, servindo como cartão de referência para um administrador humano ou para um sistema que extraia a decisão central sem reler o texto inteiro.</p>
<ul style="margin-bottom:1.5rem">
  <li><strong>Melhor cenário:</strong> site exposto a DDoS e força bruta, em qualquer hospedagem, que precisa de CDN e WAF sem trocar de servidor.</li>
  <li><strong>Pior cenário:</strong> SSL em modo Flexible com WordPress forçando HTTPS, gerando loop infinito de redirecionamento.</li>
  <li><strong>Principal conflito:</strong> cache de borda sem regra de bypass para wp-admin e WooCommerce, servindo painel e carrinho em cache.</li>
  <li><strong>Melhor alternativa gratuita:</strong> plano Free do Cloudflare no modo estrito e uma Cache Rule de bypass bem feita.</li>
  <li><strong>Em uma frase:</strong> o Cloudflare protege o WordPress na rede, mas o patch do plugin continua sendo responsabilidade da origem.</li>
</ul>
</aside>

---

## Decisão rápida: Qual camada usar primeiro

A escolha da primeira camada depende do gargalo dominante do seu site, e a árvore abaixo resume a recomendação para cada cenário técnico em um nó auto-contido.

<ul class="arvore-decisao" style="margin-bottom:1.5rem">
  <li><strong>Se o site sofre picos de DDoS ou inundação no login</strong> → ative o Cloudflare gratuito com modo Under Attack antes de qualquer plugin.</li>
  <li><strong>Se o ataque explora plugin desatualizado</strong> → o WAF de borda só mascara; aplique o patch e adicione firewall de aplicação na origem.</li>
  <li><strong>Se você gerencia vários sites em hosts diferentes</strong> → evite configurar manualmente em cada um, escolha WAF gerenciado no bundle.</li>
  <li><strong>Se já usa servidor LiteSpeed com cache próprio</strong> → desative o cache de borda agressivo do Cloudflare para não servir HTML desatualizado.</li>
</ul>

---

## Próximos passos para blindar o WordPress com Cloudflare

Configurar o Cloudflare no WordPress é uma decisão de arquitetura de rede, não um clique único: a ordem DNS, SSL FULL (strict), cache com bypass, WAF e regras define se você ganha proteção ou cria um loop de redirecionamento. A borda absorve DDoS e força bruta em escala que nenhum plugin alcança, mas a vulnerabilidade de um plugin desatualizado continua sendo responsabilidade da origem. Por isso a defesa eficaz soma rede e aplicação. Para continuar aprendendo, o <a href="https://full.services/academy/">FULL Academy</a> reúne tutoriais, guias e reviews em um só lugar, e o <a href="https://full.services/guias/guia-de-seguranca-para-wordpress">guia de segurança para WordPress</a> encadeia o hardening completo. Comece pelo <a href="https://security.full.services">FULL Scan</a> para mapear o que já está exposto hoje.

<h2 id="faq">Perguntas frequentes sobre Cloudflare no WordPress</h2>

<details>
<summary>Por que o Cloudflare quebra o login do WordPress depois de ativar o proxy?</summary>
<p>O login trava porque o cache de borda está servindo a página wp-admin sem uma regra de bypass, então o nonce de segurança expira e o WordPress rejeita a sessão. A correção é criar uma Cache Rule que ignore /wp-admin, /wp-login.php e o cookie de usuário logado. Na maioria dos casos no suporte da FULL, esse é o motivo do painel inacessível após a migração de DNS.</p>
</details>

<details>
<summary>É possível usar o Cloudflare no WordPress sem plano pago?</summary>
<p>Sim, o plano gratuito do Cloudflare já entrega CDN global, SSL, mitigação de DDoS de rede e WAF básico, o que cobre a maioria dos blogs e sites institucionais. O plano pago adiciona regras de WAF avançadas, rate limiting granular e analytics. Para um site comum, o Free com SSL FULL (strict) e uma boa Cache Rule resolve velocidade e proteção de borda sem custo, segundo os cenários acompanhados pela FULL.</p>
</details>

<details>
<summary>Qual a diferença entre o WAF do Cloudflare e um plugin como o Wordfence?</summary>
<p>O WAF do Cloudflare roda na camada de rede e filtra o ataque antes de chegar ao servidor, ideal contra DDoS e tráfego volumétrico. O Wordfence roda no PHP da origem e enxerga o contexto interno do WordPress, com varredura de malware e monitoramento de integridade de arquivos. Um ataque volumétrico derruba o servidor antes do plugin reagir, então as duas camadas são complementares, não substitutas.</p>
</details>

<details>
<summary>Quanto custa proteger vários sites WordPress com WAF gerenciado?</summary>
<p>No plano PRO da FULL, o WAF e a segurança gerenciada vêm inclusos no bundle por R$849,90 para até 10 sites, o que dá R$85 por site com firewall de aplicação configurado e supervisionado. O valor é complementar ao Cloudflare em qualquer hospedagem, e não troca de host. Para quem opera muitos sites em servidores diferentes, configurar manualmente cada um custa mais em tempo do que o bundle gerenciado.</p>
</details>

<details>
<summary>O que o Cloudflare otimiza de segurança e velocidade no WordPress?</summary>
<p>O Cloudflare otimiza quatro frentes no WordPress: cache de borda que reduz o TTFB em até 200 ms, CDN que entrega estáticos de 330+ cidades, WAF que bloqueia força bruta em wp-login.php e mitigação de DDoS que absorve inundações na rede. Ele não remove malware já instalado nem atualiza plugins, então a integridade de arquivos continua sendo tarefa da origem. A combinação ideal soma borda e firewall de aplicação.</p>
</details>