Как защитить сайт от DDoS-атак с помощью Cloudflare Печать

Рано или поздно практически любой сайт сталкивается с подозрительной активностью: резким ростом трафика, большим количеством запросов к серверу или попытками перегрузить сайт. В некоторых случаях это обычные боты поисковых систем, но иногда причиной становится DDoS-атака.

Даже относительно небольшая атака может существенно замедлить работу сайта или сделать его полностью недоступным для посетителей.

Один из самых простых и эффективных способов защиты — использование Cloudflare. Большинство базовых функций доступны бесплатно и позволяют защитить сайт от значительной части автоматизированных атак.

В этой статье рассмотрим, как правильно настроить Cloudflare для защиты сайта от DDoS.

Что такое DDoS-атака

DDoS (Distributed Denial of Service) — это атака, целью которой является перегрузка сервера большим количеством запросов.

Во время атаки злоумышленники используют тысячи или даже миллионы устройств, которые одновременно обращаются к сайту.

В результате:

• сайт начинает работать медленно;
• страницы открываются с ошибками;
• сервер потребляет все доступные ресурсы;
• сайт становится недоступным для пользователей.

Почему Cloudflare помогает

После подключения Cloudflare весь входящий трафик проходит через сеть Cloudflare прежде, чем попасть на ваш сервер.

Это позволяет:

• фильтровать вредоносные запросы;
• блокировать известные ботнеты;
• скрывать реальный IP-адрес сервера;
• автоматически обнаруживать подозрительную активность;
• снижать нагрузку на сервер.

Для большинства сайтов этого уже достаточно, чтобы пережить небольшие и средние атаки.

Шаг 1. Подключите сайт к Cloudflare

Если сайт ещё не подключён к Cloudflare:

1. Создайте аккаунт Cloudflare.
2. Добавьте свой домен.
3. Выберите подходящий тариф.
4. Проверьте DNS-записи.
5. Измените NS-серверы домена на те, которые выдаст Cloudflare.

После обновления DNS сайт начнёт работать через сеть Cloudflare.

Шаг 2. Убедитесь, что проксирование включено

Откройте раздел:

DNS

Для основных записей сайта убедитесь, что отображается оранжевое облако:

Proxied

Если отображается:

DNS Only

трафик будет идти напрямую на сервер и защита Cloudflare работать не будет.

Обычно проксирование включают для:

• основного домена;
• поддомена www;
• других веб-сервисов, доступных через браузер.

Шаг 3. Включите режим Under Attack

Во время активной атаки Cloudflare позволяет быстро усилить защиту.

Перейдите:

Security → Settings

Включите:

Under Attack Mode

После активации Cloudflare будет дополнительно проверять посетителей перед предоставлением доступа к сайту.

Для обычной повседневной работы сайта этот режим обычно не требуется.

Шаг 4. Настройте Security Level

Перейдите:

Security → Settings

Параметр:

Security Level

Для большинства сайтов рекомендуется:

Medium

или

High

Слишком высокий уровень защиты может создавать неудобства для обычных посетителей.

Шаг 5. Включите Bot Fight Mode

Откройте:

Security → Bots

Активируйте:

Bot Fight Mode

Эта функция помогает автоматически блокировать вредоносных ботов и сканеры.

На большинстве сайтов её можно использовать без каких-либо дополнительных настроек.

Шаг 6. Ограничьте доступ к административной панели

Одной из самых частых целей атак является страница входа в WordPress.

Создайте правило:

Security → WAF → Custom Rules

Пример условия:

URI Path contains /wp-login.php

Действие:

Managed Challenge

или

JS Challenge

В результате Cloudflare будет проверять посетителей перед доступом к странице авторизации.

Шаг 7. Защитите XML-RPC

Если XML-RPC не используется, его рекомендуется полностью отключить.

Для дополнительной защиты можно создать правило:

URI Path contains /xmlrpc.php

Действие:

Block

Это поможет сократить количество автоматизированных атак на WordPress.

Шаг 8. Настройте Rate Limiting

Rate Limiting позволяет ограничить количество запросов от одного IP-адреса.

Перейдите:

Security → WAF → Rate Limiting Rules

Например, можно настроить правило:

• не более 20 запросов за 10 секунд;
• для страницы входа;
• с последующей блокировкой или проверкой.

Это эффективно защищает от подбора паролей и части DDoS-атак.

Шаг 9. Скрывайте реальный IP сервера

После подключения Cloudflare рекомендуется убедиться, что IP-адрес сервера не раскрывается через сторонние сервисы.

Проверьте:

• DNS-записи;
• старые поддомены;
• почтовые сервисы;
• панели управления.

Если злоумышленники узнают реальный IP сервера, они смогут атаковать его напрямую, обходя Cloudflare.

Шаг 10. Разрешите только IP Cloudflare

На VPS или выделенном сервере желательно ограничить доступ к веб-серверу только с IP-адресов Cloudflare.

Для этого необходимо добавить официальные сети Cloudflare в Firewall и запретить прямые подключения к портам:

• 80;
• 
  
  443.  

Такой подход значительно повышает эффективность защиты.

Что делать во время атаки

Если сайт уже находится под атакой:

1. Включите Under Attack Mode.
2. Поднимите Security Level до High.
3. Включите Bot Fight Mode.
4. Очистите кэш Cloudflare.
5. Проверьте нагрузку на сервер.
6. Убедитесь, что настоящий IP сервера скрыт.

В большинстве случаев этого достаточно для отражения небольших и средних атак.

Частые ошибки

Cloudflare включён, но сервер всё равно перегружен

Чаще всего причина в том, что злоумышленники атакуют реальный IP сервера напрямую.

Посетители видят постоянные проверки Cloudflare

Обычно это связано со слишком агрессивными настройками Security Level или WAF.

После включения защиты перестали работать некоторые сервисы

Проверьте правила Firewall и исключения для API, платёжных систем и внешних интеграций.

Рекомендации

Для большинства сайтов достаточно следующего набора настроек:

• Proxied — включён;
• Security Level — Medium или High;
• Bot Fight Mode — включён;
• защита wp-login.php;
• блокировка xmlrpc.php;
• скрытый IP сервера;
• ограничение запросов через Rate Limiting.

Cloudflare не является абсолютной защитой от всех видов атак, однако для большинства сайтов он позволяет значительно повысить безопасность и сохранить работоспособность ресурса даже при серьёзной нагрузке.