Przejdź do treści
Strony WWW

Cloudflare + WordPress: konfiguracja i strategia cache

Maciej Rostocki 11 min czytania Updated 2026-05-30
Cloudflare + WordPress: konfiguracja i strategia cache

Cloudflare na każdym strona WordPress to domyślny standard Hanse Studio od 2018 roku. Wszystkie nasze klient deployments (własne studio, klient z branży filmowej, klient z branży developerskiej, klient z branży hospitality) korzystają z Cloudflare jako DNS plus CDN plus SSL plus WAF. Ten instrukcja wdrożeniowa pokazuje konfiguracja krok po kroku, drzewo decyzyjne dla Cache Rules w 2026, jak nie zatruć combo Cloudflare plus LiteSpeed Cache i kiedy włączyć dodatkowe usługi (APO, Workers, R2).

Cloudflare to nie tylko CDN, ale full infrastructure layer: DDoS protection, SSL management, edge HTML pamięć podręczna, WAF, analytics. Za free tier dla 95 procent klientów MŚP B2B Hanse Studio, plus Pro plan 20 EUR/miesiąc dla klientów z budżetem (klient z branży developerskiej, własne studio). konfiguracja i proces w połączeniu z Lighthouse 99/100 optymalizacją oraz security utwardzanie zabezpieczeńiem daje complete infrastructure zestaw technologii dla każdego B2B klienta.

Cloudflare plus WordPress: konfiguracja oraz strategia pamięć podręczna w 2026

konfiguracja Cloudflare to nie tylko zmiana nameservers. Właściwa konfiguracja wymaga 8 kroków, każdy z mierzalnym wpływem na security plus performance plus reliability. Poniżej krok po kroku plus Cache Rules wzorce dla typowego WP strona, plus drzewo decyzyjne dla dodatkowych usług Cloudflare.

Dlaczego Cloudflare na każdy strona WordPress

Sześć powodów, dla których Cloudflare to Hanse Studio domyślny standard na każdym WP strona, nawet free plan. Pierwszy: DDoS protection. Cloudflare free plan absorbuje typowe L7 attacks (HTTP flood, application layer) bez interwencji manualnej. Layer 3-4 attacks też mitigated, choć bez detail control z free plan. Drugi: CDN z 300+ POP globalnie (status: cloudflare.com/network), static assets serwowane z najbliższego POP, latency improvement 50-200 ms dla international visitors.

  • DDoS protection (free): absorpcja typowych L7 attacks bez interwencji manualnej
  • CDN: 300+ POP globalnie, static assets serwowane near visitor
  • SSL free plus auto-renew: Universal SSL cert dla każdego subdomain, no manual cert management
  • DNS performance: Cloudflare DNS to jeden z fastest globally (1.1.1.1)
  • WAF Managed Rules (Pro plan): blokuje OWASP Top 10 attacks na poziomie edge
  • Edge pamięć podręczna HTML (Cache Reserve, Pro plan): cache’owany page response w 30 ms vs 200-500 ms hit origin
  • Analytics plus security insights: real-time dashboard threats, traffic patterns, performance metrics

Realny wpływ dla naszego własnego studia: po włączeniu Cloudflare TTFB spadł z 480 ms (origin Hetzner CPX32, Falkenstein DE) do 90 ms (Cloudflare edge Warsaw plus Berlin POP dla PL/DE visitors). Lighthouse Performance: 92 → 98. Bandwidth offload: 75 procent traffic serwowany z edge pamięć podręczna bez touch origin server.

konfiguracja krok po kroku

Pełen konfiguracja zajmuje 30-60 minut zależnie od DNS propagation. Procedura w 8 krokach:

  • Krok 1: Sign up cloudflare.com plus add domain (free plan OK na start)
  • Krok 2: Cloudflare auto-imports existing DNS records, review każdy plus confirm
  • Krok 3: Change nameservers u registrara (np. OVH, GoDaddy, Namecheap), propagacja 5-60 minut zwykle, czasem do 24h
  • Krok 4: Verify domain active w Cloudflare dashboard (status: „Active”)
  • Krok 5: SSL/TLS config: mode „Full (strict)”, wymaga Origin Cert generated w Cloudflare plus installed na server
  • Krok 6: Edge Certificates: enable HTTP/3, TLS 1.3, HSTS plus preload, opportunistic encryption
  • Krok 7: Page Rules ALBO Cache Rules (preferable): edytuj bypass dla wp-admin plus wp-login, pamięć podręczna HTML edge dla anonymous
  • Krok 8: Rules → Configuration Rules: HTTP→HTTPS redirect, IPv6 enable, Brotli compression enabled

Origin Certificate plus Full (strict) mode to obowiązkowe dla produkcji. SSL Full mode (bez strict) akceptuje self-signed cert na origin, czyli teoretycznie mogłoby być man-in-the-middle. Full (strict) wymaga prawdziwy cert na origin: Cloudflare Origin Cert (free, 15 years lifetime) lub Let’s Encrypt (free, 90 days lifetime, auto-renew).

Hanse Studio domyślny standard: Cloudflare Origin Cert. 15-letni lifetime eliminuje renewal cron job overhead. Wygenerować w dashboard: SSL/TLS → Origin Server → Create Certificate (Origin CA, RSA 2048, hostnames domain.com plus *.domain.com). Zainstaluj na serwerze (Hetzner: nginx config ssl_certificate i ssl_certificate_key, plus Cloudflare Authenticated Origin Pulls jako dodatkowy layer).

Page Rules vs Cache Rules w 2026

Page Rules to legacy feature deprecated w 2024 (Cloudflare announce). Migration path: Cache Rules plus Configuration Rules plus Origin Rules. Wszystkie dostępne w Pro plan, część w free (3 Page Rules nadal działają, ale bez nowych features).

  • Cache Rules: granularna kontrola nad pamięć podręczna behavior, np. „pamięć podręczna HTML edge dla anonymous users”, „bypass pamięć podręczna dla wp-admin”
  • Configuration Rules: settings tweak za URL pattern, np. „HTTPS rewrites enable na /shop/*”
  • Origin Rules: modify request before origin hit, np. „set X-Forwarded-Proto header dla WordPress”

Typowe wzorce dla WP strona (Hanse Studio template):

  • Cache Rule 1: dopasowanie ścieżek wp-admin oraz wp-login.php → Bypass pamięć podręczna
  • Cache Rule 2: dopasowanie parametrów preview WP (?p= lub preview_id=) → Bypass pamięć podręczna
  • Cache Rule 3: ścieżka /wp-content/uploads/* → Edge TTL 1 miesiąc, browser TTL 1 tydzień
  • Cache Rule 4: domena główna i NIE zaczyna się od /wp- → Edge TTL 5 min, browser TTL 0 (anonymous HTML)

Cache key plus query string handling: domyślnie Cloudflare uwzględnia wszystkie query strings, czyli URL z różnymi UTM parametrami są cache’owany osobno (bad pamięć podręczna hit ratio). Fix: Cache Rule plus „własny pamięć podręczna key” → ignore query strings except whitelisted (np. tylko ?page=, ?lang=, ?ref= jeśli używasz).

APO (Automatic Platform Optimization)

APO to dodatek $5/miesiąc dla stron WordPress na free i Pro plan. Funkcjonalność: edge HTML pamięć podręczna (zwykle wymaga Pro plus Cache Rules), automatic image optimization, mobile-specific optimization. Opłacalne dla high-traffic blog/news strona (10k+ daily visitors).

  • APO opłaca się dla: high-traffic content strona (blog, news, magazine) z 10k+ daily uniques
  • APO overkill: small B2B strona z LSCache plus Cloudflare base config już dający 99/100 Lighthouse
  • APO conflict: not compatible z LSCache crawler-based preload (LSCache i tak generuje edge pamięć podręczna równolegle)
  • Alternative: Cloudflare Pro plus Cache Reserve plus manual Cache Rules (więcej kontroli, podobny effect)

Hanse Studio domyślny standard: nie używamy APO. Kombinacja LSCache 7.8 page pamięć podręczna plus Cloudflare CDN plus Cache Rules dla anonymous HTML edge pamięć podręczna daje ekwiwalentne benefits bez recurring cost. Realny test: nasze własne studio bez APO osiąga 99/100 mobile, Cloudflare Cache Reserve mitigates cold pamięć podręczna po purge.

Cloudflare plus LSCache: jak ich nie zatruć

Combo Cloudflare plus LSCache to potężny zestaw technologii, ale wymaga ostrożności w purge sequence. Default behavior bez integration: po edit posta w WP, LSCache purge za post, ale Cloudflare nadal serwuje stary content z edge pamięć podręczna 5-60 minut. Effect: klient widzi update na origin, ale visitors widzą stary content. Frustracja gwarantowana.

  • Step 1: LiteSpeed Cache plugin → Cloudflare API integration tab
  • Step 2: Wprowadź Cloudflare API token (zone-level Edit permissions) plus Zone ID
  • Step 3: Enable „Purge Cloudflare pamięć podręczna on LiteSpeed purge”
  • Step 4: Test: edit post → LSCache auto purge → Cloudflare API call automatic → verify nowy content w incognito po 10-15 sekund

Cache layering w prawidłowym konfiguracja: LSCache page pamięć podręczna (origin) → Cloudflare edge pamięć podręczna (300+ POP) → browser pamięć podręczna. Każdy layer ma własny TTL. Purge sequence: WP edit → LSCache purge (instant, origin) → Cloudflare purge (5-15 sekund via API) → browser pamięć podręczna nadal może być stale (do TTL expiry). Dla critical updates, dopisanie pamięć podręcznabuster query param (?v=123) w URL forced fresh load.

Częsty błąd: pamięć podręczna HTML edge dla logged-in users. Cloudflare nie powinien cachować responses gdy user logged in (różny content za user). Cache Rule: jeśli cookie zawiera wordpress_logged_in_ → Bypass pamięć podręczna. Konfiguracja LSCache plugin obsługuje to natywnie (page pamięć podręczna disable dla logged-in), Cloudflare wymaga manualnej reguły.

Workers, R2, Pages: kiedy to się opłaca

Cloudflare ma rozszerzone usługi beyond DNS plus CDN, ale dla typowego WP strona większość jest overkill. Quick drzewo decyzyjne:

  • Workers: edge serverless function. Rzadko dla typowych WP, realne zastosowania: własny redirect logic, A/B test routing, security headers injection. Dla Hanse Studio rzadko warte konfiguracja overhead
  • R2: S3-compatible object storage, super cheap (0.015 USD/GB/miesiąc, no egress fees). Opłacalne dla offstrona backupów klienta lub bulk media library jeśli klient ma 100+ GB uploads
  • Pages: static strona hosting (Astro, Hugo, Next.js export). NIE dla WP, ale opłacalne dla satellite static stronas (np. landing page lub mini-app)
  • Stream: video CDN. Overkill dla typowego WP strona, opłacalne dla heavy video content (typowo drone videography studio rodzaj klientów)

Realne wykorzystanie u nas: 1 klient (z branży hospitality) używa R2 dla bulk media library (300 GB photos plus videos). Reszta klientów na Hetzner storage plus Cloudflare CDN front. Workers eksperymentalnie testowane dla klienta z branży developerskiej dla własny geo-routing (PL visitors → /pl/, DE visitors → /de/), ale finalnie zrealizowane przez standard Polylang plus Cloudflare Cache Rules.

Bezpieczeństwo: WAF plus bot protection

Cloudflare security layer dodaje 3 główne komponenty: WAF Managed Rules (Pro plan), Super Bot Fight Mode, Rate Limiting Rules. Wszystkie na poziomie edge, czyli atakujący nigdy nie dotyka WP origin.

  • WAF Managed Rules (Pro plan, 20 EUR/miesiąc): blokuje OWASP Top 10 attacks (SQL injection, XSS, CSRF), regularnie updated by Cloudflare security team
  • Super Bot Fight Mode (Pro plan): blokuje known bad bots (credential stuffing networks, scrapers), allows good bots (Googlebot, Bing)
  • Rate Limiting: 5 failed login attempts z jednego IP za minute → block 1 hour
  • Geofencing: klient regionalny (PL B2B) może blokować traffic z high-risk geographies (Russia, North Korea)
  • Cloudflare Analytics: real-time dashboard threats, top attack patterns, blocked IPs

Hanse Studio domyślny standard dla klientów Pro plan: WAF Managed Rules enabled, Super Bot Fight Mode „Bot Fight Mode” (free option for Pro), Rate Limiting Rule dla /wp-login.php (5 attempts/minute z jednego IP → block 1h). Effect: zero brute force attacks reaching WP origin w 6 miesięcy (realna metryka z naszego studia).

Dla głębszego zrozumienia Cloudflare features rekomendujemy: oficjalna Cloudflare pamięć podręczna documentation plus Cloudflare blog dla bieżących produkt updates plus security advisories.

Warto podkreślić: Cloudflare nie jest zamiennikiem dla baseline hosting plus baseline security. Cloudflare bez Lighthouse 99/100 fundamentów (Astra theme plus motyw potomny plus LSCache plus image optymalizacja) daje 5-10 punktów Performance ale nie magic 100. Cloudflare bez security utwardzanie zabezpieczeń pluginów (Wordfence, 2FA, strong passwords) zostawia origin server vulnerable po atakach które omijają edge (file upload exploits, plugin CVE które już są w trafficu pass-through). Pełen zestaw technologii to: hosting baseline plus theme plus plugin discipline plus Cloudflare. Każdy layer adresuje inny attack surface.

FAQ

Cloudflare Free vs Pro 20 USD/miesiąc: co wybrać dla MŚP B2B?

Darmowy plan wystarczy dla 95 procent MŚP B2B przypadków. Czynniki decyzyjne dla przejścia na Pro: 1) WAF Managed Rules potrzebne (typowo klient z wymaganiami zgodności lub po incydencie), 2) Image Resizing (rzadko się opłaca, LSCache i tak konwertuje), 3) Page Rules limit 3 → 25 (rzadko ograniczające), 4) zaawansowana ochrona przed botami (Super Bot Fight Mode). Hanse Studio: 2 z 4 klientów na Pro (klient z branży developerskiej, własne studio), reszta na Free.

Czy Cloudflare proxy ukrywa real IP serwera?

Tak, gdy domain proxied (orange cloud icon), wszystkie requests przechodzą przez Cloudflare edge, real origin IP nie jest publicznie widoczny. Caveat: jeśli wcześniej IP był publicznie zaindeksowany (np. przed Cloudflare deployment), atakujący może go znaleźć via Shodan lub Censys pamięć podręczna. Mitigation: change server IP (Hetzner deallocate plus reallocate) lub Cloudflare Authenticated Origin Pulls (additional layer wymagający Cloudflare cert dla wszystkich requests do origin).

Czy Cloudflare break LSCache, czy działają razem?

Działają razem z minimalną konfiguracją. Wymagana integracja: LSCache plugin Cloudflare tab plus API token plus enable auto-purge. Bez tego edge pamięć podręczna Cloudflare nie purge po WP edit (5-60 minut stale content). Common zestaw technologii: LSCache page pamięć podręczna (origin) plus Cloudflare CDN (edge) plus Cloudflare Cache Rules (edge HTML pamięć podręczna anonymous). Working w zestaw technologii: 100 ms TTFB, 0.5-0.8 s LCP dla cache’owany requests.

Czy Cloudflare a RODO/GDPR: gdzie są serwery?

Cloudflare jest GDPR compliant (DPA available signed via dashboard), ma EU serwery dla EU traffic. Opłaca się checking: Cloudflare Data Localization Suite (paid, $0.05/1M requests) wymusza EU-only data residency dla strict compliance. Dla typowego B2B Hanse Studio (Polska, Niemiec, Austrii i Szwajcarii klienci) domyślny standard Cloudflare bez DLS jest GDPR compliant, plus DPA podpisane z Cloudflare jako processor.

Kolejny krok: Cloudflare audyt twojego strona

Jeśli twój strona WordPress nie używa Cloudflare lub używa go z basic config (free plan, domyślny standard settings), Hanse Studio robi Cloudflare audyt plus optimization w ramach pakietu od 1500 PLN. Audyt obejmuje: SSL config plus Origin Cert install, Cache Rules optimal konfiguracja, WAF rules tuning, LSCache integration, security headers config. Wynik: typowo 5-10 punktów Lighthouse Performance plus 50-80 procent bandwidth offload do edge. Skontaktuj się w sprawie wyceny, odpowiadamy w 24 godziny w dni robocze.

§ Tagi cache CDN Cloudflare DDoS SSL WAF WordPress
Autor

Maciej Rostocki

Programista od frontu, zaplecza i automatyzacji. 10 lat WordPressa, aplikacji internetowych i API Claude w produkcji. Hanzeatyckie podejście do stron ze Szczecina. Pisze o tym, co zbudował i co poszło źle. → Skontaktuj się

§ Z biurka studia

Co miesiąc nowy artykuł, zero spamu.

Jedno studium przypadku albo techniczne omówienie. Bez tanich haczyków i bez tekstów typu „10 powodów”. Wypisz się jednym klikiem.

— Powiązane artykuły
Strony WWW

Wielojęzyczny WordPress: Polylang vs WPML w 2026

2026-03-09 · 11 min czytania Strony WWW

Migracja z Elementora na Gutenberg: instrukcja wdrożeniowa

2026-03-02 · 11 min czytania Strony WWW

Utwardzanie bezpieczeństwa WordPressa: 10 obowiązkowych kroków

2026-02-23 · 11 min czytania
Powrót do wszystkich wpisów
Przewijanie do góry