فعال‌سازی رایگان WAF و محافظت DDoS در Cloudflare: راهنمای عملی و گام به گام تنظیمات امنیتی Cloudflare

اگر همین حالا که در حال مطالعه این محتوا هستی، هنوز برای سایتت اقدام به استفاده از Cloudflare نکرده‌ای، باید بگم که یک فرصت بزرگ رو از دست دادی. امنیت و سرعت، دو بال پرواز سئو در دنیای امروز هستن و Cloudflare (حتی در پلن رایگان) معجزه‌ی هر دو رو به سایت شما هدیه می‌ده.

ما در بخش‌های قبلی، اهمیت WAF و DDoS را بررسی کردیم و حالا می‌خوایم قدم به قدم، به تخصصی‌ترین و کاربردی‌ترین تنظیمات امنیتی در پلن رایگان Cloudflare بپردازیم تا بتونی سایتت رو مثل یک متخصص واقعی ایمن کنی. اگر هنوز در نصب اولیه ابهام داری، می‌تونی از راهنمای گام به گام نصب Cloudflare کمک بگیری، اما اگر نصب کردی، بیا بریم سراغ بخش‌های حیاتی این فایروال.

جدول کاربردی (بتنظیمات امنیتی Cloudflare)

جدول مقایسه قابلیت‌های امنیتی Cloudflare Free و Pro (دیدگاه CRO و سئو)

مقدمه‌ای بر Cloudflare و ضرورت استفاده از لایه‌های تنظیمات امنیتی Cloudflare رایگان

Cloudflare نه فقط یک ابزار، بلکه یک لازمه برای سایت‌های جدی امروزی است. چه یک وبلاگ ساده داشته باشید و چه یک فروشگاه بزرگ، استفاده از سرویس‌هایی مثل Cloudflare (حتی در پلن رایگان) دیگر یک انتخاب لوکس نیست، بلکه یک ضرورت برای افزایش سرعت، پایداری و امنیت سایت شما محسوب می‌شود. در دنیای سئو، گوگل هر روز بیشتر بر فاکتورهایی مثل سرعت بارگذاری (LCP) و امنیت (HTTPS) تمرکز می‌کند و Cloudflare مستقیماً روی بهبود این فاکتورها تأثیر می‌گذارد.

Cloudflare چیست؟ آشنایی با مفاهیم CDN و Proxy [Entity: Cloudflare]

Cloudflare یک شرکت زیرساخت وب جهانی است که خدمات متنوعی را برای بهبود امنیت، عملکرد و پایداری وب‌سایت‌ها ارائه می‌دهد. اما اگر بخواهیم در سطح فنی و به زبان ساده به آن نگاه کنیم، Cloudflare اساساً به عنوان یک پراکسی معکوس (Reverse Proxy) و یک شبکه توزیع محتوا (CDN) عمل می‌کند.

• شبکه توزیع محتوا (CDN): CDN مجموعه‌ای از سرورها است که در نقاط جغرافیایی مختلف در سراسر جهان توزیع شده‌اند. وظیفه Cloudflare در این بخش، ذخیره‌سازی (Cache) نسخه‌ای از محتوای استاتیک سایت شما (مثل تصاویر، فایل‌های CSS و JS) روی نزدیک‌ترین سرور به کاربر است. این کار به طور چشمگیری فاصله جغرافیایی داده‌ها و زمان پاسخگویی (Latency) را کاهش داده و سرعت بارگذاری سایت را بهبود می‌بخشد³³³³³.
  • بینش فنی: یکی از دلایل اصلی بهبود LCP (بزرگ‌ترین رنگ محتوایی) در Core Web Vitals، نزدیک شدن CDN به کاربر نهایی است.
• پراکسی معکوس (Reverse Proxy): وقتی شما از Cloudflare استفاده می‌کنید، ترافیک ابتدا به سرورهای Cloudflare هدایت می‌شود و سپس به سرور اصلی شما می‌رسد. به عبارت دیگر، Cloudflare بین کاربر و سرور اصلی شما قرار می‌گیرد و آدرس IP سرور اصلی شما را مخفی می‌کند. این عمل، لایه‌ای حیاتی از امنیت را فراهم می‌کند، چرا که حملات سایبری مستقیماً به سمت زیرساخت اصلی شما نمی‌آیند.
  • نتیجه‌محور: این قابلیت در واقع دروازه‌بان ترافیک شماست و قبل از هر چیزی، ترافیک مخرب را فیلتر می‌کند.

تفاوت WAF و محافظت DDoS: کدام یک برای کسب و کار شما حیاتی‌تر است؟ [Semantic: WAF, DDoS]

هر دو ابزارهای امنیتی مهمی هستند، اما در لایه‌های متفاوتی از یک حمله سایبری عمل می‌کنند. درک این تفاوت به شما کمک می‌کند تا امنیت سایت خود را بهتر مدیریت کنید:

نکته حیاتی: اگرچه محافظت DDoS در طرح رایگان Cloudflare بسیار قدرتمند است و حیات سایت شما را حفظ می‌کند، اما WAF در طرح‌های پولی کامل‌تر است و از هسته کدنویسی سایت در برابر هکرهای هدفمند محافظت می‌کند. برای یک کسب و کار، هر دو مهم هستند، اما اگر سایت شما مورد حملات شدید DDoS قرار می‌گیرد (مثلاً در ایام اوج ترافیک) یا رقیب می‌خواهد شما را از دسترس خارج کند، قابلیت DDoS Protection Cloudflare، نجات‌دهنده شماست.

بررسی طرح‌های رایگان (Free Plan) و محدودیت‌های امنیتی آن‌ها

طرح رایگان Cloudflare یک نقطه شروع عالی و حتی ضروری است. این طرح خدمات بسیار ارزشمندی را ارائه می‌دهد که برای بسیاری از کسب و کارهای کوچک و متوسط کافی است، اما در بخش امنیتی دارای محدودیت‌هایی است که باید از آن‌ها آگاه باشید.

• چه چیزی در اختیار دارید؟
  • CDN پایه: توزیع محتوای استاتیک شما روی سرورهای جهانی Cloudflare.
  • DDoS Protection (محافظت در برابر حملات رد سرویس): یکی از قوی‌ترین محافظت‌های DDoS در صنعت، که اغلب ترافیک مخرب را قبل از رسیدن به سرور شما فیلتر می‌کند.
  • SSL رایگان: گواهی SSL/TLS برای امن کردن ارتباط (HTTPS) که یک فاکتور رتبه‌بندی مهم در سئوی فنی است.
• محدودیت‌های امنیتی مهم در طرح رایگان:
  • محدودیت WAF: در طرح رایگان، شما به فایروال کامل برنامه‌های وب (WAF) دسترسی ندارید. WAF در طرح‌های Pro و بالاتر فعال می‌شود. این یعنی محافظت کمتری در برابر آسیب‌پذیری‌های سطح برنامه دارید⁹.
  • عدم دسترسی به Bot Management پیشرفته: Cloudflare ربات‌های مخرب را در سطح پایه مسدود می‌کند، اما برای شناسایی ربات‌های پیچیده‌تر و هوشمند (مثل ربات‌های خراشنده محتوا یا حملات Credential Stuffing) به ابزارهای پیشرفته‌ای نیاز دارید که در طرح‌های پولی ارائه می‌شوند.
  • عدم پشتیبانی فنی (Support): در طرح رایگان، پشتیبانی فنی توسط Cloudflare بسیار محدود است و شما بیشتر باید به منابع آموزشی و انجمن‌ها (Community) متکی باشید.

نتیجه‌گیری عملی: برای یک سایت کوچک یا متوسط که تازه کار خود را شروع کرده، طرح رایگان Cloudflare بیشترین ارزش افزوده را در مقایسه با سایر نتایج جستجو ارائه می‌دهد¹⁰. شما با یک کلیک، امنیت پایه DDoS، بهبود سرعت CDN و گواهی SSL را به دست می‌آورید. با این حال، با رشد کسب و کار و حساس‌تر شدن داده‌ها، ضروری است که برای تکمیل لایه‌های امنیتی، به فکر ارتقا به طرح‌های بالاتر باشید.

راهنمای گام به گام فعال‌سازی WAF (فایروال برنامه وب) رایگان

فعال‌سازی فایروال برنامه وب (WAF) در Cloudflare، حتی در طرح رایگان، لایه‌های امنیتی مهمی را به سایت شما اضافه می‌کند. در پلن رایگان، ما بیشتر بر روی قوانین سفارشی (Custom Rules) و استفاده از قابلیت‌های موجود تمرکز می‌کنیم.

ورود به پنل کاربری و مسیر یابی بخش Security

برای شروع، شما نیاز به دسترسی به پنل Cloudflare و انتخاب دامنه مورد نظر دارید:

1. ورود به پنل: ابتدا وارد حساب کاربری Cloudflare خود شوید.
2. انتخاب دامنه: دامنه‌ای که می‌خواهید WAF را برای آن فعال کنید، از لیست انتخاب کنید.
3. پیمایش به بخش Security: در نوار کناری سمت چپ، گزینه Security را پیدا کرده و روی آن کلیک کنید .
4. دسترسی به WAF: در زیر منوی Security، روی WAF (Web Application Firewall) کلیک کنید. این بخش شامل دو زیرمجموعه اصلی است که ما با آن‌ها کار خواهیم کرد: Custom Rules و Managed Rules.

ایجاد اولین قانون WAF (Custom Rule): پیشگیری از حملات رایج

در طرح رایگان، شما می‌توانید تا 5 قانون سفارشی (Custom Rules) ایجاد کنید. این قوانین، انعطاف‌پذیری فوق‌العاده‌ای برای مقابله با ترافیک‌های مخرب و ربات‌ها، قبل از رسیدن به سرور شما فراهم می‌کنند.

فرض کنید می‌خواهیم حملات رایج تزریق SQL (SQL Injection) را که اغلب از طریق پارامترهای آدرس URL یا بدنه POST صورت می‌گیرند، تا حدی مسدود کنیم:

1. کلیک بر روی Custom Rules: در بخش WAF، روی تب Custom Rules کلیک کرده و سپس دکمه Create rule را بزنید.
2. نام‌گذاری قانون: یک نام گویا برای قانون خود انتخاب کنید (مثلاً: Block-Basic-SQLi).
3. تنظیم شرط (Condition): شرایطی که باعث فعال شدن این قانون می‌شوند را مشخص کنید. برای حملات تزریق SQL، معمولاً از عباراتی مثل SELECT, UNION, OR 1=1 استفاده می‌شود. شرط را به شکل زیر تنظیم کنید:
   • Field: URI Full
   • Operator: contains
   • Value: SELECT
   • افزودن شرط دوم (OR): برای همین قانون، روی And یا Or کلیک کرده و شرط‌های زیر را اضافه کنید:
     • Field: URI Full
     • Operator: contains
     • Value: UNION
4. تنظیم اقدام (Action): عملی که Cloudflare باید انجام دهد را انتخاب کنید:
   • Choose action: Block (مسدود کردن درخواست)
5. ذخیره قانون: قانون را ذخیره و فعال کنید.

نکته تخصصی: این یک روش ساده است. هکرها از کدهای رمزشده استفاده می‌کنند، اما همین گام ساده، ترافیک ربات‌ها و اسکنرهای مبتدی را تا حد زیادی از سایت دور می‌کند و به پایداری سرور شما کمک می‌کند.

تنظیمات Managed Ruleset: چگونه قواعد گوگل را فعال کنیم؟

Managed Ruleset مجموعه‌ای از قوانین از پیش تعریف شده توسط Cloudflare هستند که بر اساس آخرین تهدیدات جهانی به‌روزرسانی می‌شوند. در پلن رایگان، شما فقط به یک بخش محدود از این قواعد دسترسی دارید.

1. کلیک بر روی Managed Rules: در بخش WAF، به تب Managed Rules بروید.
2. Cloudflare Managed Ruleset: در اینجا، بخش مربوط به Cloudflare Managed Ruleset را پیدا خواهید کرد.
3. فعال‌سازی: مطمئن شوید که وضعیت این مجموعه قوانین روی On یا فعال قرار گرفته است.
   • تنظیم حساسیت (Sensitivity): شما می‌توانید سطح حساسیت قواعد را بین Low, Medium, High تنظیم کنید.
     • توصیه : برای شروع، آن را روی Medium قرار دهید. حساسیت بالا (High) ممکن است باعث مسدود شدن برخی از کاربران یا ربات‌های جستجوی مشروع (مثل ربات‌های خاص گوگل) شود. حساسیت متوسط، تعادل خوبی بین امنیت و تجربه کاربری (UX) ایجاد می‌کند.
4. بررسی گروه‌های قواعد (Rule Groups): Cloudflare قوانین را در گروه‌های مختلفی (مثل SQLi، XSS، PHP) دسته‌بندی کرده است. در پلن رایگان، شما نمی‌توانید قوانین خاصی را در داخل گروه‌ها غیرفعال کنید، اما می‌توانید بررسی کنید که آیا این گروه‌ها فعال هستند یا خیر.

تست و اعتبارسنجی WAF: اطمینان از عملکرد صحیح فایروال [Trustworthiness]

پس از فعال‌سازی قوانین، باید مطمئن شوید که فایروال شما بدون ایجاد مشکل برای کاربران عادی، وظایفش را به درستی انجام می‌دهد. این مرحله برای ایجاد اعتماد به نفس فنی شما حیاتی است:

1. تست قانون سفارشی (Custom Rule):
   • تلاش کنید با استفاده از آدرسی که عمداً حاوی یکی از کلمات کلیدی مسدود شده در قانون سفارشی است (مثلاً yourdomain.com/?query=SELECT), به سایت دسترسی پیدا کنید.
   • اگر قانون شما درست کار کند، باید صفحه مسدودیت Cloudflare (Cloudflare Block Page) را مشاهده کنید.
2. بررسی لاگ‌های WAF:
   • به بخش Security > Events بروید .
   • در این بخش، شما لاگ تمام درخواست‌هایی که توسط WAF مسدود یا بررسی شده‌اند را مشاهده خواهید کرد. این لاگ‌ها به شما نشان می‌دهند که:
     • کدام قانون (Custom یا Managed) فعال شده است.
     • نوع حمله یا تهدید چه بوده است.
     • IP درخواست‌کننده.
   • بررسی منظم این لاگ‌ها به شما کمک می‌کند تا الگوهای حمله به سایت خود را شناسایی کرده و در صورت لزوم، قوانین سفارشی قوی‌تری بنویسید.

با طی کردن این مراحل، شما یک لایه امنیتی قدرتمند و فعال ایجاد کرده‌اید که از هدر رفتن منابع سرور جلوگیری می‌کند و به بهبود اعتبار و مرجعیت سایت (Site Authority) شما نزد موتورهای جستجو کمک می‌کند.

تخصصی‌ترین تنظیمات برای محافظت DDoS با Cloudflare Free

محافظت DDoS در Cloudflare Free، با محوریت قابلیت‌های Rate Limiting و تنظیم سطح امنیتی کار می‌کنه. ما از این ابزارها برای دفع حملات لایه ۷ (Application Layer) که هدفشون اشباع کردن منابع سرور (مثل حملات ورود به سیستم یا پر کردن فرم‌ها) است، استفاده می‌کنیم.

تنظیمات پیشرفته بخش “Under Attack Mode”: کی و چگونه آن را فعال کنیم؟

“I’m Under Attack Mode” (حالت “من زیر حمله‌ام”)، قوی‌ترین لایه دفاعی Cloudflare در طرح رایگان است و نباید همیشه فعال بماند.

1. هدف و عملکرد:
   • وقتی این حالت فعال می‌شود، Cloudflare یک چالش جاوا اسکریپت (JavaScript Challenge) را به تمام بازدیدکنندگان جدید سایت شما تحمیل می‌کند .
   • این چالش حدود ۵ ثانیه طول می‌کشد و بازدیدکننده را مجبور می‌کند تا در مرورگر خود، یک سری محاسبات را انجام دهد.
   • نتیجه‌: ربات‌ها و ابزارهای حمله DDoS (که اغلب مرورگر واقعی ندارند) نمی‌توانند این چالش را حل کنند و مسدود می‌شوند، اما کاربران واقعی می‌توانند. این کار به‌شدت از حملات لایه ۷ جلوگیری می‌کند.
2. زمان فعال‌سازی (Key Experience):
   • فقط در شرایط اضطراری: این حالت باعث کاهش محسوس سرعت ورود کاربران (افزایش زمان تأخیر یا Latency) می‌شود و تجربه کاربری (UX) را به طور موقت کاهش می‌دهد.
   • شاخص‌های فعال‌سازی: آن را تنها زمانی فعال کنید که یکی از این موارد را مشاهده می‌کنید:
     • زمان پاسخگویی سرور (TTFB) به‌طور ناگهانی و شدید افزایش یافته است.
     • منابع سرور (CPU/RAM) به‌طور غیرعادی بالا رفته‌اند.
     • تعداد بازدیدکنندگان در لاگ‌های Cloudflare به‌طور مشکوکی (با نرخ غیرطبیعی) افزایش یافته است.
3. نحوه فعال‌سازی:
   • در پنل Cloudflare، به بخش Security بروید.
   • در بخش DDoS، زیر بخش Settings، گزینه Security Level را روی I’m Under Attack! قرار دهید.

بهینه‌سازی Rule-Based Rate Limiting برای دفع حملات لایه 7 [Expertise]

Rate Limiting (محدود کردن نرخ درخواست) یکی از تخصصی‌ترین و مؤثرترین روش‌ها برای مقابله با حملات هدفمند به نقاط خاصی از سایت (مثل صفحات ورود یا APIها) است که متأسفانه در پلن رایگان Cloudflare به صورت پایه و محدود ارائه می‌شود.

اگرچه امکان تعریف Rule-Based Rate Limiting در پلن رایگان وجود ندارد، اما می‌توانیم از قابلیت Custom Rules که در بخش قبل یاد گرفتیم، برای شبیه‌سازی یک Rate Limiter ساده استفاده کنیم:

• هدف: محدود کردن دسترسی به صفحات ورود (/wp-admin, /login) یا فرم‌های تماس (Contact Forms) که هدف اصلی حملات Brute Force یا Spam هستند.
• روش (با Custom Rules):
  1. قانون جدیدی با نام Login-Page-Defense تعریف کنید.
  2. شرط: (URI Path contains “/wp-admin/”) AND (Request Method equals “POST”)
     • این قانون درخواست‌هایی را هدف می‌گیرد که تلاش می‌کنند اطلاعاتی را به صفحه ورود ارسال کنند.
  3. اقدام: به جای Block از Managed Challenge استفاده کنید.
• نتیجه: هر کسی که بیش از حد معمول تلاش کند تا به صفحه ورود شما به صورت POST درخواست ارسال کند، باید ابتدا چالش Captcha یا JavaScript را حل کند. این کار از حملات Brute Force (تلاش‌های مکرر برای حدس زدن رمز عبور) جلوگیری می‌کند و منابع سرور را حفظ می‌کند.

استفاده از ابزار “Security Level” و اهمیت انتخاب سطح مناسب (High vs. I’m Under Attack)

Cloudflare پنج سطح امنیتی اصلی دارد که تأثیر آن‌ها بر تجربه کاربری، متفاوت است:

1. Essentially Off: هیچگونه چالش امنیتی وجود ندارد.
2. Low: فقط ترافیک‌هایی که بدترین سابقه حملات را دارند، چالش می‌شوند.
3. Medium: ترافیکی که سابقه خطرناک دارد، چالش می‌شود. (توصیه برای حالت عادی)
4. High: ترافیکی که سابقه مشکوک دارد (حتی کمی) چالش می‌شود.
5. I’m Under Attack!: قوی‌ترین حالت (چالش جاوا اسکریپت برای همه).

چگونه حملات Bot و ترافیک مخرب را شناسایی و بلاک کنیم؟

در پلن رایگان، ما برای شناسایی ربات‌ها به لاگ‌های Security Events و قواعد از پیش تعریف‌شده Cloudflare متکی هستیم:

1. بررسی Security Events (تشخیص الگو):
   • به بخش Security > Events بروید.
   • در این لاگ‌ها به دنبال الگوهای غیرعادی باشید:
     • نرخ درخواست‌های بالا (High Request Rate) از یک یا چند آدرس IP مشخص.
     • تلاش‌های مکرر برای دسترسی به آدرس‌های غیر موجود (404ها) یا نقاط حساس سایت.
     • ترافیک با User-Agentهای ناشناس یا مشکوک.
2. ایجاد Rule برای مسدودسازی IP:
   • اگر یک آدرس IP مشخص بارها و بارها حملاتی را انجام می‌دهد، می‌توانید آن را به صورت دستی مسدود کنید.
   • به بخش Security > WAF > Tools بروید.
   • در قسمت IP Access Rules، آدرس IP مشکوک را وارد کرده و اقدام Block را انتخاب کنید.
3. فعال‌سازی Bot Fight Mode:
   • Cloudflare قابلیتی به نام Bot Fight Mode دارد که اغلب در پلن رایگان نیز فعال است یا می‌توان آن را فعال کرد.
   • این قابلیت، ربات‌های شناخته‌شده مخرب را مسدود می‌کند و به ربات‌های خوب (مثل گوگل) اجازه دسترسی می‌دهد.
   • اگرچه این ابزار در پلن‌های پولی پیشرفته‌تر است، اما فعال بودن آن در تنظیمات پایه، حداقل محافظت را در برابر ربات‌های ساده و اسکنرها فراهم می‌کند.

تجربه‌ی عملی: اشتباهات رایج در تنظیمات امنیتی Cloudflare Free

Cloudflare با تمام مزایایی که داره، اگر به درستی تنظیم نشه، می‌تونه باعث افت سرعت، مسدود شدن ربات‌های موتور جستجو یا از کار افتادن بخش‌هایی از سایت شما بشه. مدیریت این تنظیمات نیاز به تجربه مستقیم (Experience) داره.

تأثیر WAF بر سرعت سایت: چگونه بدون افت سرعت امنیت را حفظ کنیم؟ [Experience]

این یک باور غلط و رایج است که فعال‌سازی WAF لزوماً باعث کاهش سرعت می‌شود. واقعیت این است که WAF قبل از سرور شما عمل می‌کند و عملاً با دفع ترافیک مخرب، بار روی سرور اصلی شما را کاهش می‌دهد. اما تأثیر WAF بر سرعت، بیشتر به نحوه تنظیم آن در پلن Free برمی‌گردد:

1. اشتباه رایج: فعال کردن Under Attack Mode برای مدت طولانی.
   • تجربه عملی: فعال ماندن این حالت، یک چالش ۵ ثانیه‌ای جاوا اسکریپت به هر کاربر جدید تحمیل می‌کند. این کار به وضوح Latency (تأخیر) ورودی کاربر را افزایش می‌دهد و در تست‌های سرعت (مثل GTmetrix) امتیاز First Contentful Paint یا FCP را کاهش می‌دهد.
   • راهکار :
     • فقط در مواقع لزوم: حالت I’m Under Attack! را فقط هنگام حمله فعال کنید.
     • استفاده از Medium: در حالت عادی، Security Level را روی Medium نگه دارید تا فقط ترافیک‌هایی که سابقه مشخص و خطرناک دارند، چالش شوند.
2. اشتباه رایج: تعریف تعداد زیاد و غیرضروری از Custom Rules.
   • تجربه عملی: هر Custom Rule جدید، یک مرحله پردازشی به فایروال اضافه می‌کند. اگرچه Cloudflare سریع است، اما قوانین زیاد (مخصوصاً اگر شرایط پیچیده‌ای داشته باشند) می‌توانند زمان پاسخگویی WAF را کمی افزایش دهند.
   • راهکار: قوانین سفارشی را کاملاً هدفمند (مثلاً فقط برای صفحات ورود یا بخش‌های حساس) بنویسید و از تعریف قوانین عمومی و گسترده پرهیز کنید.

خطای رایج “Bypassing WAF”: دلایل و راهکارهای جلوگیری

“Bypassing WAF” یا دور زدن فایروال زمانی اتفاق می‌افتد که مهاجم بتواند مستقیماً به آدرس IP اصلی سرور شما دسترسی پیدا کند، بدون اینکه ترافیکش از Cloudflare عبور کند. در این حالت، تمام لایه‌های امنیتی Cloudflare عملاً بی‌اثر می‌شوند.

1. دلیل اصلی: لو رفتن آدرس IP سرور اصلی (Origin IP Address).
   • چگونه اتفاق می‌افتد؟
     • رکوردهای DNS قدیمی: اگر رکوردهایی مثل mail.yourdomain.com یا ftp.yourdomain.com را روی سرور اصلی خود تنظیم کرده‌اید و آیکون ابری Cloudflare کنار آن‌ها خاکستری است (یعنی پروکسی نیستند)، مهاجمان می‌توانند از این طریق IP اصلی شما را کشف کنند.
     • لاگ‌های سرور یا ایمیل: اطلاعاتی از IP سرور اصلی شما ممکن است به صورت سهوی در برخی لاگ‌های عمومی یا سرتیتر ایمیل‌ها باقی بماند.
2. راهکارهای جلوگیری (Trustworthiness):
   • حساسیت بر روی رکوردهای DNS: تمام رکوردهای A، AAAA و CNAME که مستقیماً به سایت یا زیردامنه‌های شما اشاره دارند را در حالت Proxy (ابری نارنجی Cloudflare) نگه دارید. هر رکوردی که آیکون ابری آن خاکستری است، IP واقعی سرور شما را افشا می‌کند.
   • استفاده از قابلیت Authenticated Origin Pulls (در پلن‌های پولی): این قابلیت تضمین می‌کند که فقط درخواست‌هایی که واقعاً از سمت Cloudflare می‌آیند، توسط سرور اصلی شما پذیرفته شوند (اگرچه در Free Plan در دسترس نیست، اما در ارتقاء حتماً باید مد نظر قرار گیرد).
   • محدود کردن دسترسی فایروال سرور (تنظیمات فایروال میزبان): در فایروال سرور اصلی خود، دسترسی به پورت‌های ۸۰ و ۴۴۳ را فقط به آدرس‌های IP متعلق به Cloudflare محدود کنید. این آدرس‌ها به صورت عمومی در وبسایت Cloudflare منتشر شده‌اند. این حرفه‌ای‌ترین گام برای تضمین عدم Bypassing است.

نکات تخصصی برای کاهش False Positive (بلاک شدن کاربران واقعی)

False Positive یا مسدود شدن یک کاربر یا ربات خوب (مثل ربات خزنده گوگل، یا یک کاربر عادی که مرورگر قدیمی دارد) یک مشکل جدی است که مستقیماً بر سئو و نرخ تبدیل (CRO) تأثیر می‌گذارد.

1. اشتباه رایج: مسدود کردن کامل User Agentهای خاص در Custom Rules.
   • تجربه عملی: بعضی User Agentها ممکن است شبیه ربات‌های مخرب باشند، اما مسدود کردن بدون دانش، می‌تواند جلوی ربات‌های موتور جستجو (مثل GoogleBot) یا ابزارهای مشروع (مثل ابزارهای مانیتورینگ) را بگیرد.
   • راهکار: به جای Block از Managed Challenge یا JS Challenge استفاده کنید. این کار به ربات‌های مشروع (که معمولاً چالش‌ها را می‌پذیرند) اجازه می‌دهد رد شوند، اما ربات‌های اسپم مسدود می‌شوند.
2. استفاده هوشمندانه از WAF Events:
   • تجربه عملی: اگر بعد از فعال‌سازی یک قانون جدید، نرخ Blocked در لاگ‌های Security Events افزایش پیدا کرد، احتمالاً قانون شما بیش از حد سخت‌گیرانه است.
   • راهکار: لاگ‌ها را بررسی کنید. اگر متوجه شدید IPها یا الگوهای ترافیکی مسدود شده، مربوط به کاربران واقعی یا ربات‌های موتور جستجوی مشروع هستند، تنظیمات را تغییر دهید:
     • اقدام قانون را از Block به Log (فقط ثبت در لاگ) یا Challenge تغییر دهید.
     • اگر از Managed Ruleset استفاده می‌کنید، سطح حساسیت را از High به Medium کاهش دهید.
3. تنظیمات Caching و Workerها (برای سئو):
   • نکته تخصصی: حتماً مطمئن شوید که آدرس‌های IP مربوط به ابزارهای خزنده و مانیتورینگ شما (اگر دارید) در لیست IP Access Rules در بخش Allow قرار داده شوند تا مطمئن شوید اطلاعات سئوی شما به‌طور دقیق رصد می‌شوند.

جمع‌بندی (تنظیمات امنیتی Cloudflare)

خب، دوست عزیزم، با بررسی سه بخش تخصصی Cloudflare Free، حالا دید جامع و عملیاتی پیدا کردی. همانطور که دیدی، Cloudflare در پلن رایگان خود، یک لایه دفاعی قوی در برابر حملات DDoS و تهدیدات عمومی فراهم می‌کنه که برای پایداری (Uptime) و اعتبار (Trustworthiness) سایت شما حیاتیه.

با استفاده هوشمندانه از ۵ Custom Rule موجود و تنظیم درست Security Level روی Medium یا High (نه دائم روی I’m Under Attack!) می‌تونی بهترین نتیجه رو بگیری. مهم‌ترین نکته‌ای که باید همیشه در ذهنت بمونه: هرگز اجازه نده IP سرور اصلیت لو بره تا WAF و لایه‌های امنیتی Cloudflare دور زده نشن. این عمل ساده، حرفه‌ای‌ترین گام امنیتی است. حالا وقتشه که با خیال راحت، بریم سراغ بهینه‌سازی سرعت!