Cloudflare DNS: Configuração especializada para segurança e desempenho

Por Que Cloudflare DNS é Indispensável em 2025

Se você tem um site, blog, loja online ou qualquer aplicação na internet, a forma como você gerencia seu DNS (Domain Name System) pode fazer diferença entre um site rápido e seguro ou um site vulnerável e lento.

Nos últimos 10 anos gerenciando mais de 200 sites através da Gerenciando Web, testei dezenas de provedores de DNS. E posso afirmar com dados reais: Cloudflare DNS é a melhor escolha para 99% dos projetos online.

Por quê? Três razões críticas:

• Velocidade: Resolução DNS em 10-15ms (média) vs 50-100ms de DNS tradicional
• Segurança: Bloqueia 99% dos ataques antes que cheguem no servidor
• Gratuito: Plano free oferece recursos que outras plataformas cobram $20-50/mês

Mas aqui está o problema: configurar Cloudflare DNS incorretamente pode derrubar seu site completamente. Vejo isso acontecer toda semana com clientes novos que tentaram configurar sozinhos.

Neste guia definitivo, vou te ensinar o processo completo e correto de configurar Cloudflare DNS, desde a criação da conta até regras avançadas de segurança que uso em produção. Não é teoria – é o que realmente funciona depois de 10+ anos trabalhando com servidores.

O Que é Cloudflare DNS (E Por Que Você Precisa Dele)

Antes de mergulhar na configuração, você precisa entender o que é DNS e por que Cloudflare revolucionou isso.

O Que é DNS (Explicação Simples)

DNS é como a “agenda telefônica” da internet. Quando você digita gerenciandoweb.com.br no navegador, o DNS traduz esse nome em um endereço IP (exemplo: 192.168.1.1) que os servidores entendem.

Sem DNS, você precisaria decorar sequências de números tipo 142.250.185.46 para acessar o Google. Impossível, né?

Como funciona na prática:

1. Você digita seusite.com no navegador
2. Navegador pergunta ao DNS: “Qual o IP de seusite.com?”
3. DNS responde: “O IP é 192.168.1.1”
4. Navegador acessa servidor naquele IP
5. Servidor entrega seu site
6. Site aparece na tela

Esse processo acontece em milissegundos. DNS rápido = site carrega rápido. DNS lento = usuário abandona.

O Que é Cloudflare DNS Especificamente

Cloudflare DNS é um serviço que gerencia os registros DNS do seu domínio através de uma rede global de servidores ultra-rápidos.

Quando você usa Cloudflare como provedor de DNS, você:

• Configura nameservers do Cloudflare na registradora do domínio
• Gerencia todos os registros DNS no painel Cloudflare
• Se beneficia da infraestrutura global deles (300+ datacenters)

Mas o grande diferencial do Cloudflare não é só velocidade. É o proxy reverso que eles oferecem gratuitamente.

DNS 1.1.1.1: O Que é Isso?

Você pode ter ouvido falar do DNS 1.1.1.1. É diferente do Cloudflare DNS para sites.

DNS 1.1.1.1: Serviço de DNS público que VOCÊ configura no SEU computador/celular para navegar mais rápido e com mais privacidade. Qualquer pessoa pode usar.

Cloudflare DNS: Serviço que gerencia o DNS do SEU DOMÍNIO para que visitantes acessem SEU SITE. É o que vamos configurar neste artigo.

São coisas diferentes com o mesmo provedor (Cloudflare).

Por Que Cloudflare DNS é Melhor Que DNS da Registradora

A maioria das pessoas registra domínio e deixa o DNS na própria registradora (Registro.br, NameCheap, HostGator, etc). Grande erro.

Problemas do DNS de registradora:

• Lento: Servidores DNS geralmente em 1-2 localizações apenas
• Sem proteção: Seu IP fica exposto publicamente (convite para ataques)
• Limitado: Configurações básicas, sem recursos avançados
• Instável: Quedas afetam acessibilidade do site

Vantagens do Cloudflare DNS:

• Rede global: 300+ datacenters em 100+ países
• Anycast routing: Usuário conecta no servidor mais próximo automaticamente
• Proxy reverso: Esconde IP real do servidor (segurança)
• DDoS protection: Absorve ataques de negação de serviço
• Firewall gratuito: Cria regras para bloquear bots maliciosos
• SSL grátis: Certificado entre Cloudflare e visitante
• Cache de borda: Conteúdo estático servido de servidores próximos

E tudo isso no plano gratuito. Zero custo.

Veja como escolher a melhor registradora para seu domínio: Guia Completo de Registro de Domínio

Como Criar Conta no Cloudflare (Passo 1)

Antes de configurar DNS, você precisa de uma conta Cloudflare.

Processo:

1. Acesse cloudflare.com
2. Clique em “Sign Up” (Inscrever-se)
3. Opção 1: Criar com email + senha
4. Opção 2: Continuar com Google (mais rápido)
5. Confirme email (se criou com email/senha)
6. Login no painel Cloudflare

Pronto. Conta criada. Agora vem a parte importante.

Vídeo completo mostrando configuração do zero em 3 registradoras diferentes.

Como Adicionar Domínio no Cloudflare

Com a conta criada, você vai adicionar seu domínio ao Cloudflare.

Passo a passo:

1. No painel Cloudflare, clique em “Add a Site” (Adicionar site)
2. Digite seu domínio (exemplo: seusite.com.br)
3. Clique em “Add Site”
4. Selecione plano Free (suficiente para 99% dos casos)
5. Clique em “Continue”

Opções de configuração inicial:

Cloudflare vai perguntar sobre bots de IA. Você pode:

• Bloquear bots de treinamento de IA: Impede ChatGPT, Google Bard, etc de usar seu conteúdo
• Não bloquear: Permite que IAs “aprendam” com seu conteúdo (pode gerar tráfego orgânico de IAs)

Minha recomendação: blogs/conteúdo = não bloquear (oportunidade de tráfego). Sites transacionais = bloquear.

Cloudflare vai fazer um scan automático dos registros DNS existentes no seu domínio. Ele tenta importar automaticamente.

ATENÇÃO CRÍTICA: Os registros importados NEM SEMPRE estão corretos. Vamos revisar manualmente.

Configurar Nameservers: Registro.br (Domínios .br)

Agora vem a parte técnica crucial. Você precisa configurar os nameservers na registradora do domínio.

O que são nameservers? São servidores que dizem “onde” está o DNS do seu domínio. Quando você configura nameservers do Cloudflare, você está dizendo: “A partir de agora, o DNS desse domínio é gerenciado pelo Cloudflare”.

Registro.br: Configuração Completa

Para domínios .com.br, .net.br, .org.br e outros .br, você usa Registro.br.

Passo a passo:

1. No painel Cloudflare, após adicionar domínio, você verá 2 nameservers:
   • Exemplo: alex.ns.cloudflare.com
   • Exemplo: maya.ns.cloudflare.com
2. Copie esses 2 nameservers (você vai precisar)
3. Acesse Registro.br
4. Faça login na sua conta
5. Clique no domínio que você quer configurar
6. Role até a seção “DNS” ou “Servidores de Nome”
7. Clique em “Alterar Servidores de DNS”
8. Cole o primeiro nameserver do Cloudflare
9. Cole o segundo nameserver do Cloudflare
10. Clique em “Salvar Alterações”
11. Confirme a alteração

Tempo de propagação: Geralmente 5-30 minutos no Registro.br. Pode levar até 24-48 horas em casos raros (se você trocou DNS recentemente).

Configurar Nameservers: NameCheap (Domínios Internacionais)

Para domínios .com, .net, .org, .io e outros internacionais comprados na NameCheap.

Passo a passo:

1. Acesse NameCheap
2. Login na conta
3. Vá em “Domain List” (Lista de domínios)
4. Clique em “Manage” (Gerenciar) no domínio desejado
5. Procure a seção “Nameservers”
6. Selecione “Custom DNS”
7. Cole o primeiro nameserver do Cloudflare
8. Cole o segundo nameserver do Cloudflare
9. Clique no ícone de “✓” para confirmar
10. Salve alterações

Tempo de propagação: 10-60 minutos na NameCheap. Geralmente muito rápido.

Configurar Nameservers: HostGator

HostGator é mais complicado porque mistura hospedagem + domínio. Muita gente tem domínio lá.

Passo a passo:

1. Login no painel HostGator
2. Vá em “Domínios”
3. Clique no domínio que quer configurar
4. Procure “Alterar Plataforma” ou “Nameservers”
5. Pode aparecer opção “Sem hospedagem, apenas domínio”
6. Ou “Outra plataforma de hospedagem”
7. Selecione essa opção
8. Cole os 2 nameservers do Cloudflare
9. Clique em “Configurar” ou “Salvar”

NOTA IMPORTANTE: HostGator às vezes demora a mostrar a opção correta. Se não encontrar, procure “DNS Settings” ou “Name Server Settings”.

Tempo de propagação: 30 minutos a 24 horas. HostGator é mais lento que as outras.

Criar Registros DNS no Cloudflare (A, AAAA, CNAME)

Depois que Cloudflare importou os registros (ou se é domínio novo), você precisa configurar os registros DNS corretamente.

Tipos de Registro DNS

Registro A (IPv4):

• Aponta domínio para endereço IPv4 do servidor
• Exemplo: seusite.com → 192.168.1.1
• É o registro mais importante

Registro AAAA (IPv6):

• Aponta domínio para endereço IPv6 do servidor
• Exemplo: seusite.com → 2001:db8::1
• Opcional mas recomendado

Registro CNAME (Alias):

• Cria alias/apelido para outro domínio
• Exemplo: www.seusite.com → seusite.com
• Usado para subdomínios

Como Criar Registro A

1. No painel Cloudflare, vá em “DNS”
2. Clique em “Add Record” (Adicionar registro)
3. Selecione tipo “A”
4. No campo “Name”, digite “@” (representa domínio raiz)
5. No campo “IPv4 address”, cole o IP do seu servidor
6. TTL: deixe “Auto”
7. Proxy status: DESLIGADO (nuvem cinza, não laranja)
8. Clique em “Save”

CRÍTICO: Proxy (nuvem laranja) deve ficar DESLIGADO até site estar 100% pronto. Explico isso em detalhes mais abaixo.

Como Criar Registro AAAA

Se seu servidor tem IPv6 (nem todos têm):

1. Clique em “Add Record”
2. Tipo: “AAAA”
3. Name: “@”
4. IPv6 address: cole o IPv6 do servidor
5. ATENÇÃO: Remova sufixo “/64” se vier. Só cole o IP puro
6. Proxy: DESLIGADO
7. Save

Como Criar Registro CNAME (www)

Para que www.seusite.com funcione:

1. Add Record
2. Tipo: “CNAME”
3. Name: “www”
4. Target: “@” (ou digite domínio completo: seusite.com)
5. Proxy: DESLIGADO
6. Save

Agora tanto seusite.com quanto www.seusite.com funcionam.

Verificar Propagação de DNS

Depois de configurar nameservers, você precisa aguardar a propagação de DNS.

O que é propagação? É o tempo que leva para servidores DNS do mundo inteiro “aprenderem” que seu domínio agora usa Cloudflare.

Como saber se propagou:

1. No painel Cloudflare, vá na home
2. Procure seu domínio na lista
3. Status “Active” (Ativo) = Propagou ✅
4. Status “Pending” (Pendente) = Aguardando ⏳

Ferramenta externa para testar:

Acesse DNSChecker.org

1. Digite seu domínio
2. Selecione tipo: A
3. Clique em “Search”
4. Se retornar IP correto em múltiplas localizações = Propagado

Tempos típicos:

• Registro.br: 5-30 minutos
• NameCheap: 10-60 minutos
• HostGator: 1-24 horas

Enquanto aguarda, NÃO ative o proxy ainda. Vamos fazer outras configurações antes.

Por Que NÃO Ativar Proxy Imediatamente (CRÍTICO)

Aqui está o erro que derruba 90% dos sites quando migram para Cloudflare.

Você viu aquela nuvem laranja ao lado dos registros DNS? Aquela nuvem é o proxy do Cloudflare.

Proxy LIGADO (nuvem laranja):

• Tráfego passa pelos servidores Cloudflare antes de chegar no seu servidor
• Cloudflare faz cache, otimização, proteção DDoS
• IP do servidor fica escondido (segurança)

Proxy DESLIGADO (nuvem cinza):

• Tráfego vai direto para seu servidor
• Cloudflare só gerencia DNS (sem cache, sem proteção)
• IP do servidor fica exposto publicamente

Por que NUNCA ativar proxy antes do site estar pronto:

1. SSL pode não estar configurado: Proxy exige SSL correto, senão dá erro
2. Cache pode quebrar instalação: Ao instalar WordPress, cache atrapalha
3. Configurações podem conflitar: Plugins, temas podem ter problemas com proxy

Ordem CORRETA (obrigatória):

1. Adiciona domínio no Cloudflare (proxy DESLIGADO)
2. Configura registros DNS
3. Instala site/WordPress
4. Instala SSL (Let’s Encrypt)
5. Testa que tudo funciona (https ativo, sem erros)
6. Configura SSL no Cloudflare (próximo passo)
7. Desabilita cache nativo Cloudflare
8. SÓ ENTÃO ativa proxy

Pula qualquer etapa = site cai.

Vídeo mostrando processo completo de ativação do proxy sem derrubar site.

Configurar SSL no Cloudflare (OBRIGATÓRIO Antes de Ativar Proxy)

Essa é a configuração mais importante. Errar aqui = site inacessível.

Pré-requisito: Seu servidor JÁ deve ter SSL instalado (Let’s Encrypt ou outro). Quando você acessa deve funcionar SEM erros.

Se ainda não tem SSL no servidor, instale primeiro. Tutoriais:

• WordOps com SSL automático
• CloudPanel com SSL 1-click

Configuração SSL no Cloudflare

1. No painel Cloudflare, clique em “SSL/TLS” no menu lateral
2. Clique em “Overview” (Visão geral)
3. Você verá 4 opções de modo SSL
4. Selecione “Full (strict)” = Completo (rigoroso)
5. Aguarde 1-2 minutos para aplicar

Por que “Full (strict)” é obrigatório:

Esse modo garante que:

• Conexão entre visitante e Cloudflare: criptografada (https)
• Conexão entre Cloudflare e seu servidor: criptografada (https)
• Certificado do servidor: validado como legítimo

NUNCA use outros modos:

• Flexible: Criptografa só até Cloudflare, servidor recebe http (inseguro)
• Full: Aceita certificados auto-assinados (não recomendado)
• Off: Sem SSL (péssimo para SEO e segurança)

Use Full (strict). Sempre.

Desabilitar Cache Nativo do Cloudflare (Recomendação Forte)

Cloudflare oferece cache nativo que teoricamente otimizaria performance. Na prática, causa mais problemas que resolve.

Por que desabilitar cache nativo:

• Cache teimoso: Não respeita sempre comandos de limpeza
• Conflito com plugins: WP Rocket, W3 Total Cache, etc ficam confusos
• Quebra funcionalidades: Carrinho de compras, área de membros podem bugar
• Desnecessário: Servidores modernos (WordOps, CloudPanel) já têm cache perfeito

Minha experiência: Em 200+ sites testados, cache nativo Cloudflare causou problemas em 40% deles. Desempenho melhorou <5% nos casos onde funcionou bem.

Não vale o risco.

Como desabilitar:

1. Cloudflare → “Caching” (menu lateral)
2. Clique em “Configuration”
3. Role até “Caching Level”
4. Selecione “No Query String” ou “Ignore Query String”
5. Role até “Browser Cache TTL”
6. Deixe em “Respect Existing Headers”
7. Role até o topo, clique em “Purge Everything” (Limpar tudo)
8. Confirme

Pronto. Cache nativo desabilitado.

Alternativa se você QUER usar cache: Instale plugin oficial do Cloudflare no WordPress e gerencie cache por lá. Funciona melhor que cache automático.

Como Ativar Proxy Cloudflare Corretamente

Agora sim, com SSL configurado e cache desabilitado, você pode ativar o proxy.

Passo a passo:

1. Vá em “DNS” no Cloudflare
2. Você verá seus registros (A, AAAA, CNAME)
3. Cada registro tem uma nuvem ao lado (cinza = desligado)
4. Clique na nuvem do registro “@” (domínio principal)
5. Nuvem fica laranja = Proxy ATIVADO
6. Clique na nuvem do registro “www”
7. Nuvem fica laranja = Proxy ATIVADO
8. Se tiver subdomínios, ative para eles também

Testar se funcionou:

1. Abra navegador (de preferência modo anônimo)
2. Acesse
3. Site deve carregar normalmente
4. Verifique se SSL está ativo (cadeado verde)
5. Teste www.seusite.com também

Se carregou normal = Proxy ativo com sucesso! ✅

O Que Mudou Após Ativar Proxy

IP do servidor agora está escondido:

Antes, se alguém fizesse ping seusite.com, retornava IP real do servidor.

Agora retorna IP do Cloudflare. Seu servidor fica protegido.

Teste você mesmo:

Acesse DNSChecker.org, digite seu domínio.

Resultado: IPs como 104.21.x.x ou 172.67.x.x (Cloudflare), não mais o IP do seu servidor.

Testar Site Com VPN (Múltiplas Regiões)

Cloudflare tem servidores em 100+ países. Você quer garantir que site funciona de qualquer lugar.

Como testar:

1. Use navegador Opera (VPN nativo grátis)
2. Ou instale extensão VPN (Windscribe, ProtonVPN)
3. Conecte VPN em região diferente (Europa, Ásia, América)
4. Acesse seu site
5. Verifique se carrega normal
6. Troque para outra região, teste novamente

Se funciona em 3-4 regiões diferentes = Cloudflare configurado corretamente globalmente.

Segurança WordPress: Por Que é Obrigatória em 2025

Até aqui, configuramos Cloudflare DNS e proxy. Seu site está mais rápido e IP está escondido. Mas falta o mais importante: segurança ativa.

Realidade brutal de 2025:

• 80%+ do tráfego web é bot (dados Cloudflare)
• 50%+ desses bots são maliciosos (scan de vulnerabilidades, força bruta)
• WordPress é alvo #1 (33% da web roda WordPress)
• Plugins populares têm brechas descobertas semanalmente

Se você NÃO configurar segurança no Cloudflare, é questão de tempo até:

• Receber ataque de força bruta (tentam descobrir senha admin)
• Receber ataque de scan (buscam plugins vulneráveis)
• Ter site invadido e receber aquela tela vermelha do Google

Solução: Usar Firewall do Cloudflare para bloquear 99% dos ataques ANTES que cheguem no servidor.

Vídeo completo sobre configuração de segurança WordPress no Cloudflare.

Regra 1: Liberar Bots Legítimos (Google, Bing, Redes Sociais)

Antes de bloquear tudo, você precisa criar uma regra que libera bots que você QUER no site.

Bots legítimos que você quer:

• Googlebot (rastreia site para SEO)
• Bingbot (idem para Bing)
• Facebookbot (quando alguém compartilha seu link)
• LinkedInbot (idem para LinkedIn)
• TwitterBot (idem para Twitter/X)
• PinterestBot, etc

Se você bloqueasse esses bots:

• Google não rastrearia site = Zero SEO
• Links compartilhados não teriam preview = Menos cliques

Como criar regra de liberação:

1. Cloudflare → “Security” (menu lateral)
2. Clique em “WAF” (Web Application Firewall)
3. Clique em “Create rule” (Criar regra)
4. Nome da regra: “Liberar Bots”
5. Em “Field” (Campo), selecione “Known Bots”
6. Deixe “equals” (igual a)
7. Deixe “On” (Ativado)
8. Em “Then” (Então), selecione “Skip” (Ignorar)
9. Marque opção “All remaining custom rules”
10. Clique em “Deploy” (Implantar)

Pronto. Bots conhecidos do Cloudflare (Google, Bing, redes sociais) passam direto, ignorando regras de bloqueio que criaremos a seguir.

Regra 2: Bloqueios Avançados (Países + Ferramentas Maliciosas)

Agora vem a regra mais poderosa. Essa é a que bloqueia 99% dos ataques.

O que ela faz:

• Bloqueia tráfego de países campeões em ataques (China, Rússia, etc)
• Bloqueia ferramentas conhecidas de hacker (sqlmap, nikto, etc)
• Bloqueia tentativas de SQL injection
• Bloqueia tentativas de XSS
• Protege áreas críticas do WordPress (wp-config, xmlrpc, etc)

Como funciona:

Ao invés de bloquear diretamente, usamos “JavaScript Challenge” (Desafio JS).

O que é JavaScript Challenge?

Cloudflare exibe página de verificação: “Verificando se você é humano, aguarde alguns segundos…”

Navegador real (pessoa) passa o desafio em 2-3 segundos.

Bot automatizado falha e não acessa o site.

Por que Desafio JS e não Bloqueio direto?

Porque pode ter casos legítimos:

• Brasileiro viajando na China acessando seu site
• VPN conectada em país bloqueado
• Falso positivo em alguma regra

Desafio JS permite que pessoas reais passem, mas barra automação.

Código Completo da Regra de Bloqueios

Copie e cole essa regra completa no Cloudflare. É a mesma que uso em produção em 200+ sites.

Como aplicar:

1. Cloudflare → Security → WAF
2. Create rule
3. Nome: “Bloqueios”
4. Clique em “Edit expression” (Editar expressão)
5. Cole o código abaixo
6. Em “Then”, selecione “JS Challenge”
7. Deploy

Código da regra (copie tudo):

(ip.geoip.country eq "CN") or (ip.geoip.country eq "RU") or (ip.geoip.country eq "TW") or (ip.geoip.country eq "RO") or (ip.geoip.country eq "AF") or (ip.geoip.country eq "KP") or (ip.geoip.country eq "T1") or (http.user_agent contains "sqlmap") or (http.user_agent contains "nikto") or (http.user_agent contains "nmap") or (http.user_agent contains "masscan") or (http.user_agent contains "ZmEu") or (http.user_agent contains "DirBuster") or (http.user_agent contains "w3af") or (http.user_agent contains "acunetix") or (http.user_agent contains "WPScan") or (http.user_agent contains "Arachni") or (http.user_agent contains "Havij") or (http.request.uri contains "UNION+SELECT") or (http.request.uri contains "'+OR+") or (http.request.uri contains "%27+OR+") or (http.request.uri contains "information_schema") or (http.request.uri contains "alert(") or (http.request.uri contains "document.cookie") or (http.request.uri contains "/wp-config") or (http.request.uri contains "/wp-admin/install.php") or (http.request.uri contains "/.env") or (http.request.uri contains "/.git/") or (http.request.uri contains "/.svn/") or (http.request.uri contains ".sql") or (http.request.uri contains ".bak") or (ends_with(http.request.uri, ".htaccess")) or (http.request.uri contains ".htpasswd") or (http.request.uri contains "/wp-includes/" and ends_with(http.request.uri, ".php")) or (http.request.uri contains "xmlrpc.php") or (http.request.uri contains "wp-login.php") or (http.request.uri contains "../") or (http.request.uri contains "..%2F") or (http.request.uri contains "php://") or (http.request.uri contains "file://") or (http.request.uri contains "data://") or (http.request.uri contains "/etc/passwd") or (http.request.uri contains "composer.json")

IMPORTANTE: Essa regra deve ficar como ÚLTIMA na lista de regras. Ordem importa. “Liberar Bots” fica em primeiro, “Bloqueios” fica em último.

Explicação da Regra de Bloqueios (O Que Cada Parte Faz)

Vou destrinchar a regra para você entender exatamente o que está bloqueando.

Bloqueio Por País

(ip.geoip.country eq "CN") or (ip.geoip.country eq "RU") or ...

Países bloqueados:

• CN (China): 60-70% dos ataques globais partem de IPs chineses
• RU (Rússia): 15-20% dos ataques, ransomware, força bruta
• TW (Taiwan): Servidores comprometidos usados para ataques
• RO (Romênia): Alto índice de scan automatizado
• AF (Afeganistão): Servidores mal configurados, muito ataque parte de lá
• KP (Coreia do Norte): Óbvio
• T1 (Rede Tor): Anonymizers, muito usado para ataque

E se eu tiver público desses países?

Pessoas reais passam no Desafio JS em 3 segundos. Só bots são barrados.

Bloqueio de Ferramentas de Hacker

(http.user_agent contains "sqlmap") or ...

Ferramentas bloqueadas:

• sqlmap: Automatiza SQL injection
• nikto: Scanner de vulnerabilidades web
• nmap: Scanner de portas e serviços
• WPScan: Scanner específico de WordPress
• Havij: Ferramenta de SQL injection automática

Se detectar essas assinaturas no User-Agent = Desafio JS.

Proteção Contra SQL Injection

(http.request.uri contains "UNION+SELECT") or ...

Detecta tentativas clássicas de SQL injection:

• UNION+SELECT (concatenação de queries)
• ‘+OR+ (bypass de autenticação)
• information_schema (acesso a estrutura do banco)

Proteção Contra XSS

(http.request.uri contains "alert(") or ...

Detecta tentativas de Cross-Site Scripting:

• alert() (JavaScript malicioso)
• document.cookie (roubo de cookies)

Proteção de Arquivos Críticos WordPress

(http.request.uri contains "/wp-config") or ...

Arquivos protegidos:

• wp-config.php: Contém credenciais do banco de dados
• /.env: Variáveis de ambiente (senhas)
• /.git/: Repositório git (pode conter senhas)
• .sql / .bak: Backups de banco de dados
• .htaccess / .htpasswd: Configurações Apache

Proteção wp-includes

(http.request.uri contains "/wp-includes/" and ends_with(http.request.uri, ".php"))

Bloqueia acesso direto a arquivos PHP dentro de wp-includes/. Essa pasta nunca deveria ser acessada diretamente. Se alguém tenta, é ataque.

Proteção xmlrpc e wp-login

(http.request.uri contains "xmlrpc.php") or (http.request.uri contains "wp-login.php")

xmlrpc.php: Usado em ataques DDoS e força bruta. Raramente necessário.

wp-login.php: Página de login. Desafio JS força verificação antes de acessar.

Pessoas reais acessam normal. Bots de força bruta são barrados.

Proteção Contra Path Traversal

(http.request.uri contains "../") or ...

Tentativas de sair da pasta web e acessar arquivos do sistema:

• ../../etc/passwd (arquivo de usuários Linux)
• php:// (stream wrapper PHP malicioso)

Testar Proteção na Prática

Depois de aplicar as regras, vamos testar se estão funcionando.

Teste 1: Acessar Site Normalmente

1. Abra navegador normal (sem VPN)
2. Acesse
3. Deve carregar normal, sem desafio

Visitantes brasileiros/locais acessam sem fricção.

Teste 2: Acessar de País Bloqueado

1. Use Opera com VPN ou extensão VPN
2. Conecte em servidor na Ásia (simula China)
3. Acesse
4. Deve aparecer: “Verificando se você é humano…”
5. Aguarda 2-3 segundos
6. Site carrega normalmente

Pessoas reais de países bloqueados conseguem acessar, mas passam por verificação.

Teste 3: Acessar wp-login.php

1. Acesse
2. Deve aparecer desafio JS
3. Após passar, página de login carrega

Bots de força bruta não conseguem passar desafio, não chegam na página de login.

Monitorar Ataques Bloqueados

Cloudflare registra todos os ataques bloqueados. Você pode ver estatísticas.

Como acessar:

1. Cloudflare → Security → Overview
2. Você verá gráficos de tráfego
3. Seção “Threats Mitigated” mostra ataques bloqueados
4. Clique em períodos (24h, 7d, 30d) para histórico

O que você vai ver:

• Quantidade de ataques bloqueados por dia
• Países de origem dos ataques
• Tipos de ataque (SQL injection, XSS, etc)
• Regras que bloquearam (suas regras customizadas)

É satisfatório ver milhares de ataques bloqueados diariamente antes de chegarem no seu servidor.

Processo completo resumido aplicado em segundo domínio (6 minutos).

Dicas Avançadas Baseadas em 10 Anos de Experiência

Escolha de Datacenter Para Servidor

Embora Cloudflare otimize entrega, localização do servidor ainda importa.

Minha recomendação para público brasileiro:

Use datacenter nos Estados Unidos (East Coast ou West Coast), NÃO Europa.

Por quê?

Conexão Brasil → EUA é estável e rápida (cabos submarinos diretos).

Conexão Brasil → Europa (especialmente Alemanha) é instável. Passa por múltiplos hops, latência maior, mais packet loss.

Exemplo prático:

Servidor Contabo Alemanha → Brasil: 180-250ms de latência

Servidor Contabo EUA → Brasil: 120-150ms de latência

Diferença: 30-100ms mais rápido escolhendo EUA.

Veja mais: Guia Completo VPS Contabo

IP Real vs IP Ofuscado Cloudflare

Quando proxy está ativo, Cloudflare esconde IP real do servidor.

Como verificar:

Faça ping no seu domínio: ping seusite.com

Vai retornar IP tipo: 104.21.x.x ou 172.67.x.x (Cloudflare).

Isso é ÓTIMO para segurança. Hackers não conseguem atacar diretamente seu servidor porque não sabem o IP real.

Mas atenção: Se você precisa permitir acesso de IPs específicos no servidor (ex: regra firewall), use o IP real do servidor, não o IP do Cloudflare.

Quando Desativar Proxy Temporariamente

Situações onde você deve desativar proxy (nuvem cinza):

• Instalando novo plugin WordPress que pode conflitar
• Migrando site para novo servidor
• Debugando problema específico de conexão
• Atualizando servidor/PHP/banco de dados

Depois de resolver, reative proxy.

Erros Comuns Que Derrubam Site

Erro 1: Ativar Proxy Sem Configurar SSL

Sintoma: “Too many redirects” ou “ERR_SSL_PROTOCOL_ERROR”

Causa: SSL no Cloudflare está como “Flexible” ou “Off”

Solução: Desativar proxy → Configurar SSL “Full (strict)” → Reativar proxy

Erro 2: Nameservers Errados

Sintoma: Site não carrega, DNS_PROBE_FINISHED_NXDOMAIN

Causa: Nameservers na registradora estão errados ou parcialmente configurados

Solução: Conferir nameservers na registradora, corrigir, aguardar propagação

Erro 3: Registro DNS com IP Errado

Sintoma: Site carrega mas mostra conteúdo errado ou página padrão do servidor

Causa: IP no registro A está apontando para servidor errado

Solução: Verificar IP correto do servidor, atualizar registro A no Cloudflare

Erro 4: Cache Bloqueando Mudanças

Sintoma: Fez mudanças no site mas ninguém vê

Causa: Cache Cloudflare está retornando versão antiga

Solução: Cloudflare → Caching → Purge Everything

Erro 5: Regra Bloqueando Legítimos

Sintoma: Visitantes legítimos recebem desafio JS constantemente

Causa: Regra de bloqueio muito agressiva

Solução: Revisar regras, adicionar exceções para IPs/países específicos

Recursos Adicionais e Próximos Passos

Playlist Cloudflare Completa (Histórica)

Tenho uma playlist antiga sobre Cloudflare com 13 vídeos cobrindo recursos avançados.

ATENÇÃO: Playlist foi gravada há 5+ anos. Interface do Cloudflare mudou bastante. Conceitos permanecem válidos, mas localizações de menus e opções mudaram.

Tópicos cobertos (histórico):

• Firewall avançado
• Regras de página
• Otimização de performance
• Plugin WordPress Cloudflare
• SSL Flexible vs Full
• Cache avançado
• Mautic com Cloudflare

Use como referência conceitual, mas siga este guia para processo atual.

Futuro: Quando possível, gravarei playlist atualizada completa. Por enquanto, os 4 vídeos deste artigo cobrem o essencial.

Cursos Relacionados

Quer dominar servidores além de DNS?

Curso Super Servidor: Aprenda a configurar servidores de alto desempenho para WordPress com WordOps, garantindo estabilidade, segurança e economia. Saiba mais.

Próximos Passos Após Cloudflare

Com Cloudflare configurado, você pode:

• Instalar WordPress no servidor
• Configurar CloudPanel para gerenciar sites
• Usar Docker para aplicações avançadas
• Criar site de vendas otimizado
• Implementar estratégias de marketing digital

Perguntas Frequentes Sobre Cloudflare DNS

Cloudflare DNS é realmente gratuito?

Sim, 100% gratuito para uso ilimitado. Plano Free do Cloudflare inclui: gerenciamento DNS, proxy reverso, SSL grátis, firewall básico, proteção DDoS, cache de borda. Recursos premium (Argo, Workers avançados) são pagos, mas não necessários para 99% dos sites.

Cloudflare deixa meu site mais lento ou mais rápido?

Depende da configuração. Mais rápido: Se servidor está longe do público (ex: Europa servindo Brasil), Cloudflare melhora bastante via cache de borda. Pode ser mais lento: Se servidor já está próximo (Brasil servindo Brasil) e você ativa proxy, adiciona 1 hop extra. Diferença é pequena (10-30ms). Benefício de segurança compensa.

Preciso mudar código do site para usar Cloudflare?

Não. Cloudflare funciona no nível de DNS/rede, transparente para o site. WordPress, código PHP, banco de dados, tudo continua igual. Única configuração é DNS externa.

Cloudflare funciona com WordPress?

Perfeitamente. WordPress é a plataforma mais usada com Cloudflare. Existe até plugin oficial: “Cloudflare” no repositório WordPress. Plugin facilita gerenciamento de cache e purge automático.

Posso usar Cloudflare com qualquer hospedagem?

Sim. Cloudflare funciona com qualquer tipo de hospedagem: compartilhada, VPS, dedicada, cloud. Única exigência: você ter controle do DNS (nameservers) na registradora do domínio.

Regras de segurança bloqueiam Google?

Não, se você seguiu o guia. Primeira regra (Liberar Bots) garante que Googlebot, Bingbot, bots de redes sociais passem direto, ignorando regras de bloqueio. SEO não é afetado.

E se meu público é da China/Rússia?

Pessoas reais desses países conseguem acessar, mas passam por JavaScript Challenge (verificação “você é humano”). Demora 2-3 segundos. Após verificação, site funciona normal. Só bots automatizados são barrados definitivamente.

Cloudflare esconde meu IP do servidor?

Sim, quando proxy está ativo (nuvem laranja). IP mostrado publicamente é do Cloudflare, não do seu servidor. Isso dificulta ataques direcionados ao servidor. Mas se alguém realmente quer descobrir seu IP, existem técnicas (scan histórico, subdomínios sem proxy). É mais difícil, não impossível.

Como sei se Cloudflare está funcionando?

Três formas: (1) Status “Active” no painel Cloudflare, (2) Ping no domínio retorna IP Cloudflare (104.x ou 172.x), (3) Inspect → Network → Headers → servidor responde com “cf-ray” (header específico Cloudflare).

Posso ter múltiplos domínios no Cloudflare Free?

Sim, ilimitados. Você pode adicionar quantos domínios quiser no plano gratuito. Cada domínio tem configurações independentes (DNS, firewall, cache separados).

Domine Servidores e WordPress na Prática

Conclusão: Cloudflare DNS Como Fundação de Sites Seguros

Configurar Cloudflare DNS corretamente não é apenas sobre velocidade ou praticidade de gerenciar registros. É sobre construir uma fundação sólida para seu projeto online.

Depois de 10+ anos gerenciando mais de 200 sites, posso afirmar: sites sem Cloudflare (ou proteção equivalente) são invadidos eventualmente. Não é “se”, é “quando”.

Recapitulando o essencial:

• Cloudflare DNS é gratuito, rápido e seguro
• Configure nameservers DEPOIS de preparar registros DNS
• NUNCA ative proxy antes de configurar SSL como “Full (strict)”
• Desabilite cache nativo Cloudflare (evita conflitos)
• Regras de segurança bloqueiam 99% dos ataques antes de chegarem no servidor
• Libere bots legítimos (Google, Bing) explicitamente
• Use JavaScript Challenge (não bloqueio direto) para permitir pessoas reais

Cloudflare não é solução mágica. Não substitui:

• Manter WordPress/plugins atualizados
• Usar senhas fortes
• Fazer backups regulares
• Configurar servidor corretamente

Mas é a primeira linha de defesa mais eficaz que existe, especialmente considerando que é gratuita.

Se você gerencia sites profissionalmente (agência, freelancer, empresa), dominar Cloudflare é obrigatório. Clientes esperam segurança. Cloudflare entrega isso sem custo.

Agora que você tem Cloudflare configurado corretamente, próximos passos:

1. Instale WordPress otimizado
2. Configure servidor com WordOps ou CloudPanel
3. Implemente estratégias de marketing
4. Monitore segurança através do painel Cloudflare semanalmente

Seu site agora está mais rápido, mais seguro, e preparado para crescer sem preocupações com ataques básicos que derrubam a maioria dos projetos online.

A diferença entre site que sobrevive e site que é invadido está nos detalhes de configuração. Você acabou de dominar esses detalhes.