把官网接入 Cloudflare:DNS 托管 + CDN 一步到位
商家官网想要“打开更快、少挨打”,Cloudflare 最省心的玩法就是把域名的 DNS 托管交给它,然后打开代理(小云朵)。常见站点接入后,静态资源命中缓存时,访问延迟通常能从几百毫秒降到几十毫秒级(看用户地区和源站位置)。
操作路径很固定:添加站点 → 扫描 DNS 记录 → 把域名注册商的 NS 改成 Cloudflare 提供的两条。NS 改完通常几分钟生效,最长可能到24 小时(取决于原 TTL)。
- DNS 里给官网加一条 A/AAAA 记录指向源站 IP,代理状态改成橙色云朵才会走 CDN。
- 不想走 CDN 的子域名(例如 mail、ftp),保持灰色云朵直连更稳。
HTTPS 证书:让浏览器变绿,也让回源更安全
Cloudflare 会自动给你的域名签发边缘证书。关键在于“回源加密”别偷懒:到 SSL/TLS 把模式设为 Full (strict),别用 Flexible(容易出现登录回跳、支付回调异常)。
源站证书两种选法:
- 源站自己用 Let’s Encrypt 之类的公网证书。
- 用 Cloudflare 的 Origin Certificate,有效期可配很长,适合只给 Cloudflare 回源用。
一个小案例:很多 WordPress 商家站把 SSL 设成 Flexible,结果后台登录一直 302 循环;改成 Full (strict) + 源站装好证书,问题就没了。
基础安全:WAF 规则、限速、把常见入口堵上
别等被扫了才补锅。Cloudflare 后台把 WAF/安全规则打开,优先启用托管规则(Managed Rules)。如果你是 WordPress,强烈建议把 xmlrpc 入口直接关掉:
- 安全规则里新增:路径包含 /xmlrpc.php → 动作选 Block 或 Managed Challenge。
- 对 /wp-login.php 做“挑战”或限速(例如 10 次/分钟/单 IP),能挡住一大半撞库。
网站有业务价值后,建议安排一次专业安全评估/渗透测试;很多攻击不是“撞密码”这么简单。
缓存策略:只缓存该缓存的,后台和下单别动
缓存别一把梭。做法是把静态内容吃满 CDN,把动态页面放行:
- 在 Cache Rules 里给 /wp-admin/*、/cart、/checkout 设置 Bypass Cache,避免后台和交易出问题。
- 给图片/CSS/JS 设置更长的浏览器缓存(例如 7 天或更高),Edge 缓存按业务调整。
- 图片、字体这类“改动不频繁”的资源,命中率高,能明显降低源站带宽和 CPU。
可执行建议:今天就做三件事:把 SSL/TLS 设为 Full (strict);加一条阻断 /xmlrpc.php 的规则;给后台和支付相关路径加 Bypass Cache。做完用手机 4G/5G 和电脑各测一次打开速度与登录流程,确认无跳转和验证码误伤,再逐步加更激进的缓存规则。
