Cloudflare 使用避坑指南｜适合站长

Cloudflare 是很多站长都会接触到的服务：它提供 DNS 解析、CDN 加速、DDoS 防护、WAF 防火墙、SSL/TLS 证书、缓存规则、访问控制、图片优化、零信任访问等能力。对于个人博客、企业官网、跨境电商站、内容站、SaaS 官网来说，Cloudflare 的确是一个性价比很高的基础设施工具。

但很多站长在实际使用 Cloudflare 时，会遇到各种“看似玄学”的问题：网站打不开、HTTPS 报错、后台无法登录、真实 IP 泄露、缓存不更新、国内访问变慢、SEO 收录异常、接口请求失败、邮箱收不到信等。

这些问题很多并不是 Cloudflare 本身“不好用”，而是配置方式不当。本文整理一份面向站长的 Cloudflare 使用避坑指南，帮助你在上线前、上线中、上线后都能少踩坑。

一、先搞清楚 Cloudflare 到底在做什么

很多站长把 Cloudflare 理解成“DNS 服务商”或者“CDN”，但这其实不完整。

Cloudflare 常见功能包括：

• DNS 托管：管理域名解析记录；
• CDN 加速：缓存静态资源，提升访问速度；
• 反向代理：访客先访问 Cloudflare，再由 Cloudflare 回源到你的服务器；
• SSL/TLS 加密：提供 HTTPS 访问能力；
• WAF 防火墙：拦截恶意请求；
• DDoS 防护：缓解大流量攻击；
• 页面规则 / 缓存规则：控制不同路径的缓存与安全策略；
• Bot 管理：识别机器人、爬虫、异常流量；
• 访问控制：限制后台、接口、敏感路径访问。

其中最关键的是：当 DNS 记录开启橙色云朵时，Cloudflare 就会成为你的反向代理层。

也就是说：

用户浏览器 → Cloudflare 节点 → 你的源站服务器

这和普通 DNS 解析不同。普通 DNS 是：

用户浏览器 → 你的源站服务器

理解这一点非常重要，因为后续很多问题都来自“开启代理后，访问链路发生变化”。

二、DNS 配置避坑：不要盲目开启橙色云朵

Cloudflare 的 DNS 记录旁边通常有一个云朵图标：

• 橙色云朵：开启 Cloudflare 代理；
• 灰色云朵：仅作为 DNS 解析，不经过 Cloudflare 代理。

很多新手看到橙色云朵就全部打开，这是非常常见的坑。

1. 网站主域名和 www 可以开启代理

例如：

example.com     A       1.2.3.4      Proxied
www             CNAME   example.com  Proxied

这类 Web 访问记录通常可以开启橙色云朵。

2. 邮箱相关记录不要开启代理

如果你使用企业邮箱、邮件服务器、SMTP、IMAP、POP3 等服务，相关记录一般不要开启代理。

常见邮箱记录包括：

MX
mail.example.com
smtp.example.com
imap.example.com
pop.example.com

这些记录应该保持灰色云朵。

原因是 Cloudflare 的代理主要面向 HTTP/HTTPS 流量，并不适合普通邮件协议代理。如果你错误地给邮件服务器开启橙色云朵，可能导致：

• 收不到邮件；
• 发不出邮件；
• 邮箱客户端无法连接；
• SPF、DKIM、DMARC 校验异常；
• 邮件进入垃圾箱概率增加。

3. FTP、SSH、数据库等服务不要开启代理

例如：

ftp.example.com
ssh.example.com
db.example.com
mysql.example.com

这些记录通常也应该保持灰色云朵。

如果你把 SSH 或数据库服务放在橙色云朵后面，连接很可能会失败。Cloudflare 默认代理的是 Web 流量，并不是所有 TCP 服务都能直接代理。

除非你使用的是 Cloudflare Spectrum、Cloudflare Tunnel 或 Zero Trust 的专门方案，否则不要随便把非 Web 服务放到橙色云朵后面。

三、SSL/TLS 模式避坑：不要使用 Flexible

Cloudflare 的 SSL/TLS 模式是最容易踩坑的地方之一。

在 Cloudflare 后台通常可以看到几种模式：

• Off；
• Flexible；
• Full；
• Full Strict。

很多新手因为源站没有安装证书，就选择了 Flexible，结果网站出现无限重定向、后台打不开、登录异常等问题。

1. Flexible 为什么危险？

Flexible 的链路是：

用户浏览器 → HTTPS → Cloudflare → HTTP → 源站

也就是说，用户到 Cloudflare 是加密的，但 Cloudflare 到你的源站是明文 HTTP。

这会带来几个问题：

• 源站与 Cloudflare 之间不加密；
• WordPress、Laravel、Discuz 等程序可能判断协议错误；
• 容易出现 HTTP/HTTPS 无限跳转；
• 后台登录 Cookie、安全策略可能异常；
• 不利于长期稳定运行。

2. 推荐使用 Full Strict

最推荐的模式是：

Full (Strict)

链路为：

用户浏览器 → HTTPS → Cloudflare → HTTPS → 源站

这意味着从用户到 Cloudflare、从 Cloudflare 到源站都是加密连接。

3. 源站证书怎么解决？

你可以选择：

• 使用 Let’s Encrypt 免费证书；
• 使用服务器面板签发证书；
• 使用 Cloudflare Origin Certificate；
• 使用商业证书。

如果你只打算让访问永远经过 Cloudflare，可以使用 Cloudflare Origin Certificate。它不被普通浏览器直接信任，但 Cloudflare 信任它，适合作为源站证书。

4. 避坑建议

建议配置如下：

SSL/TLS encryption mode: Full (Strict)
Always Use HTTPS: 开启
Automatic HTTPS Rewrites: 可开启

但前提是：源站必须正确配置 HTTPS 证书。

四、真实 IP 保护：不要让源站裸奔

很多站长以为开启 Cloudflare 后，服务器就完全安全了。实际上，如果源站 IP 暴露，攻击者仍然可以绕过 Cloudflare 直接打你的服务器。

1. 常见真实 IP 泄露方式

真实 IP 泄露可能来自：

• 历史 DNS 解析记录；
• 子域名未走 Cloudflare；
• 邮件服务器与 Web 服务器共用 IP；
• 源站主动请求外部服务留下记录；
• GitHub、配置文件、报错信息暴露；
• 站长工具历史解析查询；
• SSL 证书透明日志；
• 服务器默认站点可直接访问；
• CDN 切换前的旧记录。

2. 如何降低泄露风险？

建议做以下操作：

更换源站 IP

如果你的源站 IP 已经被公开记录，最彻底的办法是更换服务器 IP。

源站防火墙只允许 Cloudflare IP

在服务器防火墙、安全组、Nginx 或 Apache 层面限制访问来源，只允许 Cloudflare IP 段访问 80 和 443 端口。

这样即使别人知道你的源站 IP，也无法直接访问网站。

不要让 mail 和 web 共用同一 IP

如果你的邮箱服务记录暴露了真实 IP，而网站也在同一台服务器上，那么攻击者可以通过邮件记录找到源站。

更好的做法是：

• 网站服务器单独使用一个 IP；
• 邮箱使用第三方邮件服务；
• 邮件相关记录不要指向网站源站 IP。

关闭默认站点

如果别人直接访问你的服务器 IP，最好不要返回真实网站内容。

你可以配置默认站点返回：

403 Forbidden

或者返回一个空白页面，避免暴露站点信息。

五、缓存规则避坑：不要把后台和动态页面缓存了

Cloudflare 的缓存能力很强，但错误缓存会造成严重问题。

常见问题包括：

• 后台登录后仍显示未登录；
• 用户 A 看到用户 B 的页面；
• 购物车内容异常；
• 支付状态不更新；
• 评论发布后看不到；
• 管理后台样式错乱；
• API 返回旧数据；
• WordPress 预览页面失效。

1. 哪些内容适合缓存？

适合缓存的通常是静态资源：

.css
.js
.jpg
.png
.webp
.svg
.ico
woff
woff2

也可以缓存一些不频繁变化的公开页面，例如：

• 文章页；
• 分类页；
• 标签页；
• 帮助文档；
• 营销落地页。

2. 哪些内容不要缓存？

以下路径通常不建议缓存：

/wp-admin/*
/wp-login.php
/cart/*
/checkout/*
/my-account/*
/user/*
/admin/*
/api/*
/login
/register
/logout

对于 WordPress 站点，尤其要注意 WooCommerce、会员系统、论坛系统、学习系统等动态功能。

3. 推荐缓存策略

对于普通内容站，可以采用：

• 静态资源：缓存时间长一些；
• HTML 页面：谨慎缓存；
• 后台路径：Bypass；
• 登录用户：Bypass；
• API 接口：Bypass 或短缓存；
• 搜索结果页：通常不缓存；
• 预览页面：不缓存。

如果你不确定一个路径是否能缓存，宁可先不缓存，等确认安全后再逐步开启。

六、WordPress 使用 Cloudflare 的常见坑

WordPress 是站长使用 Cloudflare 时最常见的场景之一。

1. 后台无限跳转

常见原因：

• SSL 模式设置为 Flexible；
• WordPress 站点地址配置错误；
• Nginx 没有正确识别 HTTPS；
• 插件强制 HTTPS 与 Cloudflare 冲突。

解决思路：

• Cloudflare 使用 Full Strict；
• WordPress 后台地址设置为 HTTPS；
• 源站配置 SSL；
• 检查 wp-config.php 中是否需要添加 HTTPS 判断。

部分环境可加入：

if (isset($_SERVER['HTTP_CF_VISITOR']) && strpos($_SERVER['HTTP_CF_VISITOR'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}

但更推荐从服务器和 Cloudflare SSL 模式上正确配置。

2. 后台变慢或无法保存

可能原因：

• WAF 规则误拦截；
• Bot Fight Mode 影响后台请求；
• Rocket Loader 影响 JS；
• 缓存规则缓存了后台资源；
• 安全级别过高。

建议对后台路径设置例外：

example.com/wp-admin/*
example.com/wp-login.php

可设置：

• Cache：Bypass；
• Security Level：Essentially Off 或 Low；
• Disable Performance Features；
• Disable Apps；
• Disable Zaraz；
• 视情况关闭 Rocket Loader。

3. 评论、表单提交失败

如果评论提交、Contact Form 7、Elementor 表单、Gravity Forms 等出现问题，可能是：

• WAF 误判；
• Turnstile / Challenge 触发；
• 缓存导致 nonce 过期；
• JS 优化导致脚本异常；
• AJAX 请求被拦截。

重点检查：

/wp-admin/admin-ajax.php
/wp-json/*

这类路径一般不要强缓存。

七、WAF 和安全规则避坑：不要一刀切

Cloudflare 的 WAF 很强，但不是越严格越好。

如果你把安全级别调得过高，可能会出现：

• 正常用户频繁人机验证；
• 搜索引擎爬虫抓取受阻；
• 支付回调失败；
• API 请求被拦截；
• 后台保存文章失败；
• 海外用户访问体验下降。

1. 不建议全站开启过高 Challenge

例如，对所有访问都启用 Managed Challenge，可能看起来安全，但会伤害用户体验和 SEO。

更合理的做法是按风险路径设置：

• 后台登录页加强验证；
• 敏感接口加强验证；
• 高频异常 IP 限速；
• 特定国家或地区按需限制；
• 对搜索引擎爬虫保持友好。

2. 后台登录页可以加强保护

例如 WordPress 登录页：

/wp-login.php
/wp-admin/*

可以设置：

• 指定 IP 白名单；
• 国家限制；
• Managed Challenge；
• Turnstile；
• Rate Limiting；
• Zero Trust Access。

但要注意，如果你经常移动办公，不建议只写死一个 IP，否则自己也可能被挡在外面。

3. 支付回调和第三方接口要放行

如果你的网站涉及支付、短信、邮件、Webhook 等服务，一定要检查回调路径。

例如：

/payment/notify
/webhook/*
/api/callback/*

这些路径如果被 Cloudflare Challenge 拦截，第三方服务器无法完成验证，订单状态就会异常。

建议：

• 对第三方服务的 IP 做白名单；
• 对回调路径禁用 Challenge；
• 不缓存回调接口；
• 保留日志方便排查。

八、速度优化避坑：不要把所有优化开关都打开

Cloudflare 后台有很多性能优化功能，例如：

• Auto Minify；
• Brotli；
• Rocket Loader；
• Early Hints；
• Polish；
• Mirage；
• APO；
• Zaraz；
• HTTP/2；
• HTTP/3；
• 0-RTT；
• Argo。

很多站长以为全部打开就会更快，实际上不一定。

1. Rocket Loader 可能导致 JS 异常

Rocket Loader 会改变 JavaScript 加载方式。对于一些依赖执行顺序的站点，它可能导致：

• 菜单无法展开；
• 轮播图失效；
• 后台编辑器异常；
• 表单无法提交；
• 统计代码不工作；
• 支付按钮失效。

如果你的网站 JS 较复杂，建议谨慎开启 Rocket Loader。出现前端异常时，优先关闭它测试。

2. Auto Minify 可能和插件冲突

如果你已经使用了 WordPress 缓存插件、前端构建工具、主题自带压缩功能，再开启 Cloudflare Auto Minify，有时会重复压缩，导致样式或脚本问题。

建议选择一个地方做压缩，不要多层叠加。

3. APO 适合 WordPress，但要理解缓存逻辑

Cloudflare APO 对 WordPress 内容站效果不错，可以缓存 HTML，提高首字节响应速度。但如果你的网站有大量动态内容、会员功能、购物车、个性化推荐，就要格外谨慎。

使用 APO 时要重点测试：

• 登录状态；
• 评论功能；
• 搜索页面；
• 预览页面；
• 购物车；
• 结账页；
• 用户中心；
• 多语言切换；
• 移动端适配。

九、国内访问避坑：Cloudflare 不一定适合所有中文站

很多站长使用 Cloudflare 后发现海外访问变快了，但国内访问反而不稳定。这并不罕见。

原因包括：

• Cloudflare 免费版在中国大陆没有专用优化线路；
• 不同运营商访问 Cloudflare 节点质量差异大；
• 晚高峰国际链路拥堵；
• 部分地区解析到较远节点；
• 静态资源跨境传输延迟较高。

1. 如果主要用户在中国大陆

如果你的核心用户主要在大陆，Cloudflare 免费版未必是最佳选择。你可以考虑：

• 使用国内 CDN；
• 使用香港、日本、新加坡等优质线路服务器；
• 对静态资源使用国内对象存储和 CDN；
• 国内外分线路解析；
• 使用支持中国大陆优化的企业级 CDN。

2. 如果用户面向海外

如果你的用户主要在欧美、东南亚、全球市场，Cloudflare 通常非常合适。

适合场景包括：

• 外贸官网；
• 海外博客；
• SaaS 官网；
• 独立站；
• 跨境电商；
• 英文内容站；
• 开源项目文档站。

3. 不要只看测速工具

测速工具结果只能参考，真实用户体验更重要。建议观察：

• Google Search Console；
• Cloudflare Analytics；
• 服务器日志；
• 用户地区分布；
• Core Web Vitals；
• RUM 真实用户监控数据。

十、SEO 避坑：别让安全策略挡住搜索引擎

Cloudflare 配置不当可能影响 SEO，尤其是对爬虫访问的影响。

1. 不要对搜索引擎频繁 Challenge

如果 Googlebot、Bingbot 等爬虫访问时被人机验证拦截，就可能导致页面无法抓取。

表现可能包括：

• 收录下降；
• 抓取异常；
• 页面呈现失败；
• Search Console 报错；
• 索引速度变慢。

2. 确认真正的搜索引擎爬虫

不要简单根据 User-Agent 放行，因为 User-Agent 可以伪造。Cloudflare 有些功能可以识别已验证的 Bot。

建议对 Verified Bots 友好处理，不要误拦截。

3. 缓存不要返回错误状态码

有时源站短暂返回 500、502、503，如果被错误缓存，可能导致搜索引擎抓取到异常页面。

建议：

• 错误页不要长时间缓存；
• 定期检查状态码；
• 使用监控工具检测站点可用性；
• 重要页面更新后及时 Purge Cache。

十一、源站日志避坑：获取真实访客 IP

开启 Cloudflare 后，源站服务器看到的访问 IP 通常是 Cloudflare 节点 IP，而不是用户真实 IP。

如果你不处理，可能导致：

• 日志全是 Cloudflare IP；
• 防火墙无法识别真实攻击者；
• 评论系统显示 IP 异常；
• 统计分析不准确；
• 后台登录安全审计失真。

1. Cloudflare 提供真实 IP 头

常见请求头包括：

CF-Connecting-IP
X-Forwarded-For

你需要让 Web 服务器读取这些头。

2. Nginx 配置示例

Nginx 可以使用 real_ip_header 配置：

real_ip_header CF-Connecting-IP;

同时需要配置 Cloudflare IP 段为可信来源：

set_real_ip_from 173.245.48.0/20;
set_real_ip_from 103.21.244.0/22;
set_real_ip_from 103.22.200.0/22;
set_real_ip_from 103.31.4.0/22;

实际使用时请以 Cloudflare 官方 IP 列表为准，并定期更新。

3. 不要信任任意 X-Forwarded-For

如果你没有限制可信代理来源，而是直接信任所有 X-Forwarded-For，攻击者可以伪造 IP。

正确做法是：

• 只信任 Cloudflare IP 段；
• 从可信代理头中读取真实 IP；
• 防火墙和日志系统同步调整。

十二、错误码排查：常见 Cloudflare 报错怎么处理

1. 522 Connection timed out

含义：Cloudflare 连接源站超时。

可能原因：

• 源站宕机；
• 防火墙拦截 Cloudflare IP；
• 服务器负载过高；
• 端口未开放；
• 网络线路异常。

排查方法：

• 检查服务器是否在线；
• 检查 80/443 端口；
• 检查安全组和防火墙；
• 确认允许 Cloudflare IP；
• 查看 Nginx/Apache 日志。

2. 521 Web server is down

含义：Cloudflare 无法连接源站 Web 服务。

可能原因：

• Nginx/Apache 未运行；
• 端口拒绝连接；
• 防火墙阻断；
• 源站服务崩溃。

3. 525 SSL handshake failed

含义：Cloudflare 和源站 SSL 握手失败。

可能原因：

• 源站证书配置错误；
• 不支持 SNI；
• TLS 版本不兼容；
• 证书链不完整。

4. 526 Invalid SSL certificate

通常发生在 Full Strict 模式下，说明源站证书无效。

解决：

• 安装有效证书；
• 检查证书域名是否匹配；
• 检查证书是否过期；
• 确认证书链完整；
• 使用 Cloudflare Origin Certificate。

十三、上线前检查清单

在正式把网站接入 Cloudflare 前，建议逐项检查：

• [ ] 源站已安装 HTTPS 证书；
• [ ] SSL/TLS 模式设置为 Full Strict；
• [ ] 主域名和 www 解析正确；
• [ ] 邮箱、FTP、SSH、数据库记录未开启代理；
• [ ] 后台路径设置缓存绕过；
• [ ] 登录、注册、购物车、支付流程测试通过；
• [ ] API 和 Webhook 没有被 WAF 拦截；
• [ ] 源站防火墙允许 Cloudflare IP；
• [ ] 已配置真实访客 IP；
• [ ] 已检查移动端页面；
• [ ] 已检查 SEO 抓取状态；
• [ ] 已准备缓存清理方案；
• [ ] 已配置监控和告警；
• [ ] 已备份 DNS 原始记录。

十四、适合站长的推荐基础配置

对于普通站长，尤其是博客、官网、内容站，可以参考以下配置：

DNS：
主站 A/CNAME：开启代理
邮箱/FTP/SSH：关闭代理

SSL/TLS：
模式：Full Strict
Always Use HTTPS：开启
Automatic HTTPS Rewrites：开启

缓存：
静态资源：缓存
后台路径：Bypass
API：视情况 Bypass
动态页面：谨慎缓存

安全：
WAF：开启基础规则
后台登录：加强保护
支付回调：放行
Verified Bots：不要误伤

性能：
Brotli：开启
HTTP/2、HTTP/3：开启
Rocket Loader：谨慎开启
Auto Minify：避免和其他插件重复

十五、总结：Cloudflare 好用，但不要“无脑全开”

Cloudflare 对站长来说是非常强大的工具。它可以帮助网站提升访问速度、增强安全性、降低源站压力，并在遭遇攻击时提供重要保护。

但 Cloudflare 不是“接入后万事大吉”的万能按钮。它的本质是在用户和源站之间增加了一层代理、安全和缓存系统。只要多了一层系统，就一定会多一层配置复杂度。

站长使用 Cloudflare 时，最重要的是记住以下原则：

1. Web 流量可以代理，非 Web 服务不要乱代理；
2. SSL 尽量使用 Full Strict，不要长期使用 Flexible；
3. 保护源站真实 IP，不要让服务器裸奔；
4. 缓存要分路径配置，后台和动态页面不要乱缓存；
5. WAF 规则要精准，不要误伤用户、爬虫和支付回调；
6. 性能优化不要全开，遇到异常先逐项排查；
7. 国内用户为主的网站，要谨慎评估访问质量；
8. 上线前一定要备份 DNS、测试全流程、保留回滚方案。

对于站长来说，Cloudflare 的最佳使用方式不是“把所有功能都打开”，而是根据自己网站的业务类型、用户地区、程序架构和安全需求，做有针对性的配置。配置得当，它是非常可靠的基础设施；配置不当，它也可能成为网站故障的源头。

真正成熟的做法是：先稳定，再优化；先安全，再激进；先理解规则，再开启功能。