Cloudflare автоматически обнаруживает и блокирует DDoS-атаки на уровнях L3, L4 и L7. Для активации достаточно подключить сайт к Cloudflare — базовая защита работает без настройки.
Уровни DDoS-защиты по планам
| Функция | Free | Pro | Business/Enterprise |
|---|---|---|---|
| L3/L4 DDoS | ✅ | ✅ | ✅ |
| L7 HTTP DDoS | ✅ Базовая | ✅ | ✅ Advanced |
| Managed Rules WAF | ❌ | ✅ | ✅ |
| Advanced DDoS Analytics | ❌ | ❌ | ✅ |
Security Level
Security → Security Level управляет тем, как aggressively Cloudflare проверяет посетителей:
| Уровень | Действие |
|---|---|
| Essentially Off | Только явно заблокированные IP |
| Low | Блок известных плохих IP |
| Medium | Стандартный (по умолчанию) ✅ |
| High | Агрессивная проверка CAPTCHA |
| I'm Under Attack! | 5-секундная JavaScript challenge для всех |
I'm Under Attack Mode
При активной атаке включите экстренный режим:
Security → Security Level → I'm Under Attack!
Каждый посетитель увидит 5-секундную страницу проверки Cloudflare. Боты не пройдут, реальные пользователи — пройдут.
⚠️ I'm Under Attack Mode ломает API и автоматические запросы. Не оставляйте его включённым постоянно — только во время реальной атаки.
Rate Limiting
Security → WAF → Rate Limiting Rules → Create. Ограничьте число запросов с одного IP:
# Пример: не более 100 запросов за 60 секунд
Matching rule: http.request.uri.path contains "/api/"
Rate: 100 requests per 60 seconds
Action: Block (или Challenge)✅ Rate Limiting особенно полезен для защиты /wp-login.php, /xmlrpc.php, форм авторизации и API-эндпоинтов.