Cloudflare to najpopularniejsza sieć CDN i warstwa ochrony na świecie, z której korzysta ponad 20% witryn w internecie. Dla strony na WordPressie oznacza to szybsze ładowanie, darmowy certyfikat SSL, ochronę przed atakami DDoS i ukrycie adresu IP serwera. W tym przewodniku pokazujemy pełną konfigurację w aktualnym interfejsie 2026: od zmiany serwerów nazw, przez wybór trybu SSL i wgranie certyfikatu Origin CA, po cache, WooCommerce i naprawę typowych błędów.
Krótka odpowiedź
Aby zainstalować Cloudflare w WordPress, załóż darmowe konto na cloudflare.com, dodaj swoją domenę i zmień serwery DNS u rejestratora na te wskazane przez Cloudflare. Propagacja DNS zajmuje do 24 godzin.
Następnie zainstaluj wtyczkę Cloudflare w WordPress, aby automatycznie czyścić cache po aktualizacji treści. Ustaw tryb SSL na Full (Strict) i włącz funkcje Auto Minify oraz Brotli.
Usługi KC Mobile
Sprawdź naszą ofertę
Potrzebujesz pomocy specjalisty? Skorzystaj z naszych usług i rozwiń swój biznes online.
Czym jest Cloudflare i jakie daje korzyści stronie WordPress
Cloudflare działa jako reverse proxy i sieć CDN (Content Delivery Network). W praktyce oznacza to, że cały ruch do Twojej witryny przechodzi najpierw przez serwery Cloudflare, a dopiero potem trafia do serwera, na którym fizycznie stoi WordPress (tzw. origin). Dzięki temu Cloudflare może buforować pliki, filtrować złośliwe zapytania i serwować treść z najbliższego użytkownikowi centrum danych.
Najważniejsze korzyści dla strony WordPress:
- Przyspieszenie i niższy TTFB – statyczne zasoby (obrazy, CSS, JS) są serwowane z węzła CDN blisko użytkownika, a nie z jednego serwera w Niemczech czy Polsce. Realnie skraca to czas do pierwszego bajtu na połączeniach z dalszych regionów.
- Ochrona DDoS – Cloudflare absorbuje ataki wolumetryczne, zanim dotrą one do Twojego hostingu.
- Darmowy SSL – certyfikat na krawędzi (edge) jest wydawany automatycznie, także w planie Free.
- Ukrycie IP origin – po włączeniu proxy (pomarańczowa chmurka) prawdziwy adres serwera nie jest widoczny publicznie, co utrudnia bezpośrednie ataki.
Cloudflare nie zastępuje hostingu – Twój WordPress nadal musi gdzieś działać. To warstwa nadrzędna, a nie alternatywa dla serwera. Jeśli planujesz nową stronę firmową lub sklep, warto połączyć dobry hosting z konfiguracją Cloudflare od pierwszego dnia. Pomagamy w tym w ramach usługi tworzenia stron WWW oraz stałej opieki nad WordPress.
Wolisz, żebyśmy zrobili to za Ciebie?
Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.
- Wdrożenie krok po kroku przez doświadczony zespół
- Konkretny timeline + cena dopasowana do projektu
- 18+ lat doświadczenia
Wolisz zlecić to nam? WordPress od 3 000 zł – wycena w 24h →
Cloudflare a SEO i Core Web Vitals
Z perspektywy Google najważniejsze są dwa sygnały, na które Cloudflare wpływa pozytywnie. Pierwszy to HTTPS – szyfrowane połączenie jest potwierdzonym (choć lekkim) czynnikiem rankingowym i warunkiem zaufania użytkownika oraz przeglądarki. Cloudflare daje certyfikat za darmo, więc nie ma powodu, by witryna działała na HTTP.
Drugi obszar to Core Web Vitals. CDN i cache skracają czas ładowania, co poprawia metryki LCP (Largest Contentful Paint) oraz pośrednio TTFB. Szybsza strona to niższy współczynnik odrzuceń i lepsze sygnały behawioralne.
Uwaga na pułapkę: agresywne funkcje optymalizacji (Rocket Loader, opóźnianie skryptów) mogą czasem pogorszyć INP lub wywołać błędy, jeśli kolidują z wtyczkami. Optymalizacja prędkości to nie tylko włączenie wszystkich przełączników – to świadomy dobór. Jeśli zależy Ci na wynikach w wyszukiwarce, ten temat warto połączyć z pozycjonowaniem SEO, gdzie szybkość jest jednym z elementów audytu technicznego.
Rejestracja konta i dodanie domeny
Konfigurację zaczynamy od założenia konta i podpięcia domeny:
1. Wejdź na dash.cloudflare.com i zarejestruj konto (e-mail + hasło).
2. Kliknij Add a site i wpisz swoją domenę bez https i bez www, np. `twojadomena.pl`.
3. Wybierz plan – dla większości stron WordPress wystarcza Free. Plany płatne (Pro, Business) omawiamy w dalszej części.
4. Cloudflare automatycznie przeskanuje istniejące rekordy DNS Twojej domeny.
Plan Free jest w pełni funkcjonalny dla typowej strony firmowej czy bloga: obejmuje CDN, darmowy SSL, ochronę DDoS i podstawowe reguły. Płatne plany dokupuje się dopiero, gdy potrzebny jest zaawansowany WAF czy optymalizacja obrazów. Nie spiesz się z wyborem droższej opcji na starcie.
Skanowanie rekordów DNS i znaczenie chmurek
Po dodaniu domeny zobaczysz listę zaimportowanych rekordów DNS. Kluczowa jest tu kolorowa chmurka przy każdym wpisie:
- Pomarańczowa chmurka (Proxied) – ruch przechodzi przez Cloudflare. Włącz ją dla rekordów A i CNAME odpowiadających za stronę WWW (zwykle `@` i `www`). To one korzystają z CDN, cache i ukrycia IP.
- Szara chmurka (DNS only) – Cloudflare tylko rozwiązuje DNS, ruch idzie bezpośrednio do serwera. Ten tryb ustaw dla usług, które nie powinny przechodzić przez proxy.
Reguła praktyczna: rekordy poczty zostaw na szaro. Wpisy MX oraz powiązane z nimi rekordy `mail.`, a także SPF/DKIM (rekordy TXT) i subdomeny FTP czy panelu hostingu nie powinny być proxowane – inaczej poczta lub dostęp do panelu przestaną działać. Cloudflare proxuje wyłącznie ruch HTTP/HTTPS na standardowych portach.
Dokładne zweryfikowanie tej tablicy jest najczęstszym miejscem błędów. Jeśli nie masz pewności, które wpisy zostawić, to standardowy element opieki nad WordPress, którą prowadzimy od 299 zł miesięcznie.
Zmiana serwerów nazw i propagacja DNS
Aby Cloudflare przejął obsługę domeny, trzeba zmienić serwery nazw (nameservery, NS) u rejestratora domeny. Cloudflare poda dwa adresy, np. `nina.ns.cloudflare.com` i `rick.ns.cloudflare.com` (każde konto dostaje inną parę).
Kroki:
1. Zaloguj się do panelu rejestratora domeny (tam, gdzie kupiłeś domenę).
2. Znajdź sekcję serwery nazw / DNS / nameservery.
3. Usuń dotychczasowe NS i wpisz dwa adresy z Cloudflare.
4. Zapisz zmiany.
Propagacja DNS trwa zwykle od kilkunastu minut do 24 godzin. Cloudflare wyśle e-mail, gdy domena będzie aktywna. Status sprawdzisz w zakładce DNS (komunikat o aktywnej domenie) oraz lokalnie poleceniem:
ping twojadomena.pllub `nslookup -type=ns twojadomena.pl` – jeśli zwraca serwery Cloudflare, propagacja się zakończyła.
Alternatywa dla zaawansowanych (partial / CNAME setup): jeśli z jakiegoś powodu nie możesz zmienić NS (np. domena obsługuje wiele usług firmowych zarządzanych centralnie), Cloudflare oferuje tryb częściowy, w którym podpinasz tylko wybrane subdomeny przez rekord CNAME. To rozwiązanie agencyjne, dostępne częściowo w niższych planach i pełniej w Business.
Tryby SSL Cloudflare i certyfikat Origin CA
Po aktywacji domeny ustaw poprawny tryb SSL w SSL/TLS → Overview. Dostępne opcje:
- Off – brak szyfrowania. Nigdy nie używaj.
- Flexible – HTTPS tylko między użytkownikiem a Cloudflare; do serwera idzie HTTP. To częsta przyczyna pętli przekierowań i pozornego bezpieczeństwa. Odradzamy.
- Full – HTTPS na całej drodze, ale Cloudflare akceptuje również certyfikat samopodpisany na serwerze.
- Full (Strict) – HTTPS end-to-end z weryfikacją ważnego certyfikatu na origin. To rekomendowany standard.
Aby tryb Full (Strict) działał poprawnie, serwer musi mieć ważny certyfikat. Tu pojawia się element pomijany w większości poradników – wygenerowanie certyfikatu na origin:
Cloudflare Origin CA (darmowy, ważny do 15 lat):
1. Wejdź w SSL/TLS → Origin Server → Create Certificate.
2. Zostaw RSA 2048 i listę hostów (`*.twojadomena.pl`, `twojadomena.pl`).
3. Skopiuj wygenerowany certyfikat i klucz prywatny (klucz pokazywany jest tylko raz).
4. Wgraj oba pliki na serwer i wskaż je w konfiguracji. Dla nginx:
ssl_certificate /etc/ssl/cloudflare/origin.pem;
ssl_certificate_key /etc/ssl/cloudflare/origin.key;dla Apache: dyrektywy `SSLCertificateFile` i `SSLCertificateKeyFile`. Po restarcie usługi serwer ma ważny certyfikat akceptowany przez Cloudflare.
Alternatywa: Let's Encrypt – jeśli wolisz certyfikat zaufany publicznie (działa też z szarą chmurką), wygeneruj go przez `certbot` lub panel hostingu. Origin CA jest wygodniejszy, bo nie wymaga odnawiania co 90 dni, ale jest ważny wyłącznie w połączeniu przez Cloudflare.
Always Use HTTPS i naprawa Mixed Content
Po ustawieniu certyfikatów wymuś szyfrowanie i napraw treści ładowane po HTTP:
- Always Use HTTPS (SSL/TLS → Edge Certificates) – przekierowuje cały ruch HTTP na HTTPS. Włącz.
- Automatic HTTPS Rewrites – zamienia w locie linki `http://` na `https://` w kodzie strony, co eliminuje większość ostrzeżeń Mixed Content (mieszanej zawartości).
W WordPressie pamiętaj też o ustawieniu poprawnego adresu w Ustawienia → Ogólne (WordPress Address i Site Address z `https://`). Jeśli po latach na HTTP w bazie zostały twarde linki `http://`, użyj wtyczki typu Better Search Replace, aby je podmienić. Dopiero komplet: certyfikat na origin + Always Use HTTPS + Automatic HTTPS Rewrites + czysta baza daje stronę bez ostrzeżeń o niezabezpieczonej zawartości.
Konfiguracja wtyczki Cloudflare w WordPress
Czy wtyczka jest konieczna? Nie do działania – sama zmiana DNS wystarczy, by Cloudflare obsługiwał stronę. Wtyczka jest jednak bardzo wygodna, bo automatycznie czyści cache po publikacji wpisu czy aktualizacji strony, dzięki czemu zmiany są od razu widoczne.
Konfiguracja oficjalnej wtyczki Cloudflare:
1. Zainstaluj wtyczkę Cloudflare z repozytorium WordPress.
2. Zaloguj się tokenem API (zalecane) lub adresem e-mail + Global API Key. Token tworzysz w My Profile → API Tokens z ograniczonymi uprawnieniami (Zone → Cache Purge).
3. Włącz Automatic Cache Management, aby wtyczka czyściła cache po zmianach.
4. Opcjonalnie zastosuj rekomendowane ustawienia jednym kliknięciem.
Alternatywnie wiele wtyczek cache (LiteSpeed Cache, WP Rocket) ma własną integrację z Cloudflare przez token API – wtedy nie potrzebujesz osobnej wtyczki Cloudflare.
Optymalizacja prędkości i konflikty z wtyczkami
W zakładkach Speed i Caching znajdziesz funkcje przyspieszające stronę. Ustaw je rozsądnie:
- Brotli – nowoczesna kompresja, w 2026 włączona domyślnie. Zostaw aktywną.
- Auto Minify (HTML/CSS/JS) – w nowym interfejsie ta opcja została wycofana z poziomu Cloudflare; minifikację najlepiej zostawić lokalnej wtyczce cache.
- Rocket Loader – opóźnia ładowanie JavaScriptu. Potrafi przyspieszyć, ale często powoduje konflikty (zepsute slidery, formularze, animacje). Włączaj ostrożnie i testuj stronę.
- Browser Cache TTL – ustaw na kilka dni do miesiąca, aby przeglądarki dłużej trzymały zasoby statyczne.
Rekomendowany stack 2026 – unikaj dublowania funkcji:
| Funkcja | Gdzie obsłużyć |
|---|---|
| Cache strony | Wtyczka (LiteSpeed Cache / WP Rocket) lub Cloudflare APO |
| Minifikacja CSS/JS | Wtyczka cache, NIE Cloudflare |
| Lazy load obrazów | Natywny WordPress lub wtyczka, NIE Mirage+wtyczka naraz |
| Opóźnianie JS | Wybierz JEDNO: Rocket Loader ALBO wtyczka |
| Kompresja | Brotli (Cloudflare) |
Najczęstszy błąd to włączenie minifikacji i opóźniania JS jednocześnie w Cloudflare i we wtyczce – efektem jest podwójne przetwarzanie i popsuty układ. Na hostingu LiteSpeed (np. CyberFolks) część zadań CDN realizuje QUIC.cloud, więc niektóre funkcje Cloudflare bywają redundantne – wtedy używaj Cloudflare głównie jako warstwy DNS, SSL i ochrony.
Cache i reguły dla WordPress oraz WooCommerce
Domyślnie Cloudflare buforuje tylko statyczne pliki (obrazy, CSS, JS), a strony HTML zostawia dynamiczne – i dla zwykłego WordPressa to bezpieczne ustawienie. Problemy zaczynają się przy agresywnym cache HTML.
Reguły dla WordPress (Caching → Cache Rules lub starsze Page Rules):
- Bypass cache dla `/wp-admin/` i `/wp-login.php` – panel i logowanie nigdy nie mogą być buforowane, inaczej stracisz dostęp lub zobaczysz stare ekrany.
- Purge Cache / Purge Everything – po większych zmianach na stronie wyczyść cache ręcznie w Caching → Configuration. Purge Everything czyści wszystko, Custom Purge tylko wskazane adresy.
WooCommerce – krytyczne ostrzeżenie: NIGDY nie włączaj Cache Everything na całym sklepie bez wykluczeń. Buforowanie koszyka czy płatności sprawi, że klient zobaczy cudzy koszyk albo nieaktualny stan zamówienia. Zawsze ustaw bypass cache dla:
- `/cart/` (koszyk)
- `/checkout/` (płatności)
- `/my-account/` (panel klienta)
- oraz dla ciasteczek sesji WooCommerce (`wp_woocommerce_session_`, `woocommerce_cart_hash`, `woocommerce_items_in_cart`).
To jeden z najważniejszych elementów wdrożenia – błąd tutaj kosztuje utracone zamówienia. Konfigurujemy to standardowo przy sklepach internetowych WooCommerce, które realizujemy od 8000 zł. Jeśli prowadzisz sklep i nie masz pewności co do cache, skontaktuj się z nami po szybki audyt.
Bezpieczeństwo: ochrona logowania, WAF i tryby obronne
Cloudflare to także warstwa bezpieczeństwa. Najważniejsze ustawienia w zakładce Security:
- Ochrona logowania – utwórz regułę, która dla `/wp-login.php` podnosi Security Level do High lub wymaga wyzwania (challenge). Ogranicza to ataki brute-force na panel.
- WAF (Web Application Firewall) – w planie Free dostępne są podstawowe Managed Rules; pełny WAF z regułami OWASP jest w Pro/Business.
- IP Access Rules i geolokalizacja – możesz blokować lub przepuszczać konkretne adresy IP i kraje (np. zablokować ruch z regionów generujących wyłącznie spam).
- Under Attack Mode – tryb awaryjny pokazujący stronę weryfikacji przez 5 sekund. Włączaj tylko podczas realnego ataku, bo utrudnia dostęp normalnym użytkownikom i botom Google.
- Rate Limiting – ogranicza liczbę zapytań z jednego IP w jednostce czasu; przydatne na endpointy logowania i API.
Dla sklepu i strony zbierającej leady warto połączyć ochronę logowania z regularnymi kopiami i aktualizacjami – to zakres naszej opieki nad WordPress.
Cloudflare Free vs Pro vs Business
Kiedy warto płacić? Poniżej skrócone porównanie:
| Funkcja | Free | Pro (~20 USD/mc) | Business (~200 USD/mc) |
|---|---|---|---|
| CDN, darmowy SSL, DDoS | tak | tak | tak |
| Reguły cache | podstawowe | więcej | nielimitowane |
| WAF z regułami OWASP | nie | tak | tak |
| Optymalizacja obrazów (Polish/Mirage) | nie | tak | tak |
| Priorytetowy support | nie | nie | tak |
| Partial CNAME setup (pełny) | częściowo | częściowo | tak |
Dla zdecydowanej większości stron firmowych i blogów plan Free w zupełności wystarcza. Pro ma sens, gdy potrzebujesz pełnego WAF (sklep, strona narażona na ataki) lub automatycznej optymalizacji obrazów. Business to opcja dla większych e-commerce i wdrożeń agencyjnych wymagających pełnego partial setupu i wsparcia. Zacznij od Free i upgrade rób dopiero, gdy konkretna funkcja jest realnie potrzebna.
Najczęstsze problemy i ich rozwiązanie
Kompletna tabela błędów Cloudflare na WordPress – przyczyna i naprawa w jednym miejscu:
| Błąd | Przyczyna | Rozwiązanie |
|---|---|---|
| ERR_TOO_MANY_REDIRECTS | Tryb SSL Flexible + wymuszony HTTPS na serwerze = pętla | Zmień tryb na Full (Strict); usuń podwójne przekierowania w `.htaccess`/wtyczce |
| 520 | Origin zwrócił pustą/nieprawidłową odpowiedź | Sprawdź logi serwera, limity PHP, restart usług |
| 521 | Serwer origin odrzuca połączenie (down lub blokada IP Cloudflare) | Uruchom serwer, odblokuj zakresy IP Cloudflare w firewallu |
| 522 | Timeout połączenia z origin | Sprawdź obciążenie/CPU serwera, firewall, zbyt wolny hosting |
| 525 | Nieudany handshake SSL między Cloudflare a origin | Wgraj ważny certyfikat (Origin CA) lub zmień tryb na Full |
| 526 | Nieprawidłowy/wygasły certyfikat na origin przy Full (Strict) | Odnów certyfikat lub wgraj Cloudflare Origin CA |
| Biały ekran (WSOD) | Konflikt Rocket Loader/minifikacji z wtyczką lub błąd PHP | Wyłącz Rocket Loader, sprawdź `debug.log` |
| Blokada wp-admin | Cache lub agresywna reguła Security na panelu | Dodaj bypass cache dla `/wp-admin/`, złagodź regułę |
| Mixed Content | Zasoby ładowane po HTTP | Włącz Automatic HTTPS Rewrites, podmień linki w bazie |
Większość problemów po włączeniu Cloudflare to pętla przekierowań z błędnego trybu SSL (Flexible zamiast Full Strict) oraz błędy 52x wynikające z braku ważnego certyfikatu na origin – dlatego tak ważny jest opisany wcześniej krok z Origin CA.
Jeśli po wdrożeniu strona przestała działać, a Ty nie chcesz tracić czasu na diagnostykę, napisz do nas przez formularz kontaktowy – konfigurujemy Cloudflare i naprawiamy takie błędy w ramach opieki technicznej.
Wspomniane narzędzia
Potrzebujesz pomocy z WordPress?
Tworzymy i naprawiamy strony na WordPress. Optymalizacja prędkości, bezpieczeństwo, aktualizacje. 18+ lat doświadczenia.
Najczęściej zadawane pytania
Czy Cloudflare jest darmowy dla WordPress?
Jak długo trwa propagacja DNS po zmianie nameserverów na Cloudflare?
Który tryb SSL wybrać w Cloudflare dla WordPress?
Jak naprawić błąd ERR_TOO_MANY_REDIRECTS po włączeniu Cloudflare?
Czy potrzebuję wtyczki Cloudflare w WordPress, czy wystarczy zmiana DNS?
Jak skonfigurować Cloudflare dla sklepu WooCommerce, żeby nie cache'ował koszyka?
Jak wygenerować certyfikat Cloudflare Origin CA?
Potrzebujesz pomocy?
Wolisz, żebyśmy zrobili to za Ciebie?
Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.
- Wdrożenie krok po kroku przez doświadczony zespół
- Konkretny timeline + cena dopasowana do projektu
- 18+ lat doświadczenia
Wolisz zlecić to nam? WordPress od 3 000 zł – wycena w 24h →