Performance & Segurança
14 min de leitura
24 de março de 2026

Como Usar o Cloudflare no WordPress: Guia Completo 2026

Guia passo a passo para configurar o Cloudflare no WordPress em 2026: CDN gratuito, SSL Full Strict, cache, regras de firewall, configurações ideais e integração com WP Rocket.

O Cloudflare é uma das melhores adições que você pode fazer a um site WordPress — e o plano gratuito entrega funcionalidades que muitos serviços pagos cobrariam centenas de reais por mês: CDN global, proteção DDoS ilimitada, SSL gratuito, firewall básico e cache de conteúdo estático. Mas configurar o Cloudflare incorretamente no WordPress pode causar problemas sérios — cache de páginas de admin, loop de redirecionamentos SSL, ou conflitos com plugins de cache.

Neste guia completo e atualizado para 2026, você vai aprender exatamente como configurar o Cloudflare do zero para um site WordPress, quais configurações ativar, quais evitar, e como integrar com WP Rocket para extrair o máximo de performance.

Cloudflare — CDN, SSL e Proteção DDoS Gratuitos

O plano gratuito do Cloudflare inclui CDN global com 300+ pontos de presença, proteção DDoS ilimitada, SSL automático e firewall básico. Zero custo, configuração em menos de 30 minutos.

Criar Conta Gratuita no Cloudflare →

O Que é o Cloudflare e Como Funciona?

O Cloudflare é uma rede de entrega de conteúdo (CDN — Content Delivery Network) combinada com um conjunto de serviços de segurança e performance. Quando você coloca seu site no Cloudflare, o tráfego passa pela rede do Cloudflare antes de chegar ao seu servidor de hospedagem.

O que isso significa na prática:

  • CDN: os arquivos estáticos do seu site (imagens, CSS, JavaScript) são armazenados em servidores ao redor do mundo. Um visitante de São Paulo recebe os arquivos de um servidor próximo — não do servidor nos EUA onde seu site pode estar hospedado.
  • Proteção DDoS: ataques de negação de serviço são absorvidos pela rede do Cloudflare antes de chegarem ao seu servidor
  • SSL gratuito: o Cloudflare emite e renova certificados SSL automaticamente
  • Firewall: requisições maliciosas são bloqueadas na borda da rede do Cloudflare, sem impactar seu servidor
  • Cache: páginas e arquivos em cache são servidos diretamente pelo Cloudflare, sem consultar seu servidor — reduzindo o tempo de carregamento e o consumo de recursos do servidor

Planos do Cloudflare em 2026

Plano Preço Destaques
Free US$ 0/mês CDN global, DDoS ilimitado, SSL, firewall básico, 3 Page Rules, cache básico
Pro US$ 20/mês WAF avançado, otimização de imagens (Polish, Mirage), Mobile Redirect, 20 Page Rules
Business US$ 200/mês PCI compliance, SLA 100% uptime, suporte 24/7, certificados SSL customizados
Enterprise Sob consulta (US$ 3.000+/mês) Suporte dedicado, SLA customizado, IP dedicado, recursos avançados

O Plano Gratuito Vale Realmente a Pena

Para a maioria dos sites WordPress, o plano Free do Cloudflare é suficiente e entrega resultados impressionantes. A rede do Cloudflare tem mais de 300 pontos de presença globais — e você usa a mesma infraestrutura nos planos pagos, sem restrições de bandwidth. A diferença principal do Free para o Pro está nas ferramentas de segurança avançadas (WAF mais robusto) e na otimização de imagens automática, que o plano gratuito não inclui.

Cloudflare no Brasil: O Cloudflare tem pontos de presença (PoPs) em São Paulo, Rio de Janeiro, Fortaleza e outras cidades brasileiras. Isso significa que visitantes do Brasil são servidos por servidores locais — reduzindo significativamente a latência em comparação com um site hospedado apenas nos EUA.

Passo a Passo: Configurando o Cloudflare no WordPress

Passo 1: Criar Conta no Cloudflare

  1. Acesse cloudflare.com e clique em "Sign up"
  2. Digite seu email e crie uma senha
  3. Na próxima tela, clique em "Add a site" e insira o domínio do seu site (ex: seusite.com.br)
  4. Selecione o plano Free e clique em "Continue"

Passo 2: Revisar os Registros DNS

O Cloudflare vai escanear automaticamente os registros DNS do seu domínio. Revise a lista apresentada e confirme que os registros importantes estão corretos:

  • Registro A: aponta o domínio (@ e www) para o IP do seu servidor de hospedagem. Deve aparecer com o ícone laranja "Proxied" para passar pelo Cloudflare.
  • Registros MX: para email, devem estar com o ícone cinza "DNS only" — email NÃO deve passar pelo proxy do Cloudflare.
  • Outros subdomínios de serviços específicos (ex: FTP, webmail) também devem ficar como "DNS only".

Passo 3: Trocar os Nameservers no Registrador

O Cloudflare vai mostrar dois nameservers (ex: addie.ns.cloudflare.com e miles.ns.cloudflare.com). Você precisa substituir os nameservers atuais do seu domínio por esses dois no painel do seu registrador de domínios:

  • Registro.br: acesse registro.br → Domínios → selecione o domínio → DNS → altere os servidores
  • Hostinger: painel Hostinger → Domínios → DNS/Nameservers → insira os nameservers do Cloudflare
  • GoDaddy, Namecheap: siga os mesmos passos no painel de cada registrador

A propagação dos nameservers leva entre 15 minutos e 24 horas. O Cloudflare vai enviar um email de confirmação quando o domínio for verificado.

Passo 4: Configurar SSL — Use Full (Strict)

Esta é a configuração mais crítica e a que mais causa problemas quando feita errada. No painel do Cloudflare, acesse SSL/TLS → Overview e configure o modo de criptografia:

  • Flexible: criptografa apenas entre o visitante e o Cloudflare. NÃO use se sua hospedagem já tem SSL. Causa loops de redirecionamento infinitos.
  • Full: criptografa de ponta a ponta, mas aceita certificados SSL auto-assinados no servidor.
  • Full (Strict) — RECOMENDADO: criptografa de ponta a ponta e exige um certificado SSL válido no servidor (Let's Encrypt ou similar). Use este modo se sua hospedagem já tem SSL instalado (Hostinger, Kinsta, e a maioria das hospedagens modernas instalam SSL Let's Encrypt automaticamente).
Atenção ao modo SSL: Se você usar "Flexible" e sua hospedagem já força HTTPS, vai criar um loop de redirecionamento (redirect loop) que deixa o site inacessível. Sempre use "Full (Strict)" quando sua hospedagem tem SSL instalado. Em caso de dúvida, ative o SSL Let's Encrypt na sua hospedagem primeiro, depois configure o Cloudflare como Full (Strict).

Passo 5: Configurar "Always Use HTTPS"

Em SSL/TLS → Edge Certificates, ative:

  • Always Use HTTPS: redireciona automaticamente qualquer requisição HTTP para HTTPS
  • Automatic HTTPS Rewrites: corrige links inseguros (HTTP) no HTML das páginas automaticamente
  • HTTP/2 e HTTP/3: ative ambos para melhor performance

Melhores Configurações do Cloudflare para WordPress

Speed — Otimizações de Performance

Em Speed → Optimization:

  • Auto Minify: ative para JavaScript, CSS e HTML. Remove espaços e comentários desnecessários, reduzindo o tamanho dos arquivos.
  • Rocket Loader: deixe DESATIVADO para a maioria dos sites WordPress. O Rocket Loader adia o carregamento de JavaScript de forma assíncrona, mas frequentemente quebra sliders, formulários e plugins que dependem de JS específico. Teste com cuidado antes de ativar.
  • Brotli: mantenha ativado. Compressão de arquivos mais eficiente que Gzip.

Caching — Configurações de Cache

Em Caching → Configuration:

  • Caching Level: defina como "Standard". O modo "Aggressive" pode causar problemas em páginas dinâmicas.
  • Browser Cache TTL: defina como "4 hours" ou "1 day" para arquivos estáticos. Isso instrui os navegadores a manter arquivos em cache localmente por esse período.
  • Always Online: ative para que o Cloudflare sirva uma versão em cache do site caso seu servidor fique offline.

Firewall — Protegendo o WordPress

Em Security → WAF, você pode criar regras de firewall personalizadas. Algumas regras úteis para WordPress:

Regra 1: Bloquear acesso ao wp-admin de IPs desconhecidos (opcional, para sites com acesso restrito)

  • Campo: URI Path → Operador: contains → Valor: /wp-admin/
  • Adicionar: AND → Campo: IP Source Address → Operador: is not in → insira os IPs autorizados
  • Ação: Block

Regra 2: Bloquear bots maliciosos por User Agent

  • Campo: User Agent → Operador: contains → Valor: python-requests (ou outros bots conhecidos)
  • Ação: Block

Regra 3: Rate Limiting no xmlrpc.php (alvo comum de ataques de brute force)

  • Campo: URI Path → Operador: equals → Valor: /xmlrpc.php
  • Ação: Block (se você não usa XML-RPC, bloquear completamente é a melhor opção)

Cloudflare + WP Rocket: A Combinação Ideal

O WP Rocket é o plugin de cache mais popular para WordPress, e integra nativamente com o Cloudflare. Quando usados juntos, o WP Rocket gerencia o cache no servidor (cache de página, minificação de CSS/JS, lazy load de imagens) e o Cloudflare cuida do cache na borda da rede (CDN) e da segurança.

Configuração no WP Rocket

  1. No WP Rocket, acesse WP Rocket → Add-ons → Cloudflare
  2. Insira o Global API Key do Cloudflare (encontrado em Cloudflare → My Profile → API Tokens → Global API Key)
  3. Insira seu email de login do Cloudflare e o Zone ID do seu domínio
  4. Ative a opção "Optimal settings" — o WP Rocket vai configurar o Cloudflare com as melhores configurações para WordPress automaticamente

Configurações que o WP Rocket Define Automaticamente no Cloudflare

  • Desativa o Rocket Loader (evita conflitos)
  • Define Auto Minify para funcionar junto com a minificação do WP Rocket (evita dupla minificação)
  • Configura a limpeza de cache do Cloudflare automaticamente quando o cache do WP Rocket é limpo
  • Define o Browser Cache TTL
Evite dupla minificação: Se você usa WP Rocket para minificar CSS e JS, desative o Auto Minify correspondente no Cloudflare (ou deixe o WP Rocket gerenciar tudo). Dupla minificação pode causar erros em arquivos JavaScript. O WP Rocket cuida disso automaticamente quando integrado ao Cloudflare.

Regra Essencial: Não Fazer Cache do Painel WordPress

Uma das configurações mais importantes para evitar problemas: o painel de administração do WordPress (/wp-admin/) e as páginas de login (/wp-login.php) nunca devem ser cacheados. Se o Cloudflare fizer cache dessas páginas, você pode ver o painel de outro usuário ou ter problemas com o nonce de segurança do WordPress.

Para garantir isso, crie uma Page Rule (ou uma Cache Rule no painel moderno do Cloudflare):

  • URL Pattern: seudominio.com/wp-admin/*
  • Setting: Cache Level: Bypass

Repita para seudominio.com/wp-login.php e para qualquer área dinâmica como carrinho de compras (/cart/*) se você tiver WooCommerce.

Resultados de Performance: Antes e Depois

Após configurar corretamente o Cloudflare em um site WordPress típico hospedado em uma hospedagem compartilhada nacional, os resultados esperados são:

Métrica Antes do Cloudflare Depois do Cloudflare
TTFB (Time to First Byte) 600–1.200ms 50–200ms (conteúdo em cache)
Tempo de carregamento total 3–5s 1,5–3s
Tamanho de transferência (com minificação) Tamanho original 15–25% menor
Proteção contra DDoS Depende da hospedagem Ilimitada (camada 3, 4 e 7)
SSL Depende da hospedagem Gerenciado automaticamente pelo Cloudflare

Os ganhos mais expressivos acontecem para visitantes geográficos distantes do servidor: se o servidor está nos EUA e o visitante está no Nordeste do Brasil, a latência sem CDN pode ser de 200ms+; com o Cloudflare servindo conteúdo de um PoP brasileiro, cai para menos de 20ms para o conteúdo em cache.

Limitações do Plano Gratuito

O plano Free do Cloudflare é excelente, mas tem limitações reais que valem mencionar:

  • Apenas 3 Page Rules: no plano gratuito, você tem 3 regras de página. São suficientes para as regras básicas (bypass do wp-admin, wp-login.php e uma terceira), mas podem não ser suficientes para sites complexos com muitas áreas dinâmicas.
  • Sem Polish (otimização de imagens): a conversão automática de imagens para WebP e a compressão automática de imagens estão disponíveis apenas no plano Pro.
  • WAF limitado: o plano gratuito inclui regras básicas de firewall. O plano Pro adiciona conjuntos de regras gerenciados especificamente para WordPress e OWASP Top 10.
  • Sem suporte por email ou chat: suporte apenas via comunidade e documentação.
  • Analytics com delay: os relatórios de analytics do Cloudflare gratuito têm atraso de até 24 horas.

Veredicto Final

O Cloudflare é uma das melhores decisões que você pode tomar para um site WordPress — e o plano gratuito, configurado corretamente, entrega resultados expressivos sem nenhum custo. A combinação de CDN global, SSL automático, proteção DDoS ilimitada e cache de conteúdo estático melhora tanto a performance quanto a segurança do site.

A chave para uma configuração bem-sucedida está em dois pontos: usar SSL Full (Strict) — nunca Flexible — e garantir que o painel WordPress nunca seja cacheado. Com essas duas regras estabelecidas, o restante da configuração é bastante tolerante a erros.

Para sites WordPress com WP Rocket, a integração nativa entre os dois simplifica ainda mais o gerenciamento. Para sites sem plugin de cache dedicado, o Cloudflare sozinho já entrega ganhos de velocidade consideráveis através do cache de conteúdo estático e da minificação automática.

Configure o Cloudflare Gratuitamente no Seu WordPress Hoje

CDN global com pontos de presença no Brasil, DDoS ilimitado, SSL automático e cache. Zero custo, configuração em menos de 30 minutos.

Criar Conta Gratuita no Cloudflare →
cloudflare wordpresscloudflare configurar wordpresscloudflare gratuito wordpresscloudflare ssl wordpresscloudflare cdn wordpresscloudflare cache wordpresscloudflare wp rocketcloudflare firewall wordpresscloudflare planos preço 2026como usar cloudflare wordpresscloudflare full strict sslcloudflare free plan vale a pena

Artigos Relacionados

Performance & Segurança

WP Rocket Review 2026: O Melhor Plugin de Cache para WordPress?

10 min de leitura
Performance & Segurança

Como Acelerar seu Site WordPress em 2026 (Guia Completo)

15 min de leitura
Performance & Segurança

Como Proteger seu Site WordPress em 2026 (Guia Completo)

14 min de leitura
Ferramentas em Destaque

Compare as Melhores Ferramentas

Reviews honestos, preços atualizados e indicações para o mercado brasileiro.

Ver todas as ferramentas