Cloudflare pour WordPress : le guide complet pour booster vitesse et sécurité

Cloudflare protège et accélère plus de 20 % des sites web dans le monde. Pour un site WordPress, c’est un ajout quasi indispensable : CDN gratuit, protection DDoS, SSL automatique, pare-feu applicatif (WAF). Le tout dans un plan gratuit qui suffit pour 90 % des sites.

Mais mal configuré, Cloudflare peut casser votre site : boucle de redirection HTTPS, cache qui affiche du contenu obsolète, formulaires qui ne fonctionnent plus… Voici le guide de configuration complet pour en tirer le maximum sans les problèmes.

Pourquoi utiliser Cloudflare avec WordPress

Cloudflare agit comme un intermédiaire entre vos visiteurs et votre serveur. Concrètement, ça apporte :

• Un CDN mondial gratuit — vos images, CSS et JS sont servis depuis 300+ datacenters dans le monde. Un visiteur à Tokyo charge votre site depuis un serveur à Tokyo, pas depuis votre serveur OVH à Roubaix
• Une protection DDoS — Cloudflare absorbe les attaques volumétriques avant qu’elles n’atteignent votre serveur
• Un pare-feu WAF — bloque les tentatives d’injection SQL, XSS, brute force
• La compression Brotli — plus efficace que Gzip, activée en un clic
• Le SSL/HTTPS automatique — certificat gratuit, renouvellement automatique
• Les analytics — données de trafic et de menaces sans script de tracking

Étape 1 : créer un compte et ajouter votre domaine

Rendez-vous sur cloudflare.com et créez un compte gratuit. Ajoutez votre nom de domaine. Cloudflare scanne automatiquement vos enregistrements DNS existants.

Point critique : vérifiez que TOUS vos enregistrements DNS ont été correctement importés avant de changer les nameservers. Oublier un enregistrement MX = plus d’emails. Oublier un sous-domaine = service en panne.

Étape 2 : changer les nameservers

Cloudflare vous donne deux nameservers (ex : ada.ns.cloudflare.com et bert.ns.cloudflare.com). Allez chez votre registrar (OVH, Gandi, etc.) et remplacez les nameservers actuels par ceux de Cloudflare.

La propagation DNS prend entre 5 minutes et 48 heures (en général moins d’une heure).

Étape 3 : configurer le SSL correctement

C’est ici que 80 % des problèmes surviennent. Dans SSL/TLS > Overview, choisissez le mode :

• Full (strict) — recommandé si votre serveur a déjà un certificat SSL (Let’s Encrypt)
• Full — si votre serveur a un certificat auto-signé
• Flexible — à ÉVITER avec WordPress. Ce mode crée une boucle de redirection infinie car WordPress détecte une connexion non-HTTPS côté serveur

Activez aussi “Always Use HTTPS” et “Automatic HTTPS Rewrites” dans SSL/TLS > Edge Certificates.

Étape 4 : optimiser le cache

Par défaut, Cloudflare ne cache que les fichiers statiques (images, CSS, JS). Pour les pages HTML, il faut configurer des Page Rules :

• wp-admin/* — Cache Level: Bypass (ne JAMAIS cacher le back-office)
• wp-login.php — Cache Level: Bypass
• Reste du site — Cache Level: Standard, Edge Cache TTL: 1 month

Si vous utilisez WooCommerce, ajoutez aussi des règles bypass pour /cart/*, /checkout/* et /my-account/*.

Étape 5 : activer les optimisations de vitesse

Dans Speed > Optimization :

• Auto Minify : activez pour CSS, JavaScript et HTML
• Brotli : activez (compression plus efficace que Gzip)
• Early Hints : activez (pré-charge les ressources critiques)
• HTTP/2 et HTTP/3 : activés par défaut

Étape 6 : configurer la sécurité

Dans Security > WAF, activez les règles gérées par Cloudflare. Pour WordPress spécifiquement :

• Activez le jeu de règles “Cloudflare WordPress”
• Configurez le Rate Limiting sur wp-login.php (max 5 tentatives par minute)
• Bloquez les pays d’où vous n’avez aucun client si vous êtes un business local
• Activez le Bot Fight Mode pour bloquer les bots malveillants

Étape 7 : installer le plugin Cloudflare pour WordPress

Le plugin officiel Cloudflare pour WordPress synchronise automatiquement la purge du cache quand vous publiez ou modifiez un article. Il transmet aussi les vraies adresses IP des visiteurs (sinon WordPress voit l’IP de Cloudflare pour tout le monde).

Alternative plus légère : le plugin “WP Cloudflare Super Page Cache” qui offre un cache plus agressif et granulaire.

Les erreurs à ne surtout pas commettre

• Mode SSL Flexible avec WordPress — boucle de redirection garantie
• Cacher le back-office — vous serez bloqué hors de votre propre site
• Ne pas purger le cache après une mise à jour — vos visiteurs voient l’ancienne version
• Activer “Under Attack Mode” en permanence — ajoute un interstitiel de 5 secondes à chaque visiteur
• Oublier les enregistrements MX — plus aucun email ne fonctionne

Résultats attendus

Avec une configuration Cloudflare optimale sur un site WordPress :

• Temps de chargement réduit de 30 à 50 %
• Consommation bande passante serveur réduite de 60 %
• Protection contre 99 % des attaques automatisées
• Certificat SSL gratuit et auto-renouvelé

Nous avons mis en place Cloudflare pour plusieurs clients, dont Petite Boussole, avec des résultats significatifs sur la vitesse et la sécurité. Besoin d’aide pour configurer Cloudflare sur votre WordPress ? Contactez-nous.

Besoin d’un expert ? Optimisation performance WordPress Paris →

Questions fréquentes

Cloudflare améliore-t-il vraiment les performances WordPress ?

Oui pour deux raisons : le CDN Cloudflare sert les ressources statiques (CSS, JS, images) depuis le datacenter le plus proche du visiteur, et le cache Cloudflare peut servir des pages entières sans toucher le serveur WordPress. Résultat typique : réduction de 30 à 50% du Time to First Byte (TTFB) et gain de 10 à 20 points de PageSpeed.

Cloudflare casse-t-il parfois le back-office WordPress ?

Oui si mal configuré. Les problèmes fréquents : cache Cloudflare qui sert des pages wp-admin en cache (solution : exclure /wp-admin/* et /wp-login.php du cache), erreurs SSL en boucle (solution : passer Cloudflare en mode SSL ‘Full Strict’ et installer un certificat SSL sur le serveur), et problèmes avec les formulaires AJAX mal identifiés comme bot. Ces problèmes se règlent avec les règles de cache Cloudflare.