Cloudflare peut rendre un site WordPress plus rapide et plus robuste, à condition d’éviter un piège classique : mettre en cache des pages dynamiques (panier, checkout, compte). Bien configuré, le duo CDN + règles de cache + WAF améliore la stabilité, que vos visiteurs soient à Lausanne, Vevey, Nyon, Yverdon-les-Bains (Vaud), Genève, Carouge (Genève), Fribourg, Bulle (Fribourg), Sion, Martigny, Monthey (Valais), Neuchâtel, La Chaux-de-Fonds (Neuchâtel), Delémont ou Porrentruy (Jura).
Sources officielles : Cloudflare – SSL/TLS Full (strict), Cloudflare – Always Use HTTPS, Cloudflare – HSTS, Cloudflare – Cache Rules (Bypass cache), Cloudflare – Bypass cache on cookie, Cloudflare – Purge cache, Cloudflare – WAF, Cloudflare – Managed rules, WooCommerce – Cookies, WooCommerce (dev) – Exclusions cache (pages et cookies).
1) Réglages SSL : partir sur Full (strict), puis forcer HTTPS
- SSL/TLS Full (strict) : chiffré entre navigateur et Cloudflare, puis entre Cloudflare et votre serveur, avec validation plus stricte côté origine.
- Always Use HTTPS : redirige toutes les requêtes HTTP vers HTTPS.
- HSTS : utile, mais à activer seulement quand tout est stable (mauvaise configuration = impact durable côté navigateurs).
2) Cache : la règle simple pour WooCommerce
Sur WooCommerce, certaines pages doivent rester dynamiques. La documentation WooCommerce recommande d’exclure au minimum :
- Cart (panier)
- Checkout (paiement)
- My Account (compte)
Ensuite, côté cookies, WooCommerce documente notamment : woocommerce_cart_hash, woocommerce_items_in_cart, wp_woocommerce_session_, woocommerce_recently_viewed, et store_notice[notice id]. Ces cookies servent à la logique de panier, de session et d’affichage, donc ils ne doivent pas déclencher un cache qui casserait le parcours.
3) Cloudflare Cache Rules : 3 règles qui évitent 80% des incidents
A) Bypass cache pour l’admin et la connexion
Exemples de cibles (selon vos URLs) :
- /wp-admin*
- /wp-login.php*B) Bypass cache pour les pages WooCommerce dynamiques
Exemples de cibles (selon vos slugs) :
- /cart*
- /checkout*
- /my-account*C) Bypass cache si un cookie WooCommerce est présent
Cloudflare permet de créer une règle « Bypass cache » basée sur la présence d’un cookie. C’est particulièrement utile pour éviter de servir du HTML mis en cache à un utilisateur qui a un panier ou une session active.
Principe (à adapter dans Cloudflare, via une expression) :
- Si http.cookie contient "woocommerce_items_in_cart"
alors Bypass cacheImportant : ne faites pas une règle trop large qui désactive le cache pour tout le site dès qu’un cookie existe. Sur une boutique, l’objectif est de rester précis, sinon la performance s’effondre.
4) Purge du cache : garder la main après une mise à jour
Après une mise à jour (thème, CSS, pages clés), purger le cache permet de refléter immédiatement les changements. Cloudflare recommande la purge par URL (ciblée) quand c’est possible, plutôt qu’un « purge all » systématique.
5) WAF : ajouter une couche de protection sans bloquer les clients
Le WAF Cloudflare s’appuie sur des règles gérées (managed rules) et permet aussi des règles personnalisées. Une approche raisonnable :
- Activer des managed rules (dont des règles orientées exploits web, selon vos options).
- Surveiller les événements WAF quelques jours pour repérer les faux positifs.
- Si vous subissez des attaques de connexion : compléter avec des règles de limitation (rate limiting) ou des challenges sur des chemins sensibles.
Checklist rapide (45 minutes) : valider que tout est sain
- Vérifier SSL/TLS : Full (strict) + redirection HTTPS.
- Créer 3 Cache Rules : admin/login, pages WooCommerce dynamiques, bypass sur cookie WooCommerce.
- Tester : ajout au panier, checkout, compte, sur mobile et desktop.
- Modifier un élément visible (ex. texte de page d’accueil), puis purger par URL et vérifier le résultat.
- Activer le WAF avec des règles gérées, puis surveiller les faux positifs.
FAQ Cloudflare, WordPress et WooCommerce (Suisse romande)
Pourquoi mon panier WooCommerce affiche des contenus incohérents avec Cloudflare ?
Cause fréquente : du HTML mis en cache sur des pages qui doivent rester dynamiques (panier, checkout, compte) ou un cache non conditionné aux cookies de session. La solution consiste à exclure ces pages et, au besoin, à bypass le cache si un cookie WooCommerce est présent.
Full (strict) est-il vraiment utile pour une PME en Suisse ?
Oui, car cela chiffre aussi la connexion entre Cloudflare et votre serveur et impose des exigences plus strictes sur le certificat côté origine. C’est un réglage propre quand le serveur dispose d’un certificat valide.
Dois-je activer HSTS tout de suite ?
Pas forcément. HSTS est puissant, mais demande une vérification stricte (tout doit être servi en HTTPS, sans exception). Mieux vaut l’activer après stabilisation, et avec prudence sur les paramètres.
Comment rafraîchir une page après une mise à jour WordPress ?
Utiliser la purge ciblée par URL est souvent la meilleure option : vous rafraîchissez uniquement ce qui a changé, sans invalider tout le cache.
Besoin d’une configuration Cloudflare propre (sans casser WooCommerce) ?
Pour cadrer SSL/TLS, définir des Cache Rules sûres (panier, checkout, cookies), mettre en place un WAF sans faux positifs et garder un site rapide sur tous les cantons romands, contactez clickclick.ch.
