Cloudflare peut améliorer la performance et la protection d’un site WordPress ou d’une boutique WooCommerce, a condition de respecter deux principes : (1) securiser le chemin HTTPS jusqu’au serveur (SSL correct), (2) mettre du cache uniquement la ou c’est pertinent (pages publiques), tout en excluant les zones sensibles (admin, panier, checkout, compte).
Ce guide concerne une PME en Suisse romande, avec des visiteurs a Lausanne, Nyon, Vevey (Vaud), Geneve, Carouge (Geneve), Fribourg, Bulle (Fribourg), Sion, Martigny (Valais), Neuchatel, La Chaux-de-Fonds (Neuchatel), Delemont, Porrentruy (Jura).
Sources officielles : Cloudflare DNS (Full setup), Cloudflare SSL Full (strict), Cloudflare (Default cache behavior), Cloudflare (Cache Rules), Cloudflare (Cache Rules examples), Cloudflare (APO), Cloudflare (WAF), Cloudflare (Managed Rules), Cloudflare (Custom rules).
1) Demarrer proprement : DNS et activation
Pour utiliser la plupart des fonctions Cloudflare (CDN, cache, WAF), le mode le plus courant est le « Full setup » : votre domaine pointe vers les nameservers Cloudflare. Cela se fait chez votre registrar en remplacant les nameservers existants par ceux fournis dans votre compte Cloudflare.
- Verifier les enregistrements DNS (A, AAAA, CNAME, MX) avant le switch.
- Changer les nameservers chez le registrar (copie exacte).
- Verifier que le site repond et que les e-mails (MX) restent corrects.
2) SSL : choisir Full (strict) pour eviter les boucles et les erreurs
Pour un site WordPress moderne, l’objectif est simple : HTTPS entre le navigateur et Cloudflare, et HTTPS entre Cloudflare et votre serveur, avec validation du certificat cote origine. C’est exactement le role du mode SSL « Full (strict) ».
- Configurer votre serveur avec un certificat valide (par exemple Let’s Encrypt) ou un certificat « Origin CA » Cloudflare.
- Activer « Full (strict) » dans Cloudflare.
- Verifier l’absence de contenu mixte et de boucles de redirection.
Astuce pratique : une fois Full (strict) actif, garder une seule logique de redirection (HTTP vers HTTPS) et eviter les regles redondantes entre WordPress, l’hebergeur et Cloudflare.
3) Cache : comprendre le comportement par defaut (et pourquoi votre HTML n’est pas cache)
Par defaut, Cloudflare met surtout en cache des ressources statiques selon leur extension (CSS, JS, images, etc.). L’HTML et le JSON ne sont pas caches par defaut. C’est une bonne chose : sur WordPress, beaucoup de pages sont dynamiques, surtout quand un utilisateur est connecte.
4) Deux strategies de performance : Cache Rules ou APO (selon votre contexte)
Option A : Cache Rules (controle fin)
Les Cache Rules permettent de definir ce qui est eligible au cache, combien de temps, et dans quelles conditions, avec des regles de bypass quand il le faut (par URL, cookies, etc.).
- Mettre en cache uniquement les pages publiques qui ne changent pas a chaque visite.
- Bypass sur les zones sensibles : /wp-admin/, /wp-login.php, panier, checkout, mon-compte.
- Bypass pour les utilisateurs connectes (via cookie), afin d’eviter l’affichage de contenus melanges.
Option B : APO (si l’objectif est la vitesse sur tout le site)
APO (Automatic Platform Optimization) est concu pour WordPress. Le principe : servir davantage de contenu depuis le reseau Cloudflare, avec une mise en place guidee (incluant un plugin WordPress Cloudflare). Cela peut etre interessant si votre site est majoritairement public (vitrine, blog) et que vous voulez une acceleration globale sans multiplier les regles.
Sur une boutique WooCommerce active, APO et le cache HTML demandent plus de rigueur sur les exclusions (panier, checkout, compte, pages personnalisees), sinon le risque est simple : un panier qui se comporte mal ou des donnees affichees a la mauvaise personne.
5) WooCommerce : les pages a exclure (sinon, conversion en danger)
Sur WooCommerce, ces pages sont generalement a exclure du cache HTML :
- /cart/ (panier)
- /checkout/ (paiement)
- /my-account/ (compte, commandes, adresses)
- Pages de confirmation si elles contiennent des donnees de commande
- Tout ce qui depend fortement de cookies (ex. contenu personnalise)
Ensuite, le cache des ressources statiques (images, CSS, JS) reste en general benefique, y compris pour une boutique.
6) WAF : activer une protection utile, sans bloquer vos clients
Le WAF Cloudflare combine des regles gerees (Managed Rules) et des regles personnalisees. Les regles gerees sont concues pour bloquer ou defier des techniques d’attaque connues, et elles sont mises a jour regulierement. Les regles personnalisees servent a adapter selon votre site (par exemple, limiter des tentatives de login).
- Activer des Managed Rules de base, puis surveiller les faux positifs.
- Ajouter une regle personnalisee pour renforcer /wp-login.php (challenge ou rate limiting), sans punir les clients legitimes.
- Sur WooCommerce, rester prudent sur les pages de checkout et les endpoints de paiement : un challenge agressif peut faire chuter les conversions.
Checklist express (30 minutes)
- DNS : nameservers Cloudflare en place, enregistrements verifies.
- SSL : mode Full (strict) actif, pas de boucles, pas de contenu mixte.
- Cache : statique OK, HTML uniquement si strategiquement controle (Cache Rules ou APO).
- WooCommerce : panier, checkout, compte exclus du cache HTML.
- WAF : Managed Rules actives, regles personnalisees mesurées sur le login.
FAQ Cloudflare, WordPress et WooCommerce (Suisse romande)
Est-ce utile pour une PME a Fribourg, Neuchatel ou en Valais, alors que les visiteurs sont deja en Suisse ?
Oui, surtout pour la stabilite et la rapidite percue (cache statique, optimisation reseau, reduction de charge serveur). L’impact exact depend du site, mais les gains sont frequents sur mobile.
Pourquoi mon site ne devient pas « instantane » apres activation Cloudflare ?
Parce que l’HTML n’est pas cache par defaut. Cloudflare met d’abord en cache les fichiers statiques. Pour mettre en cache certaines pages HTML publiques, il faut une strategie via Cache Rules ou APO, avec des exclusions strictes.
Quel mode SSL choisir pour WordPress ?
En general, Full (strict) est le plus propre si votre serveur presente un certificat valide. Cela evite de nombreux problemes (erreurs de certificat, boucles) et renforce la securite entre Cloudflare et l’origine.
Comment proteger wp-login sans bloquer les clients WooCommerce ?
Ajouter une regle WAF ciblee sur /wp-login.php (challenge ou limitation de debit) et tester le parcours client. Sur le checkout, eviter les challenges trop stricts, surtout pendant des campagnes ou des pics de ventes.
Besoin d’un setup Cloudflare propre, rapide et compatible WooCommerce ?
Pour configurer DNS, SSL Full (strict), une strategie de cache realiste (sans casser le panier), et un WAF mesure, contactez clickclick.ch.
