Qué es Cloudflare y cómo configurarlo en tu web

Si tu web es lenta, se cae con frecuencia o has sufrido ataques de bots, Cloudflare puede ser la solución que necesitas. Es uno de los servicios más usados del mundo y, lo mejor, tiene un plan gratuito que cubre las necesidades de la mayoría de sitios web pequeños y medianos. En Perú lo usan desde startups hasta grandes empresas.

En esta guía vamos a explicar qué es Cloudflare exactamente, por qué tantos administradores lo consideran indispensable y cómo configurarlo paso a paso en tu web, especialmente si trabajas con WordPress. Al final tendrás claro si te conviene activarlo y cómo hacerlo sin romper nada.

Qué es Cloudflare en términos simples

Cloudflare es una capa intermedia que se pone entre tus visitantes y tu servidor de hosting. Cuando alguien intenta entrar a tu sitio, primero pasa por la red de Cloudflare, que filtra amenazas, sirve contenido cacheado desde nodos cercanos y solo en caso necesario consulta a tu servidor original. Esto significa velocidad, seguridad y disponibilidad mejoradas.

La red de Cloudflare tiene más de 300 datacenters distribuidos por todo el mundo, incluyendo varios en Latinoamérica (hay nodos en Lima, Bogotá, Buenos Aires, México DF y Santiago entre otros). Esto significa que un visitante de Arequipa que entra a tu web alojada en Estados Unidos recibe los archivos desde el nodo de Lima, no desde Dallas. La diferencia de latencia es enorme.

Además de acelerar tu sitio, Cloudflare protege contra ataques DDoS, bots maliciosos, intentos de inyección SQL y otros vectores de seguridad. Para sitios pequeños, esta protección suele ser invisible porque rara vez son atacados; para sitios con tráfico, es esencial.

Por qué te conviene usar Cloudflare

La primera razón es el rendimiento. Cloudflare cachea archivos estáticos (imágenes, CSS, JavaScript) en sus nodos globales, sirviéndolos desde el más cercano a cada visitante. Esto reduce la carga sobre tu servidor y acelera tiempos de respuesta. Para sitios con tráfico internacional, el impacto en velocidad es notable.

La segunda razón es la seguridad. El plan gratuito incluye CDN, SSL flexible, protección DDoS básica y reglas de seguridad automáticas que bloquean ataques comunes. Para tener algo equivalente sin Cloudflare necesitarías contratar servicios separados que sumarían cientos de dólares mensuales.

La tercera razón es la disponibilidad. Si tu servidor de origen se cae, Cloudflare puede servir versiones cacheadas de tu sitio mientras dura la caída. Los visitantes no ven una página de error, sino una versión funcional aunque no actualizada del momento. Esto salva ventas y reputación.

El plan Pro cuesta US$25 mensuales y añade WAF (Web Application Firewall), optimización de imágenes con Polish y compresión Brotli mejorada. Para sitios serios o con muchas imágenes, este plan se paga solo. Los planes Business y Enterprise son para casos muy específicos.

Lo que incluye el plan gratuito

Cloudflare Free es uno de los servicios más generosos del mercado tech. Incluye SSL universal sin costo, CDN global con cache automático, protección DDoS básica que filtra ataques pequeños, reglas de seguridad automáticas, panel de analíticas y soporte por documentación.

También viene con Cloudflare Workers limitados (100,000 requests diarios), que permiten ejecutar código JavaScript directamente en el borde de la red sin servidor propio. Es una herramienta poderosa para desarrolladores que necesitan hacer redirecciones, transformaciones de contenido o pequeñas APIs sin levantar infraestructura.

Las limitaciones del plan gratuito son razonables: el SSL Flexible cifra solo entre el visitante y Cloudflare (no entre Cloudflare y tu servidor), el WAF no incluye reglas avanzadas y la prioridad de soporte es la más baja. Para sitios básicos no afecta, para sitios críticos puede ser limitante.

Cómo activar Cloudflare paso a paso

El proceso de configuración inicial toma entre 15 y 30 minutos. Primero creas una cuenta en cloudflare.com con tu correo y contraseña. Luego agregas tu dominio escribiéndolo en el campo correspondiente. Cloudflare hace un escaneo automático de los registros DNS existentes en tu dominio y los muestra para que verifiques.

Revisa cuidadosamente los registros encontrados. Asegúrate de que todos los importantes están: el A o CNAME del dominio principal, los MX si usas correo en el mismo dominio, los TXT de verificación (Google, Facebook, etc.) y cualquier subdominio que uses. Si falta alguno, agrégalo manualmente para evitar problemas tras el cambio.

El siguiente paso es seleccionar el plan. Si recién empiezas, elige el gratuito. Siempre puedes subir a Pro más adelante si necesitas funciones avanzadas. Cloudflare te muestra entonces dos nameservers que tienes que configurar en tu registrador de dominio. Algo así como ana.ns.cloudflare.com y bob.ns.cloudflare.com.

Entras al panel de tu registrador (NIC.pe si tu dominio es .pe, GoDaddy, Namecheap u otro si es .com) y cambias los nameservers existentes por los de Cloudflare. La propagación toma entre minutos y 24 horas, aunque generalmente está activo en menos de una hora. Cuando Cloudflare detecta el cambio te envía un correo de confirmación.

Configuración inicial recomendada

Una vez activo Cloudflare, el panel te muestra varias secciones de configuración. Las más importantes para empezar son SSL/TLS, Speed, Security y Caching. Vamos a revisarlas una por una con configuraciones que funcionan bien para la mayoría de sitios.

En SSL/TLS elige el modo Full o Full (strict) si tu servidor de hosting tiene certificado SSL propio. Si no, deja Flexible. La diferencia es que Full cifra la conexión entre Cloudflare y tu servidor, mientras Flexible la deja sin cifrar. Para WordPress que ya tiene SSL del hosting, Full es lo correcto.

En Speed activa Auto Minify para HTML, CSS y JavaScript, y Brotli para mejor compresión. Estas opciones reducen el peso de tus archivos sin afectar la apariencia. También puedes activar Rocket Loader si tienes problemas de carga de JavaScript, aunque a veces causa conflictos con plugins de WordPress.

En Security mantén el Security Level en Medium, suficiente para bloquear bots básicos sin afectar visitantes legítimos. Activa Bot Fight Mode si tu sitio recibe mucho tráfico de bots. El Challenge Passage puede quedar en 30 minutos por defecto.

En Caching, configura el Browser Cache TTL en 4 horas o más para que los visitantes recurrentes carguen el sitio más rápido. Activa Always Online para mantener una versión cacheada si tu servidor cae temporalmente.

Configurar Cloudflare con WordPress

Para sitios WordPress, lo más eficiente es instalar el plugin oficial de Cloudflare que automatiza muchas configuraciones. Lo descargas desde el repositorio de WordPress, lo instalas y activas. Luego conectas con tu cuenta usando email y API token (más seguro que la Global API Key antigua).

El plugin permite limpiar el cache de Cloudflare desde el panel de WordPress, activar Automatic Platform Optimization (APO) si tienes plan Pro, y aplicar configuraciones recomendadas con un solo clic. APO mejora notablemente el rendimiento porque cachea HTML completo (no solo archivos estáticos).

Para tiendas WooCommerce hay que tener cuidado con qué se cachea. Las páginas de checkout, carrito y cuenta del cliente NO deben cachearse porque son dinámicas. Cloudflare detecta cookies de WordPress y excluye estas páginas automáticamente, pero conviene verificar que la experiencia de compra funciona bien tras la activación.

Si usas plugins de caché como WP Rocket, W3 Total Cache o LiteSpeed Cache, asegúrate de que sean compatibles con Cloudflare. La mayoría lo son y traen integración directa. Lo ideal es que Cloudflare cachee archivos estáticos globalmente y tu plugin de caché optimice las páginas dinámicas en el servidor.

Cloudflare Workers: edge computing al alcance

Cloudflare Workers permite ejecutar código JavaScript en el edge, es decir, en los datacenters de Cloudflare cerca de cada visitante. Esto abre posibilidades interesantes: redirecciones complejas, modificaciones de respuesta, APIs personalizadas, A/B testing, autenticación, y mucho más, todo sin servidor propio.

Un caso de uso común es agregar headers de seguridad a todas las respuestas sin tocar el servidor de origen. Otro es redirigir usuarios según país, tipo de dispositivo o cualquier criterio personalizado. También sirve para crear pequeñas APIs sin levantar backend, ideal para experimentos o microservicios.

El plan gratuito incluye 100,000 requests diarios y 10ms de CPU por request, suficiente para proyectos pequeños o pruebas. Los planes pagados desde US$5 mensuales aumentan los límites y permiten almacenamiento KV para guardar datos. Para emprendimientos técnicos es una herramienta poderosa.

Errores comunes al configurar Cloudflare

El error más frecuente es activar el proxy (nube naranja) en registros que no deberían pasar por Cloudflare. Los registros MX para correo nunca deben tener proxy activado, sino quedar en gris (DNS only). Si activas proxy en MX, tu correo deja de funcionar inmediatamente.

Otro error común es configurar SSL Flexible cuando el servidor de origen ya tiene certificado. Esto puede generar loops de redirección porque el servidor espera HTTPS pero recibe HTTP de Cloudflare. La solución es cambiar a Full o Full (strict).

Algunos usuarios activan demasiadas optimizaciones al mismo tiempo y luego no saben cuál rompió algo. Lo mejor es activar opciones de una en una y probar el sitio antes de continuar. Si algo deja de funcionar, sabes exactamente qué desactivar.

Finalmente, olvidar que los cambios DNS pueden tardar en propagarse causa pánico innecesario. Si recién cambiaste nameservers, espera al menos 4 horas antes de asumir que algo está mal. Las herramientas como whatsmydns.net te muestran el estado de propagación globalmente.

Cómo medir el impacto de Cloudflare

Antes de activar Cloudflare, mide la velocidad actual de tu sitio con herramientas como GTmetrix, PageSpeed Insights y Pingdom Tools. Anota los tiempos de carga, los puntajes y los grades. Luego de configurar Cloudflare, repite las mediciones desde varios países si es posible.

La mayoría de sitios ven mejoras de 30 a 60 por ciento en tiempo de primera carga para visitantes lejanos del servidor origen. Los visitantes locales no notan tanta diferencia, aunque la carga del servidor sí se reduce. El panel de analíticas de Cloudflare te muestra cuántas requests se sirvieron desde cache y cuánto ancho de banda ahorraste.

También monitorea las amenazas bloqueadas en el panel de Cloudflare. Vas a sorprenderte de cuántos bots e intentos de ataque recibe tu sitio sin que lo notes. Cloudflare los detiene antes de que lleguen a tu servidor, ahorrando recursos y manteniendo todo funcionando suave.

Preguntas frecuentes

¿Cloudflare es realmente gratis o tiene letra chica?

El plan Free es completamente gratis sin truco, financiado por los planes pagados de empresas grandes. Las limitaciones son funciones avanzadas como reglas WAF detalladas, soporte premium e imágenes Polish. Para la mayoría de sitios pequeños y medianos, el plan gratuito es más que suficiente.

¿Cloudflare puede romper mi sitio WordPress?

En su mayoría no, pero puede haber conflictos con plugins específicos, especialmente caché u optimización. Si algo falla tras activar Cloudflare, prueba desactivando funciones una por una hasta identificar el conflicto. También puedes pausar Cloudflare temporalmente para confirmar si el problema viene de ahí.

¿Necesito cambiar mi hosting para usar Cloudflare?

No, Cloudflare funciona con cualquier proveedor de hosting. Solo cambias los nameservers de tu dominio para que apunten a Cloudflare. Tu hosting sigue siendo el mismo, simplemente recibe el tráfico filtrado por Cloudflare en lugar de directo de los visitantes.

¿Qué pasa con mi correo si activo Cloudflare?

El correo sigue funcionando exactamente igual mientras dejes los registros MX en modo DNS only (nube gris). Cloudflare detecta automáticamente los MX y los configura correctamente. Si por error activas proxy en los MX, el correo deja de llegar hasta que lo desactives.

¿Cloudflare protege contra todos los ataques?

No, ningún servicio bloquea el cien por ciento de los ataques. Cloudflare es muy efectivo contra DDoS, bots básicos e intentos de explotación comunes. Para amenazas más sofisticadas como ataques dirigidos por humanos, conviene complementar con plugins de seguridad de WordPress como Wordfence o Sucuri.

¿Vale la pena pagar el plan Pro de US$25?

Depende del sitio. Para blogs o webs institucionales pequeñas, el plan Free alcanza sobradamente. Para tiendas con muchas imágenes (Polish optimiza automáticamente), sitios con tráfico significativo (WAF avanzado importa) o webs críticas para el negocio, los US$25 mensuales son una inversión razonable.

¿Cloudflare oculta la IP real de mi servidor?

Sí, cuando el proxy está activo (nube naranja), los visitantes ven la IP de Cloudflare en lugar de la de tu servidor. Esto es importante para seguridad porque dificulta ataques directos a tu IP. Asegúrate de que tu IP real no quede expuesta en otros registros DNS o emails que envías.

¿Puedo usar Cloudflare con un dominio .pe?

Sí, sin ningún problema. Cloudflare soporta todos los TLDs, incluido .pe. El proceso es el mismo: cambias los nameservers en NIC.pe (o el registrador donde tengas el dominio) por los que Cloudflare te entrega. Funciona exactamente igual que con cualquier otro dominio.

¿Qué hago si mi web va lenta después de activar Cloudflare?

Verifica primero qué está pasando: revisa el panel de Cloudflare para ver tasas de hit del cache, prueba con plugins de caché desactivados temporalmente y compara desde diferentes ubicaciones. A veces el problema viene de configuraciones específicas como Rocket Loader o minificación que rompen algún script.

¿Cloudflare reemplaza un plugin de seguridad de WordPress?

No del todo. Cloudflare bloquea amenazas antes de que lleguen a WordPress, lo que es invaluable. Pero plugins como Wordfence escanean archivos internos, detectan malware ya instalado y bloquean intentos de login sospechosos a nivel aplicación. La combinación de ambos da seguridad en múltiples capas.