Cloudflare Under Attack Mode — это усиленный режим защиты, который включает дополнительные проверки трафика перед тем, как посетитель попадёт на сайт. Когда он активен, пользователи сначала видят промежуточную страницу проверки, а уже потом получают доступ к сайту.
Быстрое решение
- Включайте Under Attack Mode только когда сайт реально под атакой.
- Если под атакой не весь сайт, а только часть, включайте режим выборочно через правила.
- Проверьте, не ломает ли режим API, платежные модули, ботов и интеграции.
- Добавьте доверенные IP в Allow, если ваши сотрудники или сервисы попали под проверку.
- Если атакуют origin напрямую, ограничьте доступ к origin только IP Cloudflare.
- После окончания атаки выключите режим и верните нормальные настройки безопасности.
Что такое Cloudflare Under Attack Mode
Under Attack Mode — это специальный режим Cloudflare, который добавляет дополнительный уровень проверки перед загрузкой сайта. Вместо мгновенного доступа посетитель сначала проходит challenge page.
Главная задача этого режима — отсеять автоматический вредоносный трафик и пропустить только нормальных пользователей. Это особенно полезно против Layer 7 DDoS-атак, когда злоумышленники перегружают сайт большим количеством HTTP-запросов.
Как работает Under Attack Mode
Когда режим включён, Cloudflare временно показывает посетителю проверочную страницу. За это время трафик анализируется, а подозрительные запросы отсеиваются ещё до того, как они доходят до origin-сервера.
Для обычного посетителя это обычно выглядит как короткая пауза перед загрузкой сайта. Для части автоматизированных атак это уже становится барьером, который они не проходят.
Когда стоит включать Under Attack Mode
Этот режим полезен, если у сайта есть явные признаки атаки:
- сайт стал медленно открываться или периодически падает;
- резко выросло число запросов в Cloudflare Analytics;
- в логах сервера появились странные однотипные запросы;
- идёт резкий всплеск неизвестного трафика;
- сервер начал перегружаться без понятной бизнес-причины.
Если атаки нет, держать сайт в этом режиме постоянно обычно не нужно.
Когда Under Attack Mode лучше не использовать
Cloudflare рассматривает этот режим как средство последней меры. Он может влиять на нормальную работу сайта и создавать неудобства для реальных пользователей.
Не стоит включать его без причины, если:
- сайт работает стабильно;
- нет признаков атаки;
- у вас активно используется API;
- сайт зависит от ботов, интеграций, парсеров, webhook и платёжных сервисов;
- вы не готовы к временному падению части аналитики или конверсий.
Чем Under Attack Mode может мешать сайту
Главный минус — он добавляет дополнительную проверку перед загрузкой страницы. Для части обычных посетителей это просто небольшая задержка. Но для некоторых сценариев это может быть проблемой.
Чаще всего страдают:
- API и автоматические запросы;
- боты, которые должны нормально заходить на сайт;
- внешние сервисы, проверяющие сайт;
- часть аналитики и мониторинга;
- интеграции, которые не умеют проходить challenge page.
Как включить Cloudflare Under Attack Mode
Включить режим можно прямо в панели Cloudflare для всей зоны. Это быстрый вариант, если сайт уже под атакой и нужно срочно усилить защиту.
Но часто разумнее включать этот режим не на весь сайт, а только на отдельные чувствительные части — например, на админку, форму входа, личный кабинет или конкретный путь. Для этого можно использовать правила конфигурации.
Глобальное включение для всего сайта
- Откройте панель Cloudflare.
- Выберите нужный домен.
- Перейдите в раздел безопасности.
- Найдите настройку Under Attack Mode.
- Включите её.
После этого все посетители сайта будут проходить дополнительную проверку.
Выборочное включение только для части сайта
Это более аккуратный вариант. Он полезен, если атака идёт только на определённые страницы или разделы сайта.
Например, можно защищать только:
/wp-login.php;/wp-admin/;- формы входа;
- чувствительные страницы;
- целевые URL, которые атакуют чаще всего.
Такой подход позволяет не мешать всему сайту, а усиливать защиту только там, где это реально нужно.
Как исключить доверенных пользователей
Если ваши сотрудники, разработчики, платёжные сервисы или другие доверенные системы начинают попадать под проверку, их можно исключить через IP Access Rules с действием Allow.
Это особенно важно для:
- ваших собственных IP;
- администраторов сайта;
- внешних сервисов мониторинга;
- партнёрских интеграций;
- систем, которые должны работать без challenge page.
Что делать, если атакуют origin-сервер напрямую
Иногда проблема не только в трафике через Cloudflare. Если злоумышленники знают реальный IP origin-сервера, они могут бить напрямую в него, обходя слой защиты Cloudflare.
В таком случае одного Under Attack Mode может быть недостаточно. Нужно дополнительно:
- ограничить доступ к origin только IP Cloudflare;
- закрыть прямой внешний доступ к origin, где это возможно;
- при необходимости сменить origin IP;
- проверить firewall и ACL на сервере.
Подходит ли Under Attack Mode для WordPress
Да, особенно если атаки идут на вход, XML-RPC, админку или формы. Но для WordPress важно не переборщить.
Если включить режим на весь сайт без причины, можно получить:
- лишние барьеры для посетителей;
- проблемы с API и интеграциями;
- неудобства в админке и для редакторов;
- частичные сбои у внешних ботов и сервисов.
Для WordPress часто лучше точечно защищать вход, админку и самые уязвимые URL.
Under Attack Mode и SEO
Если использовать этот режим кратковременно во время реальной атаки, это нормально. Но держать его включённым постоянно ради «безопасности на всякий случай» — плохая идея.
Постоянный challenge page может мешать части сервисов, проверок, аналитики и в отдельных случаях создавать лишнее трение для полезного трафика. Для SEO-сайта правильнее использовать этот режим как экстренный инструмент, а не как постоянное состояние.
Чем Under Attack Mode отличается от обычных настроек безопасности
Обычные настройки безопасности Cloudflare работают постоянно и менее агрессивно. Under Attack Mode — это уже усиленный аварийный режим, который повышает уровень защиты за счёт дополнительной проверки трафика.
Проще говоря:
- обычные правила — это повседневная защита;
- Under Attack Mode — это экстренный барьер во время атаки.
Advanced troubleshooting
- Проверьте, действительно ли сайт под атакой, а не просто перегружен плагинами или сервером.
- Сравните Cloudflare Analytics до и после включения режима.
- Посмотрите, какие URL получают основной вредоносный трафик.
- Проверьте, не ломаются ли API, webhooks и платёжные сценарии.
- Добавьте в Allow доверенные IP и сервисы, если они начали страдать.
- Проверьте, не атакуют ли origin напрямую по реальному IP.
- После окончания атаки обязательно верните настройки в нормальный режим.
Как избежать лишних проблем при использовании Under Attack Mode
- не включайте его без признаков реальной атаки;
- по возможности защищайте только нужные разделы сайта;
- сразу добавляйте доверенные IP в исключения;
- проверяйте работу API и внешних интеграций;
- не забывайте про защиту origin-сервера;
- после атаки отключайте режим, а не оставляйте его навсегда.
Когда точно стоит включать этот режим
- если сайт резко начал тормозить под подозрительным трафиком;
- если идёт Layer 7 DDoS-атака;
- если в аналитике виден ненормальный всплеск запросов;
- если origin-сервер не справляется с валом HTTP-запросов;
- если обычных WAF-настроек уже недостаточно.
FAQ
Cloudflare Under Attack Mode — это постоянная защита?
Нет. Это аварийный режим, который лучше включать только во время атаки.
Помогает ли Under Attack Mode против DDoS?
Да, прежде всего против Layer 7 DDoS-атак и подозрительного HTTP-трафика.
Может ли этот режим мешать API?
Да. Это одна из причин, почему его не стоит держать включённым постоянно.
Можно ли включить Under Attack Mode только для части сайта?
Да. Это можно сделать через правила конфигурации и защищать только нужные URL.
Что делать, если под проверку попали свои сотрудники или сервисы?
Добавить доверенные IP в исключения через IP Access Rules с действием Allow.
Вывод
Cloudflare Under Attack Mode — это экстренный усиленный режим защиты, который помогает пережить атаку за счёт дополнительной проверки трафика до попадания запросов на сайт. Он полезен, когда сайт реально под давлением, но не должен использоваться как постоянный режим работы.
Самая правильная стратегия — включать его во время атаки, по возможности точечно, исключать доверенных пользователей и одновременно защищать сам origin-сервер от прямого доступа.
