São 3 da manhã de uma terça-feira. Seu celular vibra na mesa de cabeceira. É o alerta do UptimeRobot: “Seu Servidor Está OFFLINE”. O coração dispara. Você corre para o computador, torcendo para ser um alarme falso, mas o site não carrega. Pior: ele foi pichado (“defaced”). Você tem um VPS, o que significa que a segurança é sua responsabilidade. Você até ativou o Cloudflare, mas será que fez o suficiente?
Este cenário é o maior pesadelo de quem gerencia o próprio servidor. A verdade é que simplesmente “ligar” o Cloudflare e apontar o DNS não basta. Este artigo não é sobre teoria; é um guia prático focado nas 5 configurações Cloudflare VPS cruciais que bloqueiam a esmagadora maioria dos ataques automatizados, protegendo seu sono e seus dados.
A maioria dos ataques hoje não é feita por um hacker genial em um porão escuro, mas por exércitos de bots automatizados que varrem a web em busca de vulnerabilidades. Esses bots são responsáveis por uma quantidade massiva de tráfego malicioso, como detalhado em relatórios da indústria sobre tendências de internet. Proteger-se deles é o primeiro e mais importante passo.
A Analogia: Por que “Só Ativar” o Cloudflare não é o Bastante?
Pense no seu VPS como um prédio de apartamentos de luxo. Você é o proprietário e síndico. Ativar o Cloudflare no modo padrão é como contratar uma equipe de segurança e mandá-la ficar parada na porta da frente. É melhor que nada? Sim. Eles escondem o prédio da vista principal (ocultam seu IP) e gerenciam o fluxo de entrada (proxy).
Mas e se você não der a eles uma lista de regras? E se eles não tiverem permissão para verificar as malas dos visitantes, controlar multidões ou identificar baderneiros conhecidos?
As configurações que veremos a seguir são o “manual de regras” que transforma sua segurança passiva em uma fortaleza ativa. Elas dão ao Cloudflare a permissão e as ferramentas para, de fato, proteger seu servidor. Se você ainda tem dúvidas sobre as responsabilidades de gerenciar um servidor, confira este guia sobre VPS autogerenciada.
As 5 Configurações Cloudflare Essenciais para seu VPS
Pronto para trancar a porta da frente? Siga estes passos. Todos estão disponíveis no painel do Cloudflare, a maioria no plano gratuito.
1. Ative o WAF (Web Application Firewall) no Modo “Medium”
A Analogia Primeiro: O WAF é o “segurança de lista VIP” da sua festa. Ele tem um conjunto de regras (baseadas no famoso OWASP Top 10) sobre quem não pode entrar. Ele barra automaticamente “convidados” mal-intencionados que tentam usar técnicas conhecidas para invadir, como SQL Injection (tentar “enganar” seu banco de dados) ou Cross-Site Scripting (XSS).
Detalhe Técnico: O WAF inspeciona o tráfego HTTP/S que chega ao seu site, procurando por padrões que correspondam a ataques conhecidos. Ele age como um filtro antes que a requisição maliciosa chegue ao seu VPS e explore uma falha no seu WordPress, Magento ou aplicação customizada.
Como Fazer (Ação Prática):
- No seu painel Cloudflare, vá para Security > WAF.
- Na aba “Managed rules”, ative o “Cloudflare Managed Ruleset”.
- Defina a “Sensitivity” (Sensibilidade) como Medium. O modo “High” é excelente, mas pode gerar “falsos positivos” (bloquear usuários legítimos) em aplicações complexas, como o painel admin do WordPress. “Medium” é o equilíbrio perfeito.
Exemplo Real: Um bot tenta explorar uma falha em um formulário de contato enviando um código malicioso no campo de mensagem. O WAF identifica o padrão (ex: <script>...</script>), reconhece como um ataque XSS e bloqueia a requisição. Seu VPS nem fica sabendo da tentativa.
2. Habilite o “Bot Fight Mode” (Modo de Combate a Bots)
A Analogia Primeiro: Se o WAF é o segurança com a lista, o “Bot Fight Mode” é o segurança que analisa o comportamento. Ele não olha só o nome, mas como o convidado age. Ele está tentando abrir 100 portas ao mesmo tempo? Ele se move de forma robótica e rápida demais para um humano? O Bot Fight Mode identifica esses comportamentos e desafia (com um CAPTCHA) ou bloqueia bots maliciosos.
Detalhe Técnico: Este modo identifica assinaturas de tráfego de bots automatizados conhecidos por fazer scraping (cópia de conteúdo), “credential stuffing” (tentativa de login com senhas vazadas) e varredura de vulnerabilidades. Ele os impede antes que consumam recursos preciosos do seu VPS.
Como Fazer (Ação Prática):
- Vá para Security > Bots.
- Encontre a opção “Bot Fight Mode” e simplesmente ative-a (toggle ON).
Exemplo Real: Um bot de scraping de um concorrente decide copiar todos os artigos do seu blog. Ele começa a fazer centenas de requisições por segundo. O Bot Fight Mode identifica essa atividade como não-humana e o bloqueia, protegendo seu conteúdo e impedindo que seu servidor fique lento.
3. Configure “Rate Limiting” (Limitação de Taxa) na sua Página de Login
A Analogia Primeiro: Esta é a “catraca de controle” na porta da sua área VIP (sua página de login, como wp-login.php ou /admin). Ela não impede as pessoas de entrarem, mas impede que a mesma pessoa (mesmo IP) tente passar na catraca 50 vezes em um minuto. Se alguém tentar fazer isso (errando a senha repetidamente), a catraca o bloqueia por 10 minutos.
Detalhe Técnico: Isso mitiga ataques de “Brute Force” (força bruta), onde um atacante usa um script para tentar milhares de combinações de usuário e senha na sua tela de login. Com essas configurações Cloudflare VPS, o ataque se torna impraticável.
Como Fazer (Ação Prática):
- Vá para Security > WAF > Rate Limiting Rules.
- Clique em “Create rule”.
- Dê um nome (ex: “Proteger Login WP”).
- Em “If URL matches”, coloque:
seusite.com.br/wp-login.php*(use o caminho da sua página de login real. O*é um curinga). - Em “And method is”, selecione
POST(logins são feitos com o método POST). - Em “Then”, configure: “Requests” 10 (ou 5, para ser mais rígido) in 1 minute.
- “Action”: Block for 15 minutes.
Exemplo Real: Um atacante tenta adivinhar sua senha do WordPress. O script dele envia 11 senhas em 30 segundos. Na 11ª tentativa, o Cloudflare bloqueia o IP do atacante por 15 minutos. O ataque falha. Para aprofundar, veja o artigo WordPress e segurança: proteja seu site contra ameaças.
4. Force o Modo SSL/TLS para “Full (Strict)”
A Analogia Primeiro: Pense na comunicação do seu site como uma mensagem enviada por um mensageiro.
- Off: Um cartão postal aberto (inseguro).
- Flexible: O mensageiro coloca a mensagem num cofre (criptografa) para ir do usuário até o Cloudflare, mas depois a tira do cofre e leva como um cartão postal até seu prédio (VPS). (Perigoso!).
- Full (Strict): O “selo máximo”. A mensagem vai num cofre do usuário até o Cloudflare. Lá, ela é transferida para outro cofre (verificado e confiável) para ir do Cloudflare até o seu VPS. A mensagem nunca fica exposta.
Detalhe Técnico: O modo “Full (Strict)” garante duas coisas: 1) O tráfego do usuário até o Cloudflare é criptografado. 2) O tráfego do Cloudflare até o seu servidor de origem (VPS) também é criptografado e o Cloudflare verifica se o certificado SSL no seu VPS é válido (como um Let’s Encrypt), impedindo ataques “Man-in-the-Middle”.
Como Fazer (Ação Prática):
- Pré-requisito: Você precisa ter um certificado SSL válido (como Let’s Encrypt) instalado no seu VPS.
- Vá para SSL/TLS > Overview.
- Selecione o modo Full (Strict).
5. Oculte seu IP de Origem (A Regra de Ouro)
A Analogia Primeiro: Se o Cloudflare é o time de segurança na porta da frente do seu prédio, o seu IP de origem (o IP real do seu VPS) é o endereço da porta dos fundos. Se os criminosos descobrem esse endereço secreto, eles ignoram toda a segurança (WAF, Rate Limiting) e atacam seu VPS diretamente.
Detalhe Técnico: Esta é a mais crucial das configurações Cloudflare VPS. O Cloudflare só pode proteger o tráfego que passa por ele. Se um atacante descobre seu IP real, ele pode lançar um ataque DDoS ou explorar vulnerabilidades diretamente no seu servidor, tornando o Cloudflare inútil.
Como Fazer (Ação Prática):
- Firewall no VPS: Configure o firewall do seu servidor (como UFW no Ubuntu ou iptables) para aceitar conexões nas portas 80 (HTTP) e 443 (HTTPS) apenas e exclusivamente da lista de IPs oficiais do Cloudflare. Bloqueie todas as outras conexões nessas portas.
- Higiene de DNS: Nunca crie registros DNS (ex:
ftp.seusite.com.broumail.seusite.com.br) que apontem para o mesmo IP do seu site. Isso “vaza” seu IP de origem para o público. Use subdomínios separados ou serviços de e-mail externos.
Exemplo Real: Um atacante usa um scanner online para encontrar seu IP de origem (vazado por um registro mail.). Ele então lança um ataque DDoS de 10Gbps diretamente no IP do seu VPS. Como o tráfego não passa pelo Cloudflare, seu servidor cai em segundos. Se o firewall estivesse configurado corretamente (Passo 1), essas conexões maliciosas seriam simplesmente descartadas pelo VPS.
Conclusão: Seu Checklist de Segurança Cloudflare + VPS
Ter um VPS oferece um poder e uma flexibilidade incríveis, mas com ele vem a responsabilidade da segurança. A boa notícia é que, ao usar o Cloudflare de forma inteligente, você pode automatizar 95% da sua defesa.
Quer se aprofundar nas responsabilidades e no modelo de gestão? Veja também: VPS Autogerenciada: 5 Motivos para Escolher Controle Total. E, se o seu foco for WordPress, confira o checklist de segurança no WordPress.
Precisa de ajuda com Cloudflare ou Segurança de Servidores? Fale com os especialistas da StayCloud!
