Accueil / Sécurité WordPress / Configurer Cloudflare avec WordPress : SSL, cache et erreurs 5xx

Configurer Cloudflare avec WordPress : SSL, cache et erreurs 5xx

Configurer Cloudflare avec WordPress : SSL, cache et erreurs 5xx

[post-views]

Cloudflare peut rendre ton WordPress plus rapide, plus stable et mieux protégé. Mais mal configuré, il peut aussi provoquer des boucles de redirection, des erreurs 520/522/525 et une admin inaccessible. L’objectif de ce guide : connecter proprement ton site à Cloudflare, optimiser le cache et éviter les erreurs 5xx.

On va voir pas à pas comment raccorder ton domaine, régler correctement le SSL/TLS, adapter les réglages de cache pour WordPress, activer les fonctions de performance sans casser le JavaScript… puis comment diagnostiquer les fameuses erreurs 520, 521, 522, 525, 526 qui font paniquer quand tu ne sais pas d’où elles viennent.

Pourquoi utiliser Cloudflare avec WordPress ?

Cloudflare se place entre tes visiteurs et ton hébergeur (reverse proxy / CDN). Concrètement, il sert à :

  • Accélérer ton site en servant les fichiers statiques (images, CSS, JS) depuis leurs datacenters partout dans le monde.
  • Réduire la charge sur ton serveur grâce au cache côté Cloudflare (moins de requêtes PHP/MySQL).
  • Protéger ton hébergeur avec un WAF (pare-feu applicatif) et une protection DDoS en amont.
  • Simplifier la gestion du SSL (certificats, HTTPS forcé, HSTS, TLS 1.3, HTTP/2/3).
  • Filtrer une partie des bots, scrapers et attaques automatisées avant qu’ils n’atteignent WordPress.

L’idée : laisser Cloudflare faire le “gros travail” réseau (DNS, SSL, cache global, filtrage basique), et laisser WordPress + tes plugins (par exemple WP Cerber et ton plugin de cache) gérer la partie applicative fine.

Bien configuré, Cloudflare peut aussi aider sur des points très concrets : meilleure stabilité pendant les pics de trafic, meilleure latence pour les visiteurs loin de ton serveur, légère amélioration du SEO Core Web Vitals grâce à un temps de réponse plus bas.

Pré-requis avant d’activer Cloudflare

Avant de toucher aux DNS et au SSL, vérifie ces points pour éviter les mauvaises surprises :

  • WordPress doit déjà fonctionner correctement en direct chez ton hébergeur (pas d’erreur 500, pas de boucle HTTP/HTTPS).
  • Tu dois avoir une sauvegarde récente du site (fichiers + base). Tu peux suivre ce tutoriel : Sauvegarder et restaurer WordPress avec WPvivid (sans casser le site).
  • Si ton hébergeur propose un certificat SSL (Let’s Encrypt ou autre), installe-le avant de basculer le domaine sur Cloudflare.
  • Évite d’avoir plusieurs plugins qui font la même chose (deux plugins de cache complets, deux gros plugins de sécurité, etc.).
  • Note l’IP de ton serveur (v4 et éventuellement v6) pour vérifier que les DNS scannés par Cloudflare sont corrects.

Plus ton stack de départ est propre, plus la mise en place de Cloudflare se fera sans stress. Si ton WordPress est déjà bancal, Cloudflare ne résoudra pas le problème… il risque de le rendre plus compliqué à diagnostiquer.

Étape 1 : raccorder ton domaine à Cloudflare

Si ton domaine n’est pas encore derrière Cloudflare, voici les grandes étapes pour le connecter proprement :

  1. Crée un compte sur cloudflare.com et ajoute ton site (domaine).
  2. Laisse Cloudflare scanner tes DNS existants (A, AAAA, CNAME, MX…).
  3. Vérifie que l’entrée A de ton domaine pointe bien vers l’IP actuelle de ton hébergeur (ou que ton CNAME pointe vers la bonne cible).
  4. Active le nuage orange sur les entrées que tu souhaites passer par Cloudflare (proxifiées). Les entrées grises passent en direct.
  5. Chez ton registrar (IONOS, OVH, Gandi, etc.), remplace les nameservers actuels par ceux fournis par Cloudflare.

Après propagation (quelques minutes à quelques heures), tout le trafic passera par Cloudflare avant d’atteindre ton serveur. À partir de là, tu feras tes réglages de SSL, cache et sécurité directement dans le tableau de bord Cloudflare.

Astuce : garde sous la main les anciens DNS de ton hébergeur ou du registrar (éventuellement dans un fichier texte). En cas de gros problème, tu pourras revenir en arrière plus rapidement.

Étape 2 : bien configurer SSL/TLS (HTTPS sans boucle)

La plupart des gros problèmes (boucles de redirection, erreurs 525/526, “trop de redirections”) viennent d’un mauvais réglage SSL/TLS.

Choisir le bon mode SSL Cloudflare

Dans l’onglet SSL/TLS de Cloudflare, tu as plusieurs options :

  • Off : pas de HTTPS. À éviter.
  • Flexible : Cloudflare est en HTTPS avec le visiteur, mais en HTTP vers ton serveur. Peut marcher, mais crée souvent des problèmes avec WordPress (détection d’HTTPS, contenu mixte, redirections).
  • Full : HTTPS entre Cloudflare et ton serveur, même avec un certificat auto-signé.
  • Full (Strict) : HTTPS avec certificat valide sur ton serveur (Let’s Encrypt ou autre). C’est l’option recommandée dès que possible.

Si ton hébergeur fournit un certificat correct (Let’s Encrypt, certificat gratuit intégré, etc.), vise Full (Strict). Tu auras ainsi un tunnel HTTPS complet : visiteur → Cloudflare → ton serveur.

Éviter les boucles HTTP/HTTPS

Quelques règles pour éviter les boucles de redirection :

  • Évite de forcer le HTTPS à plusieurs endroits en même temps (plugin WordPress + .htaccess + règle Cloudflare par exemple).
  • Dans WordPress, assure-toi que les URLs du site (Réglages → Général) sont bien en https:// une fois le SSL en place.
  • Si tu actives “Always Use HTTPS” dans Cloudflare, vérifie que tu n’as pas déjà une redirection HTTP → HTTPS dans ton .htaccess ou ton panel d’hébergement.
  • En cas de doute, commence par une configuration simple (SSL Full/Strict + réglage HTTPS dans WordPress) avant d’ajouter des redirections supplémentaires.

HSTS, TLS et sécurité du transport

Une fois que ton site est 100 % en HTTPS et stable, tu peux aller plus loin :

  • Activer le HSTS (HTTP Strict Transport Security) dans Cloudflare pour forcer le HTTPS côté navigateur.
  • Autoriser les protocoles récents (TLS 1.2, 1.3) et désactiver les plus anciens si possible.
  • Activer les optimisations comme HTTP/2 et HTTP/3 (généralement activées par défaut).

Attention : une fois HSTS activé (surtout avec une durée longue), revenir en arrière devient difficile. Ne l’active que lorsque tu es sûr que ton site supporte bien HTTPS sur toutes ses pages.

Étape 3 : paramétrer le cache Cloudflare pour WordPress

Cloudflare met automatiquement en cache certains éléments (CSS, JS, images). Pour WordPress, on veut profiter du cache sans bloquer l’admin, les pages de connexion, ni les contenus très dynamiques (panier e-commerce, compte client, etc.).

Ce que Cloudflare doit mettre en cache

  • Les ressources statiques : .css, .js, .jpg, .png, .webp, .svg, etc.
  • Éventuellement certaines pages HTML très stables (page d’accueil, pages de contenu, blog), avec une règle de cache avancée si tu sais ce que tu fais.

Dans l’onglet Caching :

  • Définis une Browser Cache TTL raisonnable (ex. quelques heures à quelques jours) pour ne pas bloquer à l’extrême les mises à jour.
  • Laisse Cached by Cloudflare gérer les fichiers statiques par défaut.

Ce que Cloudflare ne doit pas mettre en cache

Tu dois t’assurer que certaines URLs ne sont jamais servies depuis un cache agressif :

  • /wp-admin/*
  • /wp-login.php
  • Les pages sensibles d’e-commerce (panier, paiement, compte).
  • Les endpoints d’API critiques (ex. /wp-json/ si ton thème ou tes plugins s’appuient fort dessus).

Tu peux utiliser des Page Rules ou les Rules modernes de Cloudflare pour :

  • mettre en cache “normalement” tout le site,
  • bypasser le cache pour certaines URLs sensibles,
  • ajuster le niveau de sécurité (plus élevé sur /wp-login.php par exemple).

Si tu utilises déjà un plugin de cache côté WordPress (WP Rocket, LiteSpeed Cache, etc.), Cloudflare vient en complément : le plugin gère surtout le HTML et les optimisations fines, Cloudflare gère le réseau et le cache global.

Étape 4 : optimiser la performance sans casser le JS

Cloudflare propose plusieurs options de performance (minification, compression, optimisations JS, images…). Bien utilisées, elles améliorent les temps de chargement. Mal utilisées, elles peuvent casser ton thème ou certains plugins.

Minification et compression

  • Active la minification HTML/CSS/JS si tu n’as pas déjà un plugin ou un serveur qui le fait (sinon, évite les doublons).
  • Active Brotli (compression) si disponible.
  • Vérifie le front après chaque changement : JS, sliders, menus, formulaires.

Rocket Loader & optimisation JavaScript

L’option Rocket Loader peut améliorer certains scores, mais aussi casser du JS sur WordPress. Si tu actives Rocket Loader :

  • Teste systématiquement les fonctionnalités clés (menus, sliders, pop-ups, checkout e-commerce, formulaires).
  • Si tu constates des bugs JS, désactive Rocket Loader en priorité avant d’incriminer ton thème.

Optimisation des images (si tu as un plan adapté)

Sur certains plans, Cloudflare peut optimiser les images (compression, WebP, resizing à la volée). C’est intéressant, mais attention à ne pas entrer en conflit avec :

  • un plugin d’optimisation d’images déjà en place,
  • un CDN d’images fourni par ton thème ou ton hébergeur,
  • les règles de cache de ton plugin de performance.

Comme toujours : active une option à la fois, teste, et n’hésite pas à utiliser le Mode Développement de Cloudflare pour voir les changements en temps réel (sans cache).

Étape 5 : gérer les erreurs 5xx (520, 521, 522, 525…)

Les erreurs “5xx” que tu vois côté Cloudflare indiquent, en simplifiant, un problème entre Cloudflare et ton serveur (ou ton serveur lui-même). Quelques codes fréquents :

  • 520 : erreur “inconnue” côté serveur (réponse inattendue).
  • 521 : le serveur refuse la connexion (souvent service HTTP down ou firewall qui bloque Cloudflare).
  • 522 : délai dépassé (timeout) entre Cloudflare et ton serveur.
  • 523 : Cloudflare ne trouve pas ton serveur (mauvaise IP, DNS incorrect).
  • 524 : ton serveur met trop de temps à répondre.
  • 525/526 : problème de handshake SSL entre Cloudflare et le serveur (certificat absent, invalide, mauvais mode SSL).

Check-list de base quand une erreur Cloudflare 5xx apparaît

Avant de tout accuser, vérifie dans cet ordre :

  1. Est-ce que le site répond en direct ?
    Accède au site directement par son IP (si possible) ou en passant le proxy Cloudflare en “nuage gris” temporairement. Si le site ne répond pas en direct, le problème vient de ton serveur/hébergeur.
  2. Les DNS pointent-ils vers la bonne IP ?
    Une IP erronée sur l’entrée A/CNAME peut déclencher des 523/522.
  3. Un firewall bloque-t-il Cloudflare ?
    Sur certains hébergements, il faut autoriser explicitement les plages IP de Cloudflare.
  4. Le SSL est-il cohérent ?
    Vérifie la présence d’un certificat valide sur ton serveur si tu es en Full (Strict). Corrige d’abord ça si tu vois des 525/526.
  5. Ton site n’est-il pas juste surchargé ?
    Un site qui met 30–40 secondes à répondre peut déclencher des 522/524.

Cas particulier : 525 / 526 (SSL handshake)

Pour les erreurs 525/526, pense à :

  • vérifier que ton serveur présente bien un certificat valide pour le domaine (Let’s Encrypt à jour, bon hostname),
  • adapter le mode Cloudflare de Full (Strict) à Full temporairement si tu dois corriger le certificat,
  • regarder les logs serveur (Apache/Nginx) pour voir les erreurs SSL exactes.

Dans tous les cas, dis-toi qu’une erreur 5xx Cloudflare est souvent un symptôme : corriger la configuration du serveur et du SSL règle la majorité des cas.

Cloudflare + WP Cerber + WPvivid : une stack propre

Cloudflare n’est pas un plugin WordPress : c’est une couche en amont. Pour un site WordPress sain, tu peux l’intégrer dans une stack cohérente :

Avec cette combinaison, chaque couche a un rôle clair : Cloudflare protège et accélère le trafic entrant, WP Cerber sécurise WordPress, WPvivid garantit un plan B en cas de problème, et ton plugin de cache améliore l’expérience utilisateur au quotidien.

Liens utiles (maillage interne)

FAQ — Cloudflare & WordPress

Cloudflare remplace-t-il un plugin de cache WordPress ?

Non. Cloudflare met surtout en cache les ressources statiques et, éventuellement, certaines pages HTML, mais il ne connaît pas les spécificités de ton thème, de tes plugins ni de tes pages dynamiques. Un plugin de cache (ou un cache serveur) reste utile pour générer des pages HTML optimisées, gérer le préchargement, la minification, certaines optimisations spécifiques et les exclusions fines.

Le plan gratuit de Cloudflare suffit-il pour un site WordPress ?

Pour la majorité des sites vitrines, blogs et petits e-commerces, le plan gratuit de Cloudflare est déjà très efficace : CDN global, SSL, DNS rapide, cache de base et protection DDoS. Les plans payants ajoutent surtout des règles WAF avancées, des options de performance supplémentaires et plus de flexibilité pour les gros sites.

Cloudflare peut-il casser mon back-office WordPress ?

Oui, si tu caches agressivement /wp-admin/ ou /wp-login.php, ou si certaines options (Rocket Loader, minification JS) perturbent le JavaScript de l’admin. En pratique, si tu suis ce guide (pas de cache sur l’admin / login, tests après chaque optimisation), ton back-office restera fonctionnel.

Dois-je activer “Always Use HTTPS” et “Automatic HTTPS Rewrites” ?

“Always Use HTTPS” force toutes les requêtes HTTP vers HTTPS. C’est pratique si ton site est déjà 100 % compatible HTTPS. “Automatic HTTPS Rewrites” aide à corriger certains contenus mixtes. Active-les seulement après avoir vérifié que ton WordPress fonctionne bien en HTTPS et que tes URLs dans Réglages → Général sont en https://. Si tu vois des boucles ou des erreurs, désactive d’abord ces options pour diagnostiquer.

Cloudflare est-il bon pour le SEO ?

En général oui : meilleure latence, meilleure stabilité, meilleure disponibilité = signaux positifs pour l’expérience utilisateur et donc pour le SEO indirectement. Il ne faut simplement pas bloquer Googlebot avec des règles trop agressives, ni générer de boucles/réponses d’erreur qui rendraient le site difficile à crawler.

Comment tester les modifications Cloudflare sans impacter les visiteurs ?

Tu peux activer le Mode Développement de Cloudflare (désactive temporairement le cache) et tester en navigation privée. Tu peux aussi utiliser un sous-domaine de test pour expérimenter avec des règles plus agressives avant de les appliquer sur le domaine principal.

Que faire si mon hébergeur propose déjà un CDN ou un proxy ?

Si ton hébergeur intègre déjà un CDN ou un reverse proxy, l’empilement avec Cloudflare peut devenir confus (deux caches, deux niveaux de SSL, deux firewalls). Dans ce cas, choisis la solution principale qui te semble la plus adaptée à ton besoin (souvent Cloudflare pour la flexibilité) et simplifie l’autre au maximum, voire désactive certaines couches pour éviter les conflits.

Conclusion

Bien configuré, Cloudflare est un excellent allié pour un site WordPress : meilleure performance globale, meilleure résistance aux pics de trafic, protection supplémentaire et gestion du SSL simplifiée. Mal configuré, il peut en revanche ajouter une couche de complexité par-dessus un site déjà fragile.

La clé, c’est de garder une approche progressive :

  • Assure-toi d’abord que ton WordPress est propre et que le SSL fonctionne en direct.
  • Connecte ton domaine à Cloudflare et choisis un mode SSL cohérent (Full / Full Strict).
  • Configure le cache de façon simple, en excluant l’admin et les pages sensibles.
  • Active les optimisations une par une, en testant le front et l’admin à chaque étape.
  • Prévois une sauvegarde WPvivid et une solution de sécurité comme WP Cerber pour compléter le dispositif.

Une fois ce socle en place, tu pourras faire évoluer tranquillement ton architecture (serveur optimisé, multi-sites, durcissement Apache/Nginx…) sans craindre que Cloudflare soit la source de bugs mystérieux. Au contraire : il deviendra une brique fiable de ta stack WordPress.

Étiquetté :