Blog · Wydajność · IdoSell

Sklep IdoSell a Cloudflare — kiedy warto wpiąć

Cloudflare jest popularny w świecie e-commerce, ale w przypadku sklepu na IdoSell odpowiedź na pytanie „czy go wpinać" nie jest jednoznaczna. IdoSell ma własną infrastrukturę CDN, więc wiele funkcji Cloudflare się dubluje. Pokazujemy konkretnie kiedy ma sens, a kiedy to dodatkowy koszt bez wartości.

CZAS CZYTANIA: ~10 MIN

Dostajemy to pytanie regularnie. Klient czyta na forach, że „każdy sklep powinien mieć Cloudflare", instaluje, czeka na cuda — a tych jest mniej, niż się spodziewa. Powód jest prosty: IdoSell jako platforma SaaS ma już własną warstwę dostarczania treści, własny load balancer, własną ochronę przed podstawowym DDoS. Część funkcji Cloudflare nakłada się na to, co już dostajesz w cenie abonamentu. Ten wpis pokazuje, gdzie Cloudflare realnie daje wartość ponad to, co masz w IdoSell — i gdzie to tylko kolejna warstwa w stacku, którą trzeba utrzymywać.

Czym jest Cloudflare w skrócie

Cloudflare to globalna sieć serwerów (CDN) plus warstwa zabezpieczeń, która siada „przed" Twoją stroną. Cały ruch przed dotarciem do origin (czyli serwera IdoSell) przechodzi przez Cloudflare, który może:

Cache'ować statyczne zasoby — CSS, JS, obrazki, fonty — i serwować je z najbliższego użytkownikowi punktu (PoP) zamiast każdorazowo z origin

Filtrować ruch — boty, ataki DDoS, podejrzane requesty są odsiewane zanim trafią do Twojego sklepu

Optymalizować transfer — kompresja Brotli, minifikacja, HTTP/3, early hints

Zarządzać DNS — szybsze rozpropagowanie zmian, zaawansowane reguły ruchu, geo-routing

Dawać statystyki ruchu, ataków, błędów — z poziomem detali, którego nie ma w panelu IdoSell

Ważne: Cloudflare działa tylko dla ruchu HTTP/HTTPS na Twojej domenie. Komunikacja wewnętrzna IdoSell (API, panel administracyjny, ścieżki obsługi koszyka czy płatności) jest poza jego zasięgiem — to nadal dzieje się bezpośrednio z serwerami IdoSell.

Co IdoSell już ma z natury platformy

Zanim zdecydujesz, warto wiedzieć, co IdoSell daje out-of-the-box. To często ignorowana kwestia w dyskusjach o Cloudflare:

Własna sieć CDN dla statycznych zasobów

Zdjęcia produktów, miniatury, banery — wszystko jest serwowane z infrastruktury IdoSell z geograficznie rozproszonych punktów. Dla użytkowników z Polski (czyli zwykle 90%+ ruchu) latencja jest minimalna, niezależnie od tego, czy używasz Cloudflare, czy nie.

Konwersja zdjęć do WebP, kompresja

IdoSell potrafi automatycznie serwować zdjęcia w formacie WebP zamiast JPG/PNG (oszczędność 25-35% transferu) i kompresować odpowiedzi gzipem. To konfiguracja w panelu — sprawdź, czy włączona.

Podstawowa ochrona przed DDoS i botami

Infrastruktura IdoSell ma własne mechanizmy throttlingu i ochrony przed nadużyciami. To nie jest poziom enterprise (jak Cloudflare Business), ale dla 95% sklepów wystarczające.

Certyfikat SSL i nowoczesny TLS

HTTPS, HTTP/2, certyfikaty zarządzane automatycznie — wszystko po stronie platformy. Bez Cloudflare sklep i tak działa w pełni nowoczesnym standardzie.

Co Cloudflare realnie dodaje

Patrząc na to, co już daje IdoSell, Cloudflare ma swoje konkretne miejsca, gdzie wnosi wartość. Cztery obszary, które realnie się liczą:

Kompresja Brotli zamiast gzip

IdoSell domyślnie serwuje treść skompresowaną gzipem. Cloudflare na każdym planie (też darmowym) potrafi serwować Brotli — kompresję 20-30% mocniejszą. Dla strony z dużą ilością HTML/CSS/JS daje to realne 100-300 ms krócej, co poprawia LCP. Konkretnie: na typowym sklepie z 200 KB HTML, gzip wyprodukuje 50 KB, Brotli 38 KB. To nie magia, ale wymierna oszczędność.

Cache'owanie HTML kategorii i strony głównej

Domyślnie Cloudflare nie cache'uje HTML (tylko statyki). Ale można skonfigurować cache HTML dla kategorii i strony głównej z odpowiednim TTL (np. 5-15 minut). Efekt: użytkownicy z całego świata dostają stronę z najbliższego PoP-u w 50-100 ms zamiast 300-800 ms z origin. To znacząca oszczędność, ale wymaga uwagi: nie cache'ujemy stron z dynamicznymi elementami (koszyk, konto klienta, podsumowanie zamówienia, panel klienta).

Ochrona przed atakami i botami

Cloudflare daje kilka warstw, których w IdoSell po prostu nie ma:

Bot Fight Mode (darmowy) — wykrywa i blokuje skrypty scrapingowe podszywające się pod przeglądarki

Rate limiting — np. blokowanie więcej niż 30 requestów na minutę z jednego IP na ścieżce /koszyk/, co zatrzymuje próby flood ataku

WAF (Web Application Firewall) w planie Pro+ — reguły blokujące typowe wzorce ataków (SQLi, XSS, brute-force login)

Challenge dla podejrzanych krajów — możesz wymusić CAPTCHA dla ruchu z lokalizacji, w których nie sprzedajesz

Statystyki ruchu i ataków

Cloudflare daje wgląd w to, ilu botów ucięto, skąd przychodzi ruch, jaki ratio cache hit. To dane, których w IdoSell nie zobaczysz. Dla sklepu z większym ruchem to wartość operacyjna — wiesz, ile naprawdę kosztuje Cię ruch niewartościowy.

Czego Cloudflare nie zrobi

Ważna sekcja, bo część oczekiwań wobec Cloudflare jest po prostu nierealistyczna w kontekście IdoSell:

Nie przyspieszy panelu administracyjnego

Logowanie do panelu, dodawanie produktów, obsługa zamówień — to wszystko idzie bezpośrednio do infrastruktury IdoSell. Cloudflare nie cache'uje, nie optymalizuje, jest praktycznie przezroczysty. Jeśli panel działa wolno, to nie jest problem do rozwiązania przez Cloudflare.

Nie naprawi „ciężkiego" szablonu

Jeśli szablon ma 4 MB JavaScriptu, 20 zewnętrznych skryptów (Analytics, Pixel, chat, opinie) i obrazki po 2 MB — Cloudflare przyspieszy ich transfer, ale nie zmieni faktu, że strona jest ciężka. Realne poprawki to optymalizacja samego sklepu (więcej w naszym wpisie o Core Web Vitals w IdoSell).

Nie zastąpi pełnej ochrony DDoS na poziomie enterprise

Cloudflare na darmowym planie zatrzyma ~95% atakujących, ale jeśli ktoś naprawdę chce zatopić Twój sklep (kierowany atak warstwy 7, np. 100 000 requestów/sekundę na koszyk), darmowy plan nie wystarczy. Wtedy potrzebujesz planu Business lub Enterprise z dedykowanym wsparciem. To są inne kwoty (200-1000 USD miesięcznie).

Nie zmieni Twojego rankingu w Google "magicznie"

Wydajność (poprzez Core Web Vitals) jest czynnikiem rankingowym, ale niewielkim. Dodanie Cloudflare może obniżyć LCP o 200-500 ms, co da Ci minimalne uplift pozycji na konkurencyjnych frazach. To nie jest game-changer. Większe efekty SEO uzyskasz przez naprawę błędów SEO w sklepach IdoSell czy poprawną strukturę URL.

Kiedy warto wpiąć Cloudflare

Z naszej praktyki Cloudflare ma sens w kilku konkretnych scenariuszach. Jeśli któryś z nich Cię dotyczy — warto rozważyć poważnie:

Sklep z dużym ruchem międzynarodowym

Jeśli sprzedajesz poza Polską i masz ruch z USA, Niemiec, UK — Cloudflare daje wymierną poprawę latencji dla tych użytkowników. Strona ładuje się z najbliższego PoP-u (np. Frankfurt, Londyn) zamiast z polskiego origin. Praktycznie: dla użytkownika z USA może to być różnica 800 ms zamiast 2 sekund.

Sklep z dużym ruchem botów/scrapingu

Jeśli analiza ruchu (np. w GA4) pokazuje, że masz dużo „dziwnych" sesji bez konwersji, z krajów, w których nie sprzedajesz — możliwe, że masz problem z botami. Cloudflare Bot Fight Mode rozwiąże to za darmo. W naszych audytach widzimy sklepy, które tracą 20-40% serwera na obsługę botów scrapingowych.

Sklep mocno walczący o Core Web Vitals

Jeśli już zrobiłeś wszystkie optymalizacje po stronie szablonu i zdjęć, a LCP wciąż jest na granicy 2,5 s — Cloudflare z Brotli i cache'owaniem HTML kategorii potrafi domknąć ostatnie 200-400 ms i przepchnąć Cię z „Needs Improvement" na „Good" w Search Console.

Sklep z incydentami ataków lub prób ataków

Jeśli w logach widzisz próby brute-force na panel klienta, masowe próby logowania, ataki typu carding (testowanie kart) — Cloudflare WAF i rate limiting są wręcz obowiązkowe.

Kiedy nie warto wpinać

Z drugiej strony, są scenariusze, w których Cloudflare nie da Ci wartości proporcjonalnej do wysiłku konfiguracji i utrzymania:

Sklep wyłącznie na rynek polski z umiarkowanym ruchem

Jeśli sprzedajesz tylko w PL i masz do 50 000 sesji miesięcznie, IdoSell sam w sobie radzi sobie świetnie. Latencja dla użytkowników z Polski jest minimalna, ataków praktycznie nie ma, a CWV są zwykle do naprawienia przez optymalizację szablonu. Dodanie Cloudflare to dodatkowa warstwa do utrzymania za zero realnych korzyści.

Sklep, którego problem leży w samej platformie

Jeśli panel administracyjny jest wolny, jeśli zamówienia ładują się długo, jeśli API odpowiada w 3 sekundy — to są problemy origin (czyli infrastruktury IdoSell), których Cloudflare nie ruszy. Lepiej skontaktować się z supportem IdoSell.

Sklep bez zespołu mającego czas na konfigurację

Cloudflare „działa od ręki" w 10%. Pozostałe 90% (cache HTML, page rules, WAF rules, Bot Fight, rate limiting, monitoring) wymaga czasu na konfigurację i utrzymanie. Jeśli nikt w zespole nie ma na to kompetencji ani czasu, wpięcie samego Cloudflare bez konfiguracji daje 10-15% tego, co mógłby dać optymalnie ustawiony.

Jak wpiąć Cloudflare przed sklep IdoSell

Wpięcie technicznie jest proste, ale wymaga uwagi na kilku punktach. Z naszej praktyki proces wygląda tak:

1. Załóż konto Cloudflare i dodaj domenę

Cloudflare wymaga przeniesienia DNS na ich serwery. Po dodaniu domeny pobierze obecne rekordy z DNS, możesz je przejrzeć i upewnić się, że wszystkie są zachowane (rekordy MX dla maili, TXT dla weryfikacji domen, A/CNAME do innych serwisów).

2. Zmień nameservery u rejestratora domeny

U rejestratora domeny (OVH, nazwa.pl, home.pl, gdziekolwiek) wpisz nameservery podane przez Cloudflare (typu nina.ns.cloudflare.com, walt.ns.cloudflare.com). Propagacja zajmuje zwykle 1-24 godziny. W tym czasie część użytkowników już idzie przez Cloudflare, część jeszcze nie — to standardowy etap przejściowy, sklep nadal działa.

3. Ustaw SSL na „Full (strict)"

W Cloudflare → SSL/TLS → Overview → ustaw tryb Full (strict). To znaczy, że ruch user → Cloudflare i Cloudflare → origin (IdoSell) jest zaszyfrowany. „Flexible" jest niebezpieczne i prowadzi do mixed content. „Full" bez „strict" akceptuje samopodpisane certyfikaty origin, co też jest ryzykowne. Wybierz „Full (strict)".

4. Włącz podstawowe optymalizacje

Speed → Optimization → Auto Minify: JS, CSS, HTML — włącz

Speed → Optimization → Brotli: włącz

Speed → Optimization → Early Hints: włącz

Speed → Browser Cache TTL: ustaw na min. 1 dzień

Network → HTTP/2 i HTTP/3: włącz oba

5. Skonfiguruj ochronę

Security → Bots → Bot Fight Mode: włącz (darmowe)

Security → DDoS: standardowa ochrona już aktywna

Security → WAF Custom Rules: dorzuć regułę blokującą requesty z krajów, w których nie sprzedajesz

Rules → Page Rules: dla ścieżek typu /koszyk/, /checkout/, /zamowienie/ wyłącz cache (Cache Level: Bypass)

6. (Opcjonalnie) Cache HTML kategorii

Jeśli chcesz iść głębiej i cache'ować HTML kategorii — ustaw Page Rule: sklep.pl/kategorie/* → Cache Level: Cache Everything, Edge Cache TTL: 10 minut. Ostrożnie: jeśli kategoria zawiera dynamiczny element (np. pasek promocyjny zmieniający się co godzinę), cache go zamrozi. To zaawansowana optymalizacja, którą warto przetestować po wdrożeniu.

Koszty i plany Cloudflare

Cloudflare ma kilka poziomów cenowych. Co dostajesz na każdym z nich w kontekście sklepu:

Free (0 USD/miesiąc)

Daje: globalny CDN, Brotli, SSL/TLS, Bot Fight Mode, podstawowy DDoS, Page Rules (do 3), Workers Free tier. Dla większości sklepów IdoSell to wystarczające. Polecamy zacząć właśnie tutaj.

Pro (~25 USD/miesiąc)

Dodaje: WAF z preset rules, Image Optimization (Polish/Mirage), więcej Page Rules (20), zaawansowana analityka, prefetching. Ma sens dla sklepów z większym ruchem lub gdy potrzebujesz konkretnych reguł WAF.

Business (~200 USD/miesiąc)

Dodaje: zaawansowana ochrona DDoS, prioritized routing (Argo Smart Routing), 100% uptime SLA, dedykowane wsparcie. Sklepy z bardzo dużym ruchem (powyżej 500 000 sesji miesięcznie) lub takie, które miały już poważne incydenty bezpieczeństwa.

Enterprise (negocjowalny, od ~1000 USD/miesiąc)

Dla dużych marketplace'ów, sklepów obsługujących miliony sesji, wymagających pełnego SLA i custom kontraktu. Praktycznie nie dla małych i średnich sklepów.

Co po wdrożeniu

Sama konfiguracja Cloudflare to początek. Trzy rzeczy do regularnego śledzenia:

Cloudflare Analytics — czy cache hit ratio rośnie (powinno być 30-60% dla typowego sklepu), ile blokowanych botów dziennie, jaki ruch z których krajów

Search Console → Core Web Vitals — czy LCP rzeczywiście się poprawiło, czy CLS się nie pogorszyło (czasem optymalizacje Cloudflare powodują artefakty)

Logi błędów — czy nic się nie zepsuło po wpięciu (np. zablokowane IP klienta, mixed content na konkretnych podstronach, problem z webhookami od kurierów lub bramek płatności)

Najczęstszy problem post-wdrożeniowy: integracje (Baselinker, ERP, kurierzy) próbują strzelać do Twojego sklepu z konkretnych IP. Cloudflare może je traktować jako podejrzane i blokować. Rozwiązanie: whitelist IP integratorów w „Security → WAF → Tools → IP Access Rules".

Podsumowanie

Cloudflare przed sklepem IdoSell to narzędzie warunkowo wartościowe. Dla sklepu z umiarkowanym ruchem polskim — często niepotrzebne, bo IdoSell sam radzi sobie z dostarczaniem treści. Dla sklepu z międzynarodowym ruchem, problemami z botami, ambitnymi celami CWV albo z historią ataków — wręcz obowiązkowe.

Decyzja powinna iść w odwrotną stronę niż to, co czytasz na forach. Nie „dodaj Cloudflare, bo to fajne", tylko „mam taki konkretny problem (latencja zagraniczna / boty / CWV na granicy / ataki) — czy Cloudflare to rozwiąże?". Jeśli odpowiedź to tak — wpinaj. Jeśli nie ma konkretnego problemu, dodanie Cloudflare to tylko jeszcze jedna warstwa w stacku, którą trzeba monitorować i utrzymywać.

Pomocna analogia: Cloudflare to jak poduszka powietrzna w samochodzie — świetnie, gdy jest potrzebna, w 99% sytuacji przezroczysta. Ale instalacja poduszki w go-kart bez powodu, „bo ma wszystko" — to nie poprawia samochodu, tylko dodaje koszt i wagę.