Aquí te explico la configuración básica de mi plan gratuito de Cloudflare que siempre hago para tener optimizados en temas de rendimiento y a nivel técnico mis distintos sitios web de WordPress.
| Opción | Valor recomendado | Prioridad | Por qué conviene |
|---|---|---|---|
| SSL/TLS encryption mode | Full (strict) | Alta | Garantiza cifrado real entre visitante, Cloudflare y servidor. Evita configuraciones medias que parecen seguras pero dejan el tramo Cloudflare-servidor peor protegido. |
| Always Use HTTPS | On | Alta | Fuerza toda visita HTTP a HTTPS. Evita duplicidad HTTP/HTTPS, mejora consistencia SEO y evita enlaces inseguros. |
| Automatic HTTPS Rewrites | On | Media | Reescribe recursos internos que aún apunten a HTTP. Ayuda a reducir contenido mixto. |
| Minimum TLS Version | 1.2 | Alta | Bloquea protocolos antiguos y débiles. Mantiene compatibilidad razonable y seguridad moderna. |
| HTTP/2 | On | Alta | Permite servir varios recursos en una sola conexión. Reduce espera al cargar CSS, JS e imágenes. |
| HTTP/3 (QUIC) | On | Alta | Mejora tiempos de conexión en redes móviles o inestables. Puede ayudar a LCP y sensación de velocidad. |
| 0-RTT | On, con revisión | Media | Acelera reconexiones repetidas. Suele ser útil, pero en sitios con acciones sensibles conviene validar que no haya efectos secundarios. |
| Brotli | On | Alta | Comprime HTML, CSS y JS mejor que Gzip en muchos casos. Menos peso = menos tiempo de descarga. |
| Early Hints | On | Media | Cloudflare adelanta al navegador qué recursos críticos debería pedir antes. Puede mejorar el arranque de la página. |
| Cache Level | Standard o Aggressive según caso | Media | En WordPress normal suele bastar Standard. Aggressive tiene sentido si se usan muchos parámetros irrelevantes en URLs. |
| Browser Cache TTL | 1 mes aprox. para estáticos | Media | Hace que el navegador reutilice recursos descargados. Muy útil para visitas repetidas. |
| Development Mode | Off salvo pruebas | Alta | Si se deja encendido, Cloudflare prácticamente deja de cachear. Útil solo mientras haces cambios. |
| Rocket Loader | Off | Alta | Puede romper JS, mover su ejecución y generar errores en temas, plugins, banners, afiliación o consentimiento. |
| Email Address Obfuscation | On si muestras emails en HTML | Baja | Ayuda a ocultar emails simples frente a bots. No afecta mucho al rendimiento, pero suma protección básica. |
| Hotlink Protection | Off por defecto | Baja | Puede romper integraciones, embeds o imágenes externas. En afiliación, AAWP y casos similares es mejor no activarlo sin pruebas. |
| Security Level | Medium | Media | Filtra tráfico sospechoso sin volverse demasiado agresivo. Buen equilibrio para la mayoría de WordPress. |
| Bot Fight Mode | On si no rompe nada | Media | Reduce bots molestos. Conviene vigilar buscadores secundarios, formularios o herramientas externas tras activarlo. |
| HSTS | On si todo el sitio y subdominios usan HTTPS correctamente | Media | Indica al navegador que no vuelva por HTTP. Muy bueno para consistencia, pero exige tener HTTPS bien resuelto. |
| Page Rules | Usar pocas y con mucha intención | Alta | En Free solo hay 3. Si se usan mal, pueden romper caché, admin, login, carrito o SEO técnico. |
| Cache Rules | Revisar si están disponibles en tu panel | Alta | Son preferibles a reglas improvisadas. Permiten controlar mejor qué se cachea y qué no. |
| Polish / Mirage | No aplican en Free | N/A | No merece la pena planificar optimización contando con funciones no disponibles. |
Explicación simple de las más importantes
1. Full (strict) es la base real de seguridad
Si usas Cloudflare, hay dos tramos:
- visitante -> Cloudflare
- Cloudflare -> tu servidor
Muchos creen que con el candado ya está todo bien. No siempre. Si el segundo tramo queda flojo, la protección es incompleta. Full (strict) obliga a que tu servidor tenga un certificado válido y que Cloudflare confíe en él.
2. Always Use HTTPS evita duplicidades SEO
Sin esto, una misma página puede existir en:
- http://dominio.com
- https://dominio.com
Eso divide señales, genera redirecciones inconsistentes y complica rastreo e indexación. Forzarlo simplifica todo.
3. Brotli mejora velocidad sin tocar WordPress
Cuando alguien entra en una página, Cloudflare puede comprimir los archivos antes de enviarlos. Si pesan menos, llegan antes. No “arregla” una web lenta por sí solo, pero sí recorta peso de transferencia.
4. HTTP/2 y HTTP/3 ayudan sobre todo cuando la web carga muchos recursos
WordPress rara vez sirve solo un HTML. Normalmente hay:
- CSS
- JS
- fuentes
- imágenes
- scripts de plugins
Estos protocolos permiten mover esos recursos de forma más eficiente. En móvil y conexiones peores, se nota más.
5. Rocket Loader Off en WordPress suele evitar más problemas de los que resuelve
Rocket Loader intenta retrasar y reorganizar JavaScript para acelerar la carga aparente. El problema es que WordPress suele depender de muchos scripts de plugins y temas que esperan un orden concreto.
Resultado típico cuando falla:
- menú roto
- popups raros
- consentimiento mal cargado
- tracking inconsistente
- formularios que no responden
Por eso, salvo pruebas muy controladas, es más sensato dejarlo apagado.
6. Early Hints puede mejorar el arranque de la página
Antes de enviar toda la página, Cloudflare puede insinuar al navegador qué recursos críticos conviene pedir ya. Es decir, se le dice: “ve adelantando trabajo mientras llega el HTML completo”. Esta opción puede mejorar el tiempo hasta renderizar lo importante.
7. La caché buena acelera; la caché mala rompe WordPress
No todo debe cachearse igual. Conviene cachear bien:
- imágenes
- CSS
- JS
- fuentes
- recursos estáticos
No conviene cachear a lo loco:
- /wp-admin/
- /wp-login.php
- carrito y checkout
- páginas con sesión
- vistas para usuarios logueados
- previews
- respuestas dinámicas con cookies
Si cacheas HTML dinámico sin control, puedes acabar mostrando:
- contenido desactualizado
- sesiones cruzadas
- carritos erróneos
- páginas rotas
Qué no haría
| Error común | Por qué evitarlo |
|---|---|
| Activar todo “porque suena a más rápido” | Algunas opciones se pisan o rompen compatibilidad |
| Usar Flexible SSL | Suele crear líos de redirecciones, mixed content y falsa sensación de seguridad |
| Dejar Development Mode activo | Desactiva beneficios de caché justo cuando quieres medir rendimiento real |
| Duplicar optimizaciones entre Cloudflare y plugin | Doble minificación, doble lazy load o doble lógica de caché puede romper cosas |
| Gastar reglas en ajustes poco útiles | En Free el límite es corto; hay que reservarlas para lo que de verdad importa |
Para ello te recomiendo usar Claude Code o Codex, donde incluso conectando la API de la versión gratuita de Cloudflare, le puedes dar ciertos permisos para que ellos se conecten y hagan los cambios con tu permiso (aunque no lo recomiendo).
Para crear tu API gratuita de Cloudflare desde tu cuenta, tienes que ir a:
Perfil -> Tokens de API -> Crear token personalizado
Te dejo este system prompt que yo uso en mini proyectos de WordPresstanto en Claude Code como Codex donde le pides (además de adjuntarlo un txt con el token generado antes) que haga la conexión con la versión free de Cloudflare y además realice una auditoría técnica-básica de rendimiento.
# System Prompt — Auditoría Cloudflare Free API
Eres un especialista en configuración y optimización de Cloudflare Free para sitios WordPress SEO.
## Tu rol
Cuando se te proporcione:
1. Un **Zone ID** y **API Token** de Cloudflare
2. Un archivo de **documentación de la API** de Cloudflare
3. Una solicitud de auditoría
Debes:
- Conectarte a la API de Cloudflare usando las credenciales
- Obtener todos los settings actuales de la zona
- Comparar con la configuración óptima para SEO
- Identificar problemas, riesgos y oportunidades de mejora
- Proporcionar recomendaciones accionables
## Limitaciones importantes (plan Free)
**Características deprecadas/no disponibles:**
- Auto Minify (removido por Cloudflare)
- Query String Sort (solo Enterprise)
- Image Polish (solo Pro+)
- Rate Limiting granular (solo Pro+)
- Cache Analytics detallado (solo Pro+)
- Workers: 100K requests/día máximo
**Máximos del plan:**
- Page Rules: 3 por zona
- Cache Purge: 30 URLs por request
## Formato de auditoría
Estructura tu reporte así:
### 1. Estado Actual
- Tabla de todos los settings relevantes para SEO
- Indica: setting name | valor actual | estado (✅ óptimo / ⚠️ a revisar / ❌ crítico)
### 2. Problemas Detectados (por prioridad)
**Crítico (seguridad/indexabilidad):**
- min_tls_version < 1.2
- SSL no en strict/full_strict
**Alto (Core Web Vitals):**
- Brotli desactivado
- HTTP/2 o HTTP/3 desactivados
- Cache level bajo
**Medio (Performance/Privacidad):**
- Email obfuscation desactivado
- TTL navegador muy bajo
- Early Hints desactivado
**Bajo (a valorar):**
- Hotlink protection (valida compatibilidad con AAWP)
- Prefetch preload
### 3. Recomendaciones Accionables
Por cada problema:
- **Dónde**: Dashboard path o endpoint API
- **Qué cambiar**: valor actual → valor recomendado
- **Impacto**: qué métrica/aspecto mejora
- **Riesgo**: si hay alguno (ej: incompatibilidad con plugins)
- **¿Vía API?**: sí/no + endpoint si aplica
### 4. Resumen Ejecutivo
- Estado general (Óptimo / Bueno / Revisar / Crítico)
- Top 3 cambios prioritarios
- Próximos pasos recomendados
## Endpoints clave para auditoría
GET /zones/{ZONE_ID}/settings
GET /zones/{ZONE_ID}/pagerules?status=active
GET /zones/{ZONE_ID}
PATCH /zones/{ZONE_ID}/settings/{setting_id}
POST /zones/{ZONE_ID}/purge_cache
## Checklist de settings SEO a revisar
- [ ] ssl (strict/full_strict)
- [ ] always_use_https (on)
- [ ] automatic_https_rewrites (on)
- [ ] brotli (on)
- [ ] http2 (on)
- [ ] http3 (on)
- [ ] 0rtt (on)
- [ ] early_hints (on)
- [ ] cache_level (aggressive)
- [ ] browser_cache_ttl (>= 1 día)
- [ ] edge_cache_ttl (configurado)
- [ ] email_obfuscation (on si hay emails)
- [ ] min_tls_version (>= 1.2)
- [ ] minify (deprecado, ignorar)
- [ ] rocket_loader (off para WordPress)
- [ ] security_header/HSTS (máximo)
- [ ] Page Rules activas (máx 3)
## Outputs esperados
1. **Reporte de auditoría en Markdown** con todas las secciones arriba
2. **Script Python listo** si hay cambios via API que aplicar
3. **Instrucciones paso a paso** para cambios en dashboard
4. **Comparativa antes/después** si se aplican cambios
## Notas importantes
- NO inventes datos — siempre obtén los valores reales via API
- NO recomiendes opciones Enterprise en plan Free
- SI documenta incompatibilidades con WP Rocket, LiteSpeed, etc.
- SI incluye contexto de Core Web Vitals (LCP, INP, CLS) cuando sea relevante
- NO hagas cambios sin confirmación explícita del usuario
