<b>DDoS-защита арбитражного сайта начинается не с CDN, а с отключения лишнего на origin</b>

<b>DDoS-защита арбитражного сайта начинается не с CDN, а с отключения лишнего на origin</b>

Большинство падений происходит не из-за «сверхмощной атаки», а из-за открытого origin IP, перегруженного PHP и отсутствия rate limits.

Базовый чек-лист под WordPress, лендинги и прелендеры:

— CDN перед сайтом: Cloudflare или Bunny CDN. Origin IP не должен светиться в DNS, почте, старых A-записях и прямых ответах сервера.
— Firewall на VPS: закрыть всё кроме 80/443 от CDN IP и SSH по своему IP.
— Rate limiting: отдельно на <code>/wp-login.php</code>, <code>/xmlrpc.php</code>, формы и API. Боты чаще всего бьют именно туда.
— Кеширование HTML для неавторизованных пользователей. Без кеша даже слабый L7-флуд кладёт CPU.
— Fail2ban + Nginx limit_req. Cloudflare фильтрует не всё — origin тоже должен уметь резать мусор.
— Отдельный сервер для БД не нужен до реальной нагрузки. Гораздо важнее NVMe и нормальный object cache.

Типовая ошибка — включить «Under Attack Mode» и забыть про origin. Если IP сервера уже утёк в историю DNS или старые поддомены, обход CDN остаётся возможен.

Для арбитражных сеток полезно держать:
• отдельный origin под трекер
• отдельный CDN hostname под статику
• healthchecks и uptime-мониторинг вне Cloudflare

DDoS-защита — это слои. CDN спасает edge, но падать чаще всего начинает backend.