По сути, Cloudflare это набор фич от DNS-служб до CDN (Content Delivery System).
Бесплатно предоставляются базовые фишки всех разделов, но некоторые опции в разделах - за деньги.
Защита от DDOS на бесплатном тарифе - от серьезного наезда не спасет, но от школьников вкинувших $100 - вполне поможет. Это обычный Javascript Challange (браузер - JS выполняет и проходит, топорный бор - JS выполнить не сможет).
Како Cliudflare отличает прошедший проверку браузер от ботов? Элементарно создает куку после проверки (чтоб не мучать людей проверками при переходе со страницы на страницу).
После отключения предлагается выбрать уровень защиты. В чем разница - не понимаю. Вообще в хелпах пишут, что будет разным способом просеиваться подозрительный трафик. Но я не осилил понимание этого и выбираю средний Medium.
Кэширование на бесплатном тарифе - сервис кэширует странички. Если на вкладке Overview включить Development Mode, тогда все будет открываться напрямую. Если сервер не отвечает, пользователям будет показываться кэш.
Статистика - приблуда на тему "откуда атаковали, откуда ходили, где подозрительные, где нормальные". Есть карта, по которой можно посмотреть из каких стран вас дудусят (в каких странах дырявые винды и ведроиды).
DNS - обычные настройки, чтобы домен направить на сервер с прослойкой из Cloudflare. Как обычным DNS, тоже пользоваться можно.
Crypto - это не про биткоины, это SSL-сетрификаты. Если он не нужен - выключаем, если нужен - включаем.
Firewall - тут есть переключатель Security Level, который встречается на главной (после отключения режима "под атакой"). Параметр Challange Passage отвечает за частоту проверки для пользователей, которые уже прошли проверку (срок жизни куки, о которой писалось выше).
На бесплатном тарифе доступен только IP Firewall. Обладателям статичных IP можно сразу же добавить себя в белый лист, чтобы во время дудоса ходить на сайт не спотыкаясь об проверку. Можно сделать всем из определенной страны (или диапазона адресов) капчу или челлендж. Если последнее вы уже видели, то капча выглядит вот так вот.
Черный список можно наполнять только IP адресами, забанить по странам нельзя. Бан для зашедшего с неугодного IP выглядит вот так вот.
Speed - сжимать говнокод страниц, которого нагенерировали ваши вордпрессы.
Caching - кэширование (самое вкусное - Always Online, чтоб когда сайт упал - ему показывался кэш сайта от сервиса).
Page Rules - можно городить редиректы (считаю не нужным).
Network - самое вкусное тут IP Geolocation, можно получать страны из заголовков сервера. В выхлопе $_SERVER['HTTP_CF_IPCOUNTRY']; можно получить страну посетителя (все заголовки от Cloudflare идут с префиксом CF).
Traffic - собития по трафику.