Le problème : blocages par plages IP partagées qui impactent les innocents

Les solutions de blocage des contenus illicites ciblent souvent des plages entières d’infrastructures partagées : CDN, réseaux de diffusion, IP anycast. Quand ces plages concernent Cloudflare, tout domaine utilisant ces IP peut ne plus résoudre correctement pour une portion d’utilisateurs (selon opérateur, territoire, propagation). Et les graphiques analytiques confirment : des chutes brutales et synchronisées avec l’horaire des matches, qui se traduisent par des abandons de paniers, des formulaires non soumis ou encore une dégradation des métriques qualité.

CF Football Bypass ne discute pas le cadre légal ni ne cherche à évader ce qui revient à ceux qui émettent sans droits. Il protège simplement ceux qui ne diffusent pas mais souffrent quand leur infrastructure commune est partagée avec des opérateurs fautifs.

La solution : “si match, DNS Only ; sinon, Proxied”

Le plugin interroge automatiquement si “il y a du foot en ce moment” grâce au service hayahora.futbol. Avec cette information :

1. Match détecté → désactive le proxy de Cloudflare (mode DNS Only) uniquement sur les enregistrements A/CNAME que vous avez sélectionnés.
2. Maintient le bypass pendant la durée paramétrée (de 60 à 600 minutes, valeur typique 120).
3. Une fois cette période écoulée → reactive le proxy (Proxied) sur ces mêmes enregistrements et restaure l’état normal.

De plus, le plugin inclut des contrôles manuels pour activer/désactiver à volonté, utile en cas de prolongation, match amical non programmé ou pour tester la commutation sans attendre le cron.

Conception anti-faille : si pour une raison quelconque il ne peut pas interroger l’état du football, il ne modifie rien. Autrement dit, il échoue en toute sécurité.

Authentification via Cloudflare : privilégier le Token avec permissions minimales

Pour modifier le drapeau du proxy, le plugin utilise l’API officielle de Cloudflare. Il supporte :

• API Key globale + email (méthode classique)
• Token API avec permissions minimales (recommandé)

Permissions requises pour le Token API :

• Zone:Read
• DNS:Read
• DNS:Edit

Ce qui limite la portée du token et réduit le risque en cas de fuite. Le plugin n’utilise ces crédentials que pour lister et modifier l’état proxied.

Planification fiable : wp_cron ou cron externe avec token

Par défaut, CF Football Bypass utilise wp_cron pour vérifier l’état tous les X minutes (entre 5 et 60, recommandés 15). Sur un site peu fréquenté — où le wp_cron pourrait ne pas se déclencher à temps — il propose un endpoint sécurisé par token pour lancer la tâche depuis le cron du serveur :

*/15 * * * * curl -s "https://votredomaine.com/wp-cron.php?cfb_cron=1&token=TOKEN_AJOUTER" > /dev/null 2>&1

Ce point d’accès ne fait que lancer la vérification du plugin. Le token peut être régénéré à chaque modification des réglages si vous laissez le champ vide.

Contrôle précis : choisissez quels enregistrements alternent et leur durée

Tout le domaine ne doit pas forcément alterner. Depuis la configuration, vous pouvez :

• Cibler uniquement les enregistrements critiques (par ex., @ et www) et laisser les autres toujours proxied (courrier, FTP, sous-domaines internes, static…).
• Ajuster la durée du bypass (de 60 à 600 minutes).
• Forcer manuellement l’activation/désactivation selon vos besoins.

Ce degré de granularité réduit l’impact sur caches/CDN : par exemple, vous pouvez changer le front public tout en conservant proxied des éléments statiques ou médias que vous souhaitez continuer à diffuser via Cloudflare.

Interface claire et logs vérifiables

Le plugin propose un tableau de bord avec :

• État du football en temps réel.
• Dernière vérification (date/heure).
• Bypass actif ou inactif.

Il inclut également un journal des actions (interventions automatiques ou manuelles, utilisateur, résultat), avec retenue configurable. Vous pouvez aussi désactiver le registre si besoin. Le fichier cfb-actions.log est stocké dans le dossier du plugin. Pour vérifier la planification, visitez Outils → Santé du site → Infos → Événements programmés (cherchez cfb_check_football_status).

Astuce sécurité : si vous désactivez le plugin, celui-ci restaure automatiquement le proxy sur tous les enregistrements concernés, évitant que votre site ne reste dans un état partiel ou incohérent.

Installation rapide en 10 minutes (méthode étape par étape)

1. Téléchargez le plugin depuis GitHub.
2. Uploadez et activez le plugin dans wp-content/plugins/cf-football-bypass/.
3. Allez dans Réglages → CF Football Bypass.
4. Sélectionnez le mode d’authentification (recommandé Token API).
5. Collez Token et Zone ID de Cloudflare.
6. Fixez l’intervalle de vérification (par ex., 15 minutes) et la durée (par ex., 120 minutes).
7. Cliquez sur “Tester la connexion et mettre à jour la liste DNS”.
8. Marquez les enregistrements A/CNAME à gérer.
9. Enregistrez.

À partir de là, l’automatisation est opérationnelle.

Cas d’usage courants

1) E-commerce et médias avec pics prévisibles

Si vos pics de trafic coïncident avec les matches, le bypass réduit les erreurs 5xx/522, les temps de réponse anormaux et les réclamations. Il suffit de ne désactiver que @ et www tout en conservant en Cloudflare la gestion des contenus statiques.

2) Écosystèmes avec nombreux sous-domaines

Chaque sous-domaine peut avoir une politique différente : app.entreprise.com toujours proxied, blog.entreprise.com avec commutation, api.entreprise.com inchangé. Vous évitez ainsi de casser des intégrations.

3) Sites peu fréquentés la nuit ou le week-end

Programmez un cron externe avec token pour assurer des vérifications ponctuelles, même en l’absence de visites.

Portée et limites (ce que fait et ne fait pas)

• Ce qu’il fait : il alterne proxied/DNS Only sur les enregistrements sélectionnés via API Cloudflare.
• Ce qu’il ne fait pas : il ne supprime pas les enregistrements, ne modifie pas de contenu ni les règles WAF, ni ne manipule la mise en cache des pages.
• Important : si vos IP d’origine (serveur) sont bloquées, ce n’est pas lié. Le plugin évite simplement d’être bloqué par rangées IP partagées Cloudflare, il ne peut pas “débloquer” une IP listée en amont.

Prérequis et version

• WordPress: à partir de 5.0 (testé jusqu’à 6.8)
• PHP: version 7.4 ou supérieure (extensions curl et json)
• Connectivité HTTP/HTTPS sortante pour hayahora.futbol et l’API Cloudflare.
• Cron: wp_cron ou cron externe avec token.
• Version stable: 1.0.1 (ajoute Token API, améliore logs, tableau d’aide et contrôles manuels avec double vérification). La version 1.0.0 a lancé la surveillance et la gestion via API Key globale.

Licence : GPLv2 (ou ultérieure). Code source disponible sur GitHub (dépôt dcarrero/cf-football-bypass). Auteur : David Carrero.

Pourquoi cette démarche “de changement minimal” fonctionne

• Zéro impact SEO et liens : vous ne modifiez ni URLs, ni maps, ni structures ; vous ne faites qu’altérer le flux de trafic durant l’événement.
• Reversibilité totale : l’état habituel revient simplement une fois la fenêtre terminée.
• Visibilité et traçabilité : un tableau et des logs pour expliquer à la cellule commerciale ce qui s’est passé et quand.
• Moins de risques d’erreurs : une seule étape (“proxied”) dans des enregistrements ciblés, sans toucher aux autres couches.

Guide rapide des bonnes pratiques

1. Commencez petit : basculez seulement @ et www; évaluez, ajustez.
2. Utilisez un Token minimal : évitez l’API Key globale sauf si indispensable.
3. Cron fiable : si wp_cron n’est pas sûr, paramétrez un cron externe toutes les 15 minutes.
4. Surveillez : notez l’heure du match, consultez logs et temps d’exécution.
5. Documentez : enregistrez les incidents et la durée d’intervention.

Questions fréquentes

Le DNS Only peut-il affecter la cache ou la performance ?
Oui, cela peut changer la route du trafic (du CDN vers l’origine), provoquant parfois une augmentation temporaire de la latence ou de la consommation de bande passante. En contrôlant les enregistrements, vous pouvez continuer à proxifier les éléments statiques ou médias tout en laissant le front en DNS Only si souhaité.

Quels sont les droits exacts nécessaires pour le Token API Cloudflare ?
Il doit avoir Zone:Read, DNS:Read et DNS:Edit. Rien d’autre. Avec ces permissions, l’outil peut lister et modifier l’état proxied, sans plus de risques.

Que faire si le match entre en prolongation ?
Configurez une durée généreuse (par exemple, 120 minutes). En cas de prolongation prolongée, vous pouvez manuellement prolonger ou désactiver le bypass via l’interface.

Est-il possible d’utiliser le plugin pour plusieurs domaines ?
Le plugin fonctionne par domaine. Pour plusieurs zones, il faut dupliquer la configuration dans chaque site WordPress ou automatiser via une procédure spécifique par projet.

Que faire si je désinstalle ou désactive le plugin dans un contexte de bypass actif ?
Le plugin contient une fonction de sécurité : lors de sa désactivation, il restaure automatiquement le mode Proxied pour tous les enregistrements concernés, évitant un état incohérent ou partiel.

Conclusion

CF Football Bypass propose une solution technique simple face à un enjeu prévisible : quand les blocages par plages IP impactent Cloudflare lors des matches, il switch temporairement en mode DNS Only, puis revient en mode normal, le tout avec une moindre intrusion, une traçabilité complète et une capacité de revenir en arrière. Pour ceux qui voient leur trafic s’effondrer à chaque match sans en faire partie, c’est une véritable assurance qui peut éviter une journée perdue ou une opération instable, et garantir la continuité du service.