Знайти, що блокує Cloudflare.
Логи WAF/Firewall: які правила спрацьовують при викликах API SMS Fly і Checkbox (коди 403 / 1020 / JS-Challenge).
Перевірити, чи не блокує Managed Challenge, Bot Fight, Super Bot Fight і т. д.
Налаштувати точкові виключення, не послаблюючи загальний щит.
Firewall Rule (allow) за IP-діапазонами і ASN SMS Fly / Checkbox АБО
Firewall Rule (allow) за URI-патернами, наприклад:
lua
(http.request.uri.path contains "/api/smsfly")
або (http.request.uri.path contains "/api/checkbox")
Для виключених шляхів виставити:
Security Level: Essentially Off (або Skip).
Captcha / JS Challenge → Skip.
Rate Limiting / Super Bot Fight → Skip.
DNS / проксіювання.
Переконатися, що вихідні запити–клієнти (cURL з PHP) проходять мимо Cloudflare.
Якщо API-хости всередині нашого домену, поставте їм «сіреньке хмарко» (Direct DNS).
Кеш і оптимізації.
Rocket Loader, HTML Cache, Auto Minify — вимкнути на API-ендпойнтах, якщо вони порушують заголовки/підписи.
Тест-план (обов’язково):
Увімкнено Under Attack (або кастомні правила = той самий рівень захисту).
Створити тестове замовлення:
SMS приходить.
Перевірка проходить у Checkbox.
Паралельно — навантажувальний моніторинг: CPU, RAM, кількість процесів залишаються у межах норми.
В логах відсутні 4xx / 5xx від Cloudflare під час роботи API.