Почему очень много сайтов работает через Cloudflare?

Уже года 3 все отлично реагирают, и жалобы пересылают и если нету никакой реакции блочат.

Мне стабильно отсылают копию письма жалобы с просьбой среагировать, которую отправляют на хостинг.

Ложь, с целью навязать частные ненужные услуги, работающие по абсолютно такому же принципу, что и CF.
Просто CF - бесплатный и основная цель этого инструмента не защита от ботов, а защита от ДДОС, а его побочный лайтовый функционал фильтрует ботов с абсолютно таким же качеством, как и частный инструмент некоторых заинтересованных лиц.

Сокращает, отсеивая всех подряд. Сам неоднократно сталкивался с подобным.

я ж похвалил клаудфлар. считаешь что клаудфлар плохо? )) 

У CF есть несколько тарифов. Дальше все зависит от того насколько вы умеете им пользоваться. Обратитесь к профессионалам, чтобы они настроили правила под ваши задачи.

Детишки думают, что все им должны бесплатно на бесплатном тарифе полный функционал так еще и все само настроится должно. Одной кнопкой. Так не работает.

Разве? У них уже внесен домен в базу под запрет, если что

Все по делу, только нужно иметь в виду, что в тарифе ПРО также нет волшебной кнопки АнтиБот. 
Клауд образно можно сравнить с редактором Notepad++. Один откроет его и все что сможет - напишет слово из 3 букв. А другой - напишет код сайта. Но при этом никому не приходит в голову орать что "я скачал поставил себе текстовый редактор в комп, почему он мне не обновил сайт, не приготовил кофе и не постирал носки". А про Cloudflare так почему-то постоянно пишут. 

Клауд приспосабливают  под фильтрацию именно настройкой правил WAF, здесь отличие в количестве доступных ячеек под правила. В бесплатном 5 штук. Впрочем, в большинстве случаев этого (на 1 ячейку чуть больше 4000 символов под правила) вполне достаточно.

Это инструмент, если его не уметь настраивать, то, конечно, нет результата. 

Это не является готовым продуктом "отсеить ботов", вы сами настраиваете правила firewall.

Ее и на Enterprise нет. Но есть возможность "автосоздания" правил под конкретный трафик. Пока в бете, и "авто" на самом деле работает в полуручном режиме с управлением только через API. И за совсем другие деньги. При том что работает не слишком стабильно для нетипичного трафика.

Точнее заблокировать ботов как раз можно примерно меньше чем в десять кликов. Но задача обычно не заблокировать всех ботов, а заблокировать "плохих" ботов не затрагивая "хороших" ботов и легитимных пользователей. А это уже совсем другая задача.

Большинство пользователей даже кэш и rate limit настроить правильно не могут, а фильтрация типов ботов это для них вообще высшая математика. Максимум на что хватает это Under Attack Mode нажать. А потом удивляться куда страницы из выдачи пропадают.

Как работает инжект js-кода выявления ботов (не js challenge) и как его использовать вообще единицы понимают. Малочисленные пользователи этой опции кто добираются до нее обычно даже доку не читают, просто включают ее и все, а потом удивляются "почему не работает" 😀

Даже те редкие кто с этим справились, доку почитать догадавшись и признак в правило добавив, факт что многие современные боты на реальных браузерах с реальными донорскими куками работают воспринимают как новость, которая в голове не укладывается.

В новой версии улучшили функционал по known bots. По сравнению с легаси. Но достаточно посмотреть что там внутри, чтобы понять там все далеко от того, чтобы без доп правил это на прокакшне включать безопасно. И ждать что сделают идеально бесполезно, т.к. всем по определению угодить нельзя с примитивной классификацией черное/белое.