ProHoster > Blog > administrasie > Outomatisering van WordPress-installasie met NGINX Unit en Ubuntu

Outomatisering van WordPress-installasie met NGINX Unit en Ubuntu

Outomatisering van WordPress-installasie met NGINX Unit en Ubuntu

Daar is baie tutoriale oor hoe om WordPress te installeer, 'n Google-soektog na "WordPress install" sal ongeveer 'n halfmiljoen resultate oplewer. Daar is egter baie min goeie gidse onder hulle, waarvolgens jy WordPress en die onderliggende bedryfstelsel kan installeer en opstel sodat dit vir 'n lang tydperk kan ondersteun. Miskien is die korrekte instellings hoogs afhanklik van spesifieke behoeftes, of dit is te wyte aan die feit dat 'n gedetailleerde verduideliking die artikel moeilik maak om te lees.

In hierdie artikel sal ons probeer om die beste van albei wêrelde te kombineer deur 'n bash-skrif te verskaf om WordPress outomaties op Ubuntu te installeer, asook om daardeur te loop, verduidelik wat elke stuk doen, sowel as die kompromieë wat ons gemaak het met die ontwikkeling daarvan . As jy 'n gevorderde gebruiker is, kan jy die teks van die artikel oorslaan en net neem die draaiboek vir wysiging en gebruik in jou omgewings. Die uitvoer van die skrif is 'n pasgemaakte WordPress-installasie met Lets Encrypt-ondersteuning, wat op NGINX-eenheid loop en geskik is vir produksiegebruik.

Die ontwikkelde argitektuur vir die implementering van WordPress met behulp van die NGINX-eenheid word beskryf in ouer artikel, nou sal ons ook dinge verder konfigureer wat nie daar gedek is nie (soos in baie ander tutoriale):

  • WordPress CLI
  • Kom ons enkripteer en TLSSSL-sertifikate
  • Outomatiese hernuwing van sertifikate
  • NGINX-kas
  • NGINX kompressie
  • HTTPS en HTTP/2 ondersteuning
  • Proses outomatisering

Die artikel sal die installasie op een bediener beskryf, wat gelyktydig 'n statiese verwerkingsbediener, 'n PHP verwerkingsbediener en 'n databasis sal huisves. 'n Installasie wat verskeie virtuele gashere en dienste ondersteun, is 'n potensiële onderwerp vir die toekoms. As jy wil hê ons moet skryf oor iets wat nie in hierdie artikels is nie, skryf in die kommentaar.

Vereistes

  • Houerbediener (LXC of LXD), 'n virtuele masjien, of 'n gewone ysterbediener met ten minste 512 MB RAM en Ubuntu 18.04 of later geïnstalleer.
  • Internettoeganklike poorte 80 en 443
  • Domeinnaam wat met die publieke IP-adres van hierdie bediener geassosieer word
  • Worteltoegang (sudo).

Argitektuur oorsig

Die argitektuur is dieselfde as beskryf vroeër, 'n drievlak-webtoepassing. Dit bestaan ​​uit PHP-skrifte wat op die PHP-enjin loop en statiese lêers wat deur die webbediener verwerk word.

Outomatisering van WordPress-installasie met NGINX Unit en Ubuntu

Algemene beginsels

  • Baie konfigurasie-opdragte in 'n skrip word toegedraai in voorwaardes vir idempotensie: die skrip kan verskeie kere uitgevoer word sonder die risiko om instellings wat reeds in plek is te verander.
  • Die skrip probeer sagteware vanaf bewaarplekke installeer, sodat jy stelselopdaterings in een opdrag kan toepas (apt upgrade vir Ubuntu).
  • Opdragte probeer opspoor dat hulle in 'n houer loop sodat hulle hul instellings dienooreenkomstig kan verander.
  • Om die aantal draadprosesse in te stel om in die instellings te begin, probeer die skrip die outomatiese instellings raai om in houers, virtuele masjiene en hardewarebedieners te werk.
  • Wanneer ons instellings beskryf, dink ons ​​altyd eerstens aan outomatisering, wat, ons hoop, die basis sal word vir die skep van jou eie infrastruktuur as kode.
  • Alle opdragte word as gebruiker uitgevoer wortel, omdat hulle die basiese stelselinstellings verander, maar WordPress werk direk as 'n gewone gebruiker.

Opstel van omgewingsveranderlikes

Stel die volgende omgewingsveranderlikes in voordat die skrip uitgevoer word:

  • WORDPRESS_DB_PASSWORD - WordPress databasis wagwoord
  • WORDPRESS_ADMIN_USER - WordPress admin naam
  • WORDPRESS_ADMIN_PASSWORD - WordPress admin wagwoord
  • WORDPRESS_ADMIN_EMAIL - WordPress admin e-pos
  • WORDPRESS_URL is die volledige URL van die WordPress-werf, wat begin by https://.
  • LETS_ENCRYPT_STAGING - by verstek leeg, maar deur die waarde op 1 te stel, sal jy die Let's Encrypt staging-bedieners gebruik, wat nodig is om gereeld sertifikate aan te vra wanneer jy jou instellings toets, anders kan Let's Encrypt jou IP-adres tydelik blokkeer as gevolg van 'n groot aantal versoeke .

Die skrif kontroleer dat hierdie WordPress-verwante veranderlikes ingestel is en gaan uit indien nie.
Skripreëls 572-576 kontroleer die waarde LETS_ENCRYPT_STAGING.

Opstel van afgeleide omgewingsveranderlikes

Die skrif op reëls 55-61 stel die volgende omgewingsveranderlikes, hetsy na een of ander hardgekodeerde waarde of met behulp van 'n waarde verkry uit die veranderlikes wat in die vorige afdeling gestel is:

  • DEBIAN_FRONTEND="noninteractive" - Vertel toepassings dat hulle in 'n skrip loop en dat daar geen moontlikheid van gebruikersinteraksie is nie.
  • WORDPRESS_CLI_VERSION="2.4.0" is die weergawe van die WordPress CLI-toepassing.
  • WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" - kontrolesom van die WordPress CLI 2.4.0-uitvoerbare lêer (die weergawe word in die veranderlike gespesifiseer WORDPRESS_CLI_VERSION). Die skrif op reël 162 gebruik hierdie waarde om te kontroleer dat die korrekte WordPress CLI-lêer afgelaai is.
  • UPLOAD_MAX_FILESIZE="16M" - die maksimum lêergrootte wat in WordPress opgelaai kan word. Hierdie instelling word op verskeie plekke gebruik, so dit is makliker om dit op een plek te stel.
  • TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - gasheernaam van die stelsel, verkry vanaf die WORDPRESS_URL-veranderlike. Word gebruik om toepaslike TLS/SSL-sertifikate van Let's Encrypt sowel as interne WordPress-verifikasie te verkry.
  • NGINX_CONF_DIR="/etc/nginx" - pad na die gids met NGINX-instellings, insluitend die hooflêer nginx.conf.
  • CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — die pad na die Let's Encrypt-sertifikate vir die WordPress-werf, verkry vanaf die veranderlike TLS_HOSTNAME.

Ken 'n gasheernaam aan 'n WordPress-bediener toe

Die skrip stel die bediener se gasheernaam om by die werf se domeinnaam te pas. Dit is nie nodig nie, maar dit is geriefliker om uitgaande pos via SMTP te stuur wanneer 'n enkele bediener opgestel word, soos gekonfigureer deur die skrif.

skrif kode

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

Voeg gasheernaam by /etc/hosts

Daarbenewens WP-Cron gebruik word om periodieke take uit te voer, vereis WordPress om toegang tot homself via HTTP te verkry. Om seker te maak dat WP-Cron korrek op alle omgewings werk, voeg die skrif 'n reël by die lêer / Etc / hostssodat WordPress toegang tot homself kan verkry via die terugloop-koppelvlak:

skrif kode

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

Installeer die gereedskap wat benodig word vir die volgende stappe

Die res van die skrif benodig sommige programme en neem aan dat die bewaarplekke op datum is. Ons werk die lys van bewaarplekke op, waarna ons die nodige gereedskap installeer:

skrif kode

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

Voeg NGINX-eenheid en NGINX-bewaarplekke by

Die skrip installeer NGINX-eenheid en oopbron-NGINX vanaf die amptelike NGINX-bewaarplekke om seker te maak dat die weergawes met die nuutste sekuriteitsopdaterings en foutoplossings gebruik word.

Die skrip voeg die NGINX Unit repository by en dan die NGINX repository, en voeg die repositories sleutel en konfigurasie lêers by apt, wat toegang tot bewaarplekke via die internet definieer.

Die werklike installering van NGINX Unit en NGINX vind plaas in die volgende afdeling. Ons voeg die bewaarplekke vooraf by sodat ons nie die metadata verskeie kere hoef op te dateer nie, wat die installasie vinniger maak.

skrif kode

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

Installeer NGINX, NGINX Unit, PHP MariaDB, Certbot (Kom ons Enkripteer) en hul afhanklikhede

Sodra al die bewaarplekke bygevoeg is, werk die metadata op en installeer die toepassings. Die pakkette wat deur die skrif geïnstalleer is, bevat ook die PHP-uitbreidings wat aanbeveel word wanneer WordPress.org bestuur word

skrif kode

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

Stel PHP op vir gebruik met NGINX Unit en WordPress

Die skrip skep 'n instellingslêer in die gids konf.d. Dit stel die maksimum lêergrootte vir PHP-oplaaie, skakel PHP-foutuitvoer na STDERR aan sodat hulle na die NGINX-eenheidlogboek geskryf sal word, en herbegin die NGINX-eenheid.

skrif kode

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

Spesifikasie van MariaDB-databasisinstellings vir WordPress

Ons het MariaDB bo MySQL gekies, aangesien dit meer gemeenskapsaktiwiteit het en waarskynlik ook sal doen bied by verstek beter werkverrigting (waarskynlik, alles is eenvoudiger hier: om MySQL te installeer, moet jy nog 'n bewaarplek byvoeg, ongeveer. vertaler).

Die skrip skep 'n nuwe databasis en skep geloofsbriewe om toegang tot WordPress te verkry via die terugloop-koppelvlak:

skrif kode

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

Die installering van die WordPress CLI-program

By hierdie stap installeer die skrip die program WP-CLI. Daarmee kan u WordPress-instellings installeer en bestuur sonder om lêers handmatig te wysig, die databasis op te dateer of die beheerpaneel te betree. Dit kan ook gebruik word om temas en byvoegings te installeer en WordPress op te dateer.

skrif kode

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

Installeer en konfigureer WordPress

Die skrip installeer die nuutste weergawe van WordPress in 'n gids /var/www/wordpressen verander ook die instellings:

  • Die databasisverbinding werk oor Unix-domein-sok in plaas van TCP op terugloop om TCP-verkeer te verminder.
  • WordPress voeg 'n voorvoegsel by https:// na die URL as kliënte aan NGINX koppel oor HTTPS, en stuur ook die afgeleë gasheernaam (soos verskaf deur NGINX) na PHP. Ons gebruik 'n stukkie kode om dit op te stel.
  • WordPress benodig HTTPS om aan te meld
  • Die verstek URL-struktuur is gebaseer op hulpbronne
  • Stel die korrekte toestemmings op die lêerstelsel vir die WordPress-gids.

skrif kode

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

Die opstel van NGINX-eenheid

Die skrif stel die NGINX-eenheid op om PHP uit te voer en WordPress-paaie te verwerk, isoleer die PHP-prosesnaamruimte en optimaliseer prestasie-instellings. Hier is drie kenmerke waarna u moet kyk:

  • Ondersteuning vir naamruimtes word bepaal deur toestand, gebaseer op die kontrolering dat die skrip in 'n houer loop. Dit is nodig omdat die meeste houeropstellings nie geneste bekendstelling van houers ondersteun nie.
  • As daar ondersteuning vir naamruimtes is, deaktiveer die naamruimte netwerk. Dit is om WordPress toe te laat om aan beide eindpunte te koppel en terselfdertyd op die web beskikbaar te wees.
  • Die maksimum aantal prosesse word soos volg gedefinieer: (Beskikbare geheue om MariaDB en NGINX Uniy te laat loop)/(RAM-limiet in PHP + 5)
    Hierdie waarde word in die NGINX-eenheidinstellings gestel.

Hierdie waarde impliseer ook dat daar altyd ten minste twee PHP-prosesse loop, wat belangrik is omdat WordPress baie asynchrone versoeke aan homself rig, en sonder bykomende prosesse sal loop, bv. WP-Cron breek. Jy sal dalk hierdie limiete wil verhoog of verlaag op grond van jou plaaslike instellings, want die instellings wat hier geskep word, is konserwatief. Op die meeste produksiestelsels is die instellings tussen 10 en 100.

skrif kode

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

Die opstel van NGINX

Konfigureer basiese NGINX-instellings

Die skrip skep 'n gids vir die NGINX-kas en skep dan die hoofkonfigurasielêer nginx.conf. Gee aandag aan die aantal hanteerderprosesse en die instelling van die maksimum lêergrootte vir oplaai. Daar is ook 'n reël wat die kompressie-instellingslêer insluit wat in die volgende afdeling gedefinieer word, gevolg deur die kasinstellings.

skrif kode

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

Stel NGINX-kompressie op

Om inhoud dadelik saam te druk voordat dit aan kliënte gestuur word, is 'n goeie manier om werfprestasie te verbeter, maar slegs as kompressie korrek opgestel is. Hierdie gedeelte van die skrif is gebaseer op instellings vandaar.

skrif kode

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

Stel NGINX vir WordPress op

Vervolgens skep die skrif 'n konfigurasielêer vir WordPress verstek.conf in die katalogus konf.d. Dit is hier gekonfigureer:

  • Aktivering van TLS-sertifikate wat van Let's Encrypt via Certbot ontvang is (opstelling sal in die volgende afdeling wees)
  • Konfigureer TLS-sekuriteitinstellings gebaseer op aanbevelings van Let's Encrypt
  • Aktiveer kasoorslaanversoeke by verstek vir 1 uur
  • Deaktiveer toegangsregistrasie, sowel as foutregistrasie as lêer nie gevind word nie, vir twee algemene versoekte lêers: favicon.ico en robots.txt
  • Verhoed toegang tot verborge lêers en sommige lêers Phpom onwettige toegang of onbedoelde begin te voorkom
  • Deaktiveer toegangsregistrasie vir statiese en fontlêers
  • Opskrifinstelling Toegang-beheer-Laat toe-oorsprong vir lettertipe lêers
  • Voeg roetering by vir index.php en ander statika.

skrif kode

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

Stel Certbot op vir sertifikate van Let's Encrypt en hernu dit outomaties

Certbot is 'n gratis hulpmiddel van die Electronic Frontier Foundation (EFF) wat jou toelaat om TLS-sertifikate van Let's Encrypt te verkry en outomaties te hernu. Die skrip doen die volgende om Certbot op te stel om sertifikate van Let's Encrypt in NGINX te verwerk:

  • Stop NGINX
  • Laai aanbevole TLS-instellings af
  • Begin Certbot om sertifikate vir die webwerf te kry
  • Herbegin NGINX om sertifikate te gebruik
  • Stel Certbot op om daagliks om 3:24 te loop om te kyk of sertifikate hernu moet word, en indien nodig, laai nuwe sertifikate af en herbegin NGINX.

skrif kode

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

Bykomende aanpassing van jou werf

Ons het hierbo gepraat oor hoe ons skrif NGINX en NGINX Unit instel om 'n produksie-gereed webwerf te bedien met TLSSSL geaktiveer. U kan ook, afhangende van u behoeftes, in die toekoms byvoeg:

  • ondersteun Brotli, verbeterde on-the-fly kompressie oor HTTPS
  • ModSekuriteit с reëls vir wordpressom outomatiese aanvalle op u webwerf te voorkom
  • Friends vir WordPress wat jou pas
  • Beskerming met die hulp AppArmor (op Ubuntu)
  • Postfix of msmtp sodat WordPress pos kan stuur
  • Gaan jou werf na sodat jy verstaan ​​hoeveel verkeer dit kan hanteer

Vir nog beter werfprestasie, beveel ons aan dat u opgradeer na NGINX Plus, ons kommersiële, ondernemingsgraadproduk gebaseer op open source NGINX. Sy intekenare sal 'n dinamies gelaaide Brotli-module ontvang, sowel as (teen 'n bykomende fooi) NGINX ModSecurity WAF. Ons bied ook aan NGINX App Beskerm, 'n WAF-module vir NGINX Plus gebaseer op toonaangewende sekuriteitstegnologie van F5.

NB Vir ondersteuning van 'n hoogs gelaaide webwerf, kan u die spesialiste kontak South brug. Ons sal verseker vinnige en betroubare werking van jou webwerf of diens onder enige las.

Bron: will.com