تتوفر العديد من مواد التركيب. WordPress، ابحث في جوجل عن الكلمات المفتاحية "WordPress ستُظهر عملية البحث عن كلمة "تثبيت" حوالي نصف مليون نتيجة. ومع ذلك، من بينها، يوجد عدد قليل جدًا من الأدلة المفيدة لتثبيت وتكوين البرنامج. WordPress ونظام التشغيل الأساسي لضمان دعمها على مدى فترة طويلة. ربما تعتمد الإعدادات الصحيحة بشكل كبير على الاحتياجات المحددة، أو ربما يعود ذلك إلى أن الشرح المفصل يجعل قراءة المقال صعبة.
في هذه المقالة، سنحاول الجمع بين أفضل ما في كلا النهجين من خلال توفير برنامج نصي باش للتثبيت التلقائي. WordPress في Ubuntuسنشرح أيضًا كل جزء بالتفصيل، موضحين وظيفته والتنازلات التي قدمناها أثناء تطويره. إذا كنت مستخدمًا متمرسًا، يمكنك تخطي النص والبدء مباشرةً للتعديل والاستخدام في بيئاتك. مخرجات البرنامج النصي عبارة عن تثبيت مخصص. WordPress مع دعم Let's Encrypt، ويعمل على NGINX Unit وهو مناسب للاستخدام في بيئات الإنتاج.
تم تطوير بنية للنشر WordPress تم شرح استخدام وحدة NGINX في ، سنقوم الآن أيضًا بتهيئة الأشياء التي لم تتم تغطيتها هناك (كما هو الحال في العديد من البرامج التعليمية الأخرى):
- WordPress CLI
- لنقم بتشفير وشهادات TLSSSL
- التجديد التلقائي للشهادات
- NGINX التخزين المؤقت
- ضغط NGINX
- دعم HTTPS و HTTP / 2
- أتمتة العمليات
ستصف المقالة التثبيت على خادم واحد ، والذي سيستضيف في نفس الوقت خادم معالجة ثابت وخادم معالجة PHP وقاعدة بيانات. يعد التثبيت الذي يدعم العديد من الأجهزة المضيفة الافتراضية والخدمات موضوعًا محتملاً في المستقبل. إذا كنت تريد منا أن نكتب عن شيء غير موجود في هذه المقالات ، فاكتب في التعليقات.
متطلبات
- خادم الحاوية ( أو )، أو جهاز افتراضي، أو خادم أجهزة عادي، مزود بذاكرة وصول عشوائي (RAM) لا تقل عن 512 ميجابايت ومثبت عليه Ubuntu 18.04 أو أحدث.
- منافذ الوصول إلى الإنترنت 80 و 443
- اسم المجال المرتبط بعنوان IP العام لهذا الخادم
- الوصول إلى الجذر (sudo).
نظرة عامة على العمارة
الهندسة هي نفسها كما هو موصوف ، وهو تطبيق ويب ثلاثي المستويات. يتكون من نصوص PHP يتم تشغيلها على محرك PHP والملفات الثابتة التي تتم معالجتها بواسطة خادم الويب.
المبادئ العامة
- يتم تغليف العديد من أوامر التكوين في البرنامج النصي إذا كانت شروط عدم القدرة على العمل: يمكن تشغيل البرنامج النصي عدة مرات دون المخاطرة بتغيير الإعدادات الموجودة بالفعل.
- يحاول البرنامج النصي تثبيت البرنامج من المستودعات ، بحيث يمكنك تطبيق تحديثات النظام بأمر واحد (
apt upgradeإلى Ubuntu). - تحاول الأوامر اكتشاف أنها تعمل في حاوية حتى تتمكن من تغيير إعداداتها وفقًا لذلك.
- من أجل تعيين عدد عمليات الخيط للبدء في الإعدادات ، يحاول البرنامج النصي تخمين الإعدادات التلقائية للعمل في الحاويات ، والأجهزة الافتراضية ، وخوادم الأجهزة.
- عند وصف الإعدادات ، نفكر دائمًا أولاً في الأتمتة ، والتي نأمل أن تصبح أساسًا لإنشاء البنية التحتية الخاصة بك كرمز.
- يتم تشغيل جميع الأوامر كمستخدم جذرلأنها تغير إعدادات النظام الرئيسية، ولكن بشكل مباشر WordPress يعمل من قبل المستخدم العادي.
تحديد متغيرات البيئة
قم بتعيين متغيرات البيئة التالية قبل تشغيل البرنامج النصي:
WORDPRESS_DB_PASSWORD— كلمة مرور قاعدة البيانات WordPressWORDPRESS_ADMIN_USER— اسم المسؤول WordPressWORDPRESS_ADMIN_PASSWORDكلمة مرور المسؤول WordPressWORDPRESS_ADMIN_EMAIL— البريد الإلكتروني للمسؤول WordPressWORDPRESS_URL— عنوان الموقع الإلكتروني الكامل WordPressبدءا منhttps://.LETS_ENCRYPT_STAGING- فارغ بشكل افتراضي ، ولكن من خلال تعيين القيمة على 1 ، ستستخدم خوادم Let's Encrypt المرحلية ، والتي تعد ضرورية لطلب الشهادات بشكل متكرر عند اختبار إعداداتك ، وإلا فقد يحظر Let's Encrypt عنوان IP الخاص بك مؤقتًا بسبب عدد كبير من الطلبات .
يتحقق البرنامج النصي من أن هذه العناصر ذات صلة WordPress يتم تعيين المتغيرات، ويتم الخروج إذا لم يتم ذلك.
تحقق أسطر البرنامج النصي 572-576 من القيمة LETS_ENCRYPT_STAGING.
تحديد متغيرات البيئة المشتقة
يحدد البرنامج النصي الموجود في الأسطر 55-61 متغيرات البيئة التالية ، إما إلى بعض القيم المشفرة أو باستخدام قيمة تم الحصول عليها من المتغيرات المحددة في القسم السابق:
DEBIAN_FRONTEND="noninteractive"- يخبر التطبيقات بأنها تعمل في برنامج نصي وأنه لا توجد إمكانية لتفاعل المستخدم.WORDPRESS_CLI_VERSION="2.4.0"— إصدار التطبيق WordPress سطر الأوامر.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"— مجموع التحقق من الملف القابل للتنفيذ WordPress CLI 2.4.0 (يتم تحديد الإصدار في المتغير)WORDPRESS_CLI_VERSION). يستخدم البرنامج النصي في السطر 162 هذه القيمة للتحقق من تنزيل الملف الصحيح. WordPress سطر الأوامر.UPLOAD_MAX_FILESIZE="16M"— الحد الأقصى لحجم الملف الذي يمكن تحميله WordPressيتم استخدام هذا الإعداد في عدة أماكن، لذا من الأسهل ضبطه في مكان واحد.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"— اسم مضيف النظام، الذي يتم استرجاعه من متغير WORDPRESS_URL. يُستخدم للحصول على شهادات TLS/SSL المناسبة من Let's Encrypt، بالإضافة إلى التحقق الداخلي. WordPress.NGINX_CONF_DIR="/etc/nginx"- المسار إلى الدليل مع إعدادات NGINX ، بما في ذلك الملف الرئيسيnginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"— مسار شهادات Let's Encrypt الخاصة بالموقع WordPress، تم الحصول عليها من متغيرTLS_HOSTNAME.
تعيين اسم المضيف WordPress الخادم
يقوم البرنامج النصي بتعيين اسم مضيف الخادم بحيث يتطابق مع اسم مجال الموقع. هذا ليس مطلوبًا ، ولكنه أكثر ملاءمة لإرسال البريد الصادر عبر SMTP عند إعداد خادم واحد ، كما تم تكوينه بواسطة البرنامج النصي.
كود البرنامج النصي
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiإضافة اسم المضيف إلى / etc / hosts
إضافة يُستخدم لتشغيل المهام الدورية، ويتطلب ذلك WordPress يمكن الوصول إلى نفسه عبر HTTP. ولضمان عمل WP-Cron بشكل صحيح على جميع البيئات، يضيف البرنامج النصي سطرًا إلى الملف. / الخ / المضيفينلذلك WordPress يمكن الوصول إلى نفسه عبر واجهة الاسترجاع:
كود البرنامج النصي
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiتركيب الأدوات المطلوبة للخطوات التالية
يحتاج باقي البرنامج النصي إلى بعض البرامج ويفترض أن المستودعات محدثة. نقوم بتحديث قائمة المستودعات ، وبعد ذلك نقوم بتثبيت الأدوات اللازمة:
كود البرنامج النصي
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseإضافة وحدة NGINX ومستودعات NGINX
يقوم البرنامج النصي بتثبيت NGINX Unit و NGINX مفتوح المصدر من مستودعات NGINX الرسمية للتأكد من استخدام الإصدارات التي تحتوي على أحدث تصحيحات الأمان وإصلاحات الأخطاء.
يضيف البرنامج النصي مستودع NGINX Unit ثم مستودع NGINX ، مضيفًا مفتاح المستودعات وملفات التكوين apt، وتحديد الوصول إلى المستودعات عبر الإنترنت.
يتم التثبيت الفعلي لوحدة NGINX و NGINX في القسم التالي. نقوم بإضافة المستودعات مسبقًا حتى لا نضطر إلى تحديث البيانات الوصفية عدة مرات ، مما يجعل التثبيت أسرع.
كود البرنامج النصي
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiتثبيت NGINX ، NGINX Unit ، PHP MariaDB ، Certbot (Let's Encrypt) وتبعياتها
بعد إضافة جميع المستودعات، نقوم بتحديث البيانات الوصفية وتثبيت التطبيقات. تتضمن الحزم التي يثبتها البرنامج النصي أيضًا ملحقات PHP الموصى بها عند بدء التشغيل. WordPress. المؤسسة
كود البرنامج النصي
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverتهيئة PHP للاستخدام مع NGINX Unit و WordPress
يقوم البرنامج النصي بإنشاء ملف إعدادات في الدليل conf.d. يقوم هذا بتعيين الحد الأقصى لحجم الملف لعمليات تحميل PHP ، وتشغيل إخراج خطأ PHP إلى STDERR حتى تتم كتابتها في سجل وحدة NGINX ، وإعادة تشغيل وحدة NGINX.
كود البرنامج النصي
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartإعداد إعدادات قاعدة بيانات MariaDB لـ WordPress
لقد اخترنا MariaDB على MySQL لأنه يحتوي على نشاط مجتمعي أكثر ومن المحتمل أيضًا (ربما يكون كل شيء أبسط هنا: لتثبيت MySQL ، تحتاج إلى إضافة مستودع آخر، تقريبًا. مترجم).
يقوم البرنامج النصي بإنشاء قاعدة بيانات جديدة وإنشاء بيانات اعتماد الوصول. WordPress عبر واجهة الاسترجاع:
كود البرنامج النصي
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"تثبيت البرنامج WordPress CLI
في هذه الخطوة ، يقوم البرنامج النصي بتثبيت البرنامج بمساعدته يمكنك ضبط الإعدادات وإدارتها WordPress دون الحاجة إلى تعديل الملفات يدويًا، أو تحديث قاعدة البيانات، أو تسجيل الدخول إلى لوحة التحكم. كما يمكن استخدامه لتثبيت السمات والإضافات وإجراء التحديثات. WordPress.
كود البرنامج النصي
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiالتثبيت والإعداد WordPress
يقوم البرنامج النصي بتثبيت أحدث إصدار WordPress للفهرسة /var/www/wordpressوأيضًا يغير الإعدادات:
- يعمل اتصال قاعدة البيانات عبر مقبس مجال unix بدلاً من TCP عند الاسترجاع لخفض حركة مرور TCP.
- WordPress يضيف بادئة https:// إلى عنوان URL إذا كان العملاء يتصلون بـ NGINX عبر HTTPS ، ويرسلون أيضًا اسم المضيف البعيد (على النحو المنصوص عليه من قبل NGINX) إلى PHP. نحن نستخدم قطعة من التعليمات البرمجية لإعداد هذا.
- WordPress يلزم استخدام بروتوكول HTTPS لتسجيل الدخول
- تعتمد بنية عنوان URL الافتراضية على الموارد
- تم ضبط أذونات نظام الملفات الصحيحة للدليل. WordPress.
كود البرنامج النصي
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --data-gt-translate-attributes='["title"]' title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiإعداد وحدة NGINX
يقوم البرنامج النصي بتهيئة وحدة NGINX لتشغيل PHP ومعالجة المسارات. WordPressعزل مساحة اسم عملية PHP وتحسين إعدادات الأداء. هناك ثلاث ميزات جديرة بالذكر:
- يتم تحديد دعم مساحات الأسماء حسب الشرط ، بناءً على التحقق من تشغيل البرنامج النصي في حاوية. يعد هذا ضروريًا لأن معظم إعدادات الحاويات لا تدعم التشغيل المتداخل للحاويات.
- إذا كان هناك دعم لمساحات الأسماء ، فقم بتعطيل مساحة الاسم شبكةهذا ضروري للسماح WordPress الاتصال في الوقت نفسه بنقاط النهاية والتواجد على الإنترنت.
- يتم تحديد الحد الأقصى لعدد العمليات على النحو التالي: (الذاكرة المتوفرة لتشغيل MariaDB و NGINX Uniy) / (RAM Limit in PHP + 5)
يتم تعيين هذه القيمة في إعدادات وحدة NGINX.
تشير هذه القيمة أيضًا إلى وجود عمليتين PHP على الأقل قيد التشغيل دائمًا، وهو أمر مهم لأن WordPress يُجري هذا النظام العديد من الطلبات غير المتزامنة لنفسه، وبدون عمليات إضافية، سيفشل تشغيل، على سبيل المثال، WP-Cron. قد ترغب في زيادة هذه الحدود أو تقليلها بناءً على إعداداتك المحلية، لأن الإعدادات المُنشأة هنا مُتحفظة. في معظم أنظمة الإنتاج، تتراوح هذه الإعدادات بين 10 و100.
كود البرنامج النصي
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d ' ')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configإعداد NGINX
تكوين إعدادات NGINX الأساسية
يقوم البرنامج النصي بإنشاء دليل لذاكرة التخزين المؤقت NGINX ثم يقوم بإنشاء ملف التكوين الرئيسي nginx.conf. انتبه إلى عدد عمليات المعالج وتحديد الحد الأقصى لحجم الملف للتحميل. يوجد أيضًا سطر يتضمن ملف إعدادات الضغط المحدد في القسم التالي ، متبوعًا بإعدادات التخزين المؤقت.
كود البرنامج النصي
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMإعداد ضغط NGINX
يعد ضغط المحتوى سريعًا قبل إرساله إلى العملاء طريقة رائعة لتحسين أداء الموقع ، ولكن فقط إذا تم تكوين الضغط بشكل صحيح. يعتمد هذا القسم من البرنامج النصي على الإعدادات .
كود البرنامج النصي
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMإعداد NGINX لـ WordPress
بعد ذلك، يقوم البرنامج النصي بإنشاء ملف تكوين لـ WordPress default.conf في الكتالوج conf.d. تم تكوينه هنا:
- تنشيط شهادات TLS المستلمة من Let's Encrypt عبر Certbot (سيكون الإعداد في القسم التالي)
- تكوين إعدادات أمان TLS بناءً على توصيات من Let's Encrypt
- تفعيل التخزين المؤقت لطلبات التخطي لمدة ساعة واحدة بشكل افتراضي
- تعطيل تسجيل الوصول ، وكذلك تسجيل الأخطاء إذا لم يتم العثور على الملف لملفين شائعين مطلوبين: favicon.ico و robots.txt
- منع الوصول إلى الملفات المخفية وبعض الملفات . بىلمنع الوصول غير القانوني أو البدء غير المقصود
- تعطيل تسجيل الوصول للملفات الثابتة وملفات الخطوط
- إعداد الرأس لملفات الخط
- إضافة توجيه لملف index.php وإحصائيات أخرى.
كود البرنامج النصي
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMإعداد Certbot للحصول على شهادات من Let's Encrypt والتجديد التلقائي لها
هي أداة مجانية من Electronic Frontier Foundation (EFF) تتيح لك الحصول على شهادات TLS وتجديدها تلقائيًا من Let's Encrypt. يقوم البرنامج النصي بما يلي لتكوين Certbot لمعالجة الشهادات من Let's Encrypt in NGINX:
- يوقف NGINX
- يوصى بالتنزيلات بإعدادات TLS
- يقوم بتشغيل Certbot للحصول على شهادات للموقع
- يعيد تشغيل NGINX لاستخدام الشهادات
- يقوم بتهيئة Certbot للتشغيل يوميًا في الساعة 3:24 صباحًا للتحقق مما إذا كانت الشهادات بحاجة إلى التجديد ، وإذا لزم الأمر ، قم بتنزيل شهادات جديدة وأعد تشغيل NGINX.
كود البرنامج النصي
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiتخصيص إضافي لموقعك
لقد تحدثنا أعلاه عن كيفية تكوين البرنامج النصي الخاص بنا NGINX ووحدة NGINX لخدمة موقع جاهز للإنتاج مع تمكين TLSSSL. يمكنك أيضًا ، حسب احتياجاتك ، إضافة ما يلي في المستقبل:
- يدعم ، تحسين الضغط أثناء التنقل عبر HTTPS
- с لمنع الهجمات الآلية على موقعك
- إلى WordPressمناسب لك
- من خلال (على Ubuntu)
- Postfix أو msmtp إلى WordPress يمكن إرسال بريد
- التحقق من موقعك حتى تفهم مقدار حركة المرور التي يمكنه التعامل معها
للحصول على أداء أفضل للموقع ، نوصي بالترقية إلى ، منتجنا التجاري على مستوى المؤسسات استنادًا إلى NGINX مفتوح المصدر. سيحصل مشتركيها على وحدة Brotli يتم تحميلها ديناميكيًا ، وكذلك (مقابل رسوم إضافية) . كما نقدم ، وحدة WAF لـ NGINX Plus تعتمد على تقنية الأمان الرائدة في الصناعة من F5.
ملحوظة: للحصول على دعم موقع محمّل للغاية ، يمكنك الاتصال بالخبراء . سوف نضمن التشغيل السريع والموثوق لموقعك أو خدمتك تحت أي حمولة.
المصدر: www.habr.com
