ProHoster > Blog > İdarə > NGINX Unit və Ubuntu ilə WordPress quraşdırılmasının avtomatlaşdırılması
NGINX Unit və Ubuntu ilə WordPress quraşdırılmasının avtomatlaşdırılması
WordPress-i necə quraşdırmaq barədə çoxlu dərsliklər var, Google-da “WordPress quraşdırması” üçün axtarış yarım milyona yaxın nəticə verəcək. Bununla birlikdə, əslində, onların arasında çox az yaxşı bələdçi var, ona görə WordPress və əsas əməliyyat sistemini uzun müddət dəstəkləyə bilməsi üçün quraşdıra və konfiqurasiya edə bilərsiniz. Bəlkə də düzgün parametrlər xüsusi ehtiyaclardan çox asılıdır və ya bu, ətraflı izahatın məqalənin oxunmasını çətinləşdirdiyi ilə bağlıdır.
Bu yazıda biz Ubuntu-da WordPress-i avtomatik quraşdırmaq üçün bir bash skripti təqdim etməklə hər iki dünyanın ən yaxşısını birləşdirməyə çalışacağıq, həmçinin hər bir parçanın nə etdiyini və onu inkişaf etdirərkən etdiyimiz güzəştləri izah edərək orada gəzəcəyik. . Əgər qabaqcıl istifadəçisinizsə, məqalənin mətnini atlaya bilərsiniz və sadəcə skripti götürün mühitinizdə dəyişiklik və istifadə üçün. Skriptin çıxışı NGINX Vahidində işləyən və istehsalda istifadə üçün uyğun olan Lets Encrypt dəstəyi ilə xüsusi WordPress quraşdırmasıdır.
NGINX vahidindən istifadə edərək WordPress-i yerləşdirmək üçün hazırlanmış arxitektura aşağıda təsvir edilmişdir köhnə məqalə, indi biz orada əhatə olunmayan şeyləri daha da konfiqurasiya edəcəyik (bir çox digər dərsliklərdə olduğu kimi):
WordPress CLI
Gəlin Şifrələyək və TLSSSL Sertifikatlar
Sertifikatların avtomatik yenilənməsi
NGINX keşləmə
NGINX sıxılma
HTTPS və HTTP/2 dəstəyi
Proseslərin avtomatlaşdırılması
Məqalədə eyni vaxtda statik emal serveri, PHP emal serveri və verilənlər bazası yerləşəcək bir serverdə quraşdırma təsvir olunacaq. Çoxsaylı virtual hostları və xidmətləri dəstəkləyən quraşdırma gələcək üçün potensial mövzudur. Bu məqalələrdə olmayan bir şey haqqında yazmağımızı istəyirsinizsə, şərhlərdə yazın.
Tələblər
Konteyner serveri (LXC və ya LXD), virtual maşın və ya ən azı 512 MB RAM və Ubuntu 18.04 və ya daha yeni quraşdırılmış adi dəmir server.
İnternetə giriş üçün 80 və 443 portları
Bu serverin ümumi IP ünvanı ilə əlaqəli domen adı
Kök girişi (sudo).
Memarlığa ümumi baxış
Memarlıq təsvir edildiyi kimidir əvvəllər, üç səviyyəli veb tətbiqi. O, PHP mühərrikində işləyən PHP skriptlərindən və veb server tərəfindən işlənən statik fayllardan ibarətdir.
Ümumi prinsiplər
Skriptdəki bir çox konfiqurasiya əmrləri qeyri-müəyyənlik şərtləri olduqda bağlanır: skript artıq mövcud olan parametrləri dəyişdirmək riski olmadan bir neçə dəfə işlədilə bilər.
Skript proqram təminatını depolardan quraşdırmağa çalışır, beləliklə siz sistem yeniləmələrini bir komandada tətbiq edə bilərsiniz (apt upgrade Ubuntu üçün).
Əmrlər bir konteynerdə işlədiyini aşkar etməyə çalışırlar ki, parametrlərini müvafiq olaraq dəyişə bilsinlər.
Parametrlərdə başlamaq üçün mövzu proseslərinin sayını təyin etmək üçün skript konteynerlərdə, virtual maşınlarda və hardware serverlərində işləmək üçün avtomatik parametrləri təxmin etməyə çalışır.
Parametrləri təsvir edərkən biz həmişə ilk növbədə avtomatlaşdırma haqqında düşünürük ki, bu da kod kimi öz infrastrukturunuzu yaratmaq üçün əsas olacaqdır.
Bütün əmrlər istifadəçi kimi işlədilir kök, çünki onlar əsas sistem parametrlərini dəyişirlər, lakin birbaşa WordPress adi istifadəçi kimi işləyir.
Mühit dəyişənlərinin təyin edilməsi
Skripti işə salmazdan əvvəl aşağıdakı mühit dəyişənlərini təyin edin:
WORDPRESS_URL -dan başlayaraq WordPress saytının tam URL-dir https://.
LETS_ENCRYPT_STAGING - defolt olaraq boşdur, lakin dəyəri 1-ə təyin etməklə siz parametrlərinizi sınaqdan keçirərkən sertifikatların tez-tez tələb edilməsi üçün zəruri olan Let's Encrypt staging serverlərindən istifadə edəcəksiniz, əks halda Let's Encrypt çox sayda sorğuya görə sizin ip ünvanınızı müvəqqəti bloklaya bilər. .
Skript bu WordPress ilə əlaqəli dəyişənlərin təyin olunduğunu yoxlayır və yoxsa çıxır.
Skript sətirləri 572-576 dəyəri yoxlayın LETS_ENCRYPT_STAGING.
Alınan mühit dəyişənlərinin təyin edilməsi
55-61-ci sətirlərdəki skript aşağıdakı mühit dəyişənlərini ya müəyyən kodlaşdırılmış dəyərə, ya da əvvəlki bölmədə təyin edilmiş dəyişənlərdən əldə edilən dəyərdən istifadə edərək təyin edir:
DEBIAN_FRONTEND="noninteractive" - Tətbiqlərə onların skriptdə işlədiyini və istifadəçi ilə qarşılıqlı əlaqə imkanının olmadığını bildirir.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — WordPress CLI 2.4.0 icra edilə bilən faylının yoxlama məbləği (versiya dəyişəndə göstərilib WORDPRESS_CLI_VERSION). 162-ci sətirdəki skript düzgün WordPress CLI faylının yükləndiyini yoxlamaq üçün bu dəyərdən istifadə edir.
UPLOAD_MAX_FILESIZE="16M" - WordPress-də yüklənə biləcək maksimum fayl ölçüsü. Bu parametr bir neçə yerdə istifadə olunur, ona görə də onu bir yerdə qurmaq daha asandır.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - sistemin host adı, WORDPRESS_URL dəyişənindən götürülüb. Let's Encrypt-dən müvafiq TLS/SSL sertifikatları əldə etmək, həmçinin daxili WordPress yoxlaması üçün istifadə olunur.
NGINX_CONF_DIR="/etc/nginx" - əsas fayl daxil olmaqla NGINX parametrləri ilə qovluğa gedən yol nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — dəyişəndən əldə edilən WordPress saytı üçün Let's Encrypt sertifikatlarına gedən yol TLS_HOSTNAME.
WordPress serverinə host adının təyin edilməsi
Skript serverin host adını saytın domen adına uyğun təyin edir. Bu tələb olunmur, lakin skript tərəfindən konfiqurasiya edildiyi kimi, tək bir server qurarkən gedən poçtu SMTP vasitəsilə göndərmək daha rahatdır.
skript kodu
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
/etc/hosts-a host adı əlavə edilir
Əlavə WP-Cron dövri tapşırıqları yerinə yetirmək üçün istifadə olunur, WordPress-in HTTP vasitəsilə özünə daxil ola bilməsini tələb edir. WP-Cron-un bütün mühitlərdə düzgün işləməsinə əmin olmaq üçün skript fayla xətt əlavə edir / Etc / HostWordPress-in geri dönmə interfeysi vasitəsilə özünə daxil ola bilməsi üçün:
skript kodu
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Növbəti addımlar üçün lazım olan alətlərin quraşdırılması
Skriptin qalan hissəsi bəzi proqramlara ehtiyac duyur və depoların yeniləndiyini güman edir. Depoların siyahısını yeniləyirik, bundan sonra lazımi alətləri quraşdırırıq:
skript kodu
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
NGINX Vahidi və NGINX Repozitoriyalarının əlavə edilməsi
Skript ən son təhlükəsizlik yamaları və səhv düzəlişləri olan versiyaların istifadə edildiyinə əmin olmaq üçün rəsmi NGINX repozitoriyalarından NGINX Unit və açıq mənbəli NGINX quraşdırır.
Skript NGINX Unit repozitoriyasını, sonra isə NGINX repozitoriyasını əlavə edərək, depo açarı və konfiqurasiya fayllarını əlavə edir. apt, İnternet vasitəsilə depolara girişi müəyyən edir.
NGINX Unit və NGINX-in faktiki quraşdırılması növbəti hissədə baş verir. Biz anbarları əvvəlcədən əlavə edirik ki, metaməlumatları dəfələrlə yeniləmək məcburiyyətində qalmayaq, bu da quraşdırmanı sürətləndirir.
skript kodu
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) və onların asılılıqlarının quraşdırılması
Bütün depolar əlavə edildikdən sonra metaməlumatları yeniləyin və tətbiqləri quraşdırın. Skript tərəfindən quraşdırılmış paketlərə WordPress.org-u işləyərkən tövsiyə olunan PHP genişləndirmələri də daxildir
skript kodu
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
NGINX Unit və WordPress ilə istifadə üçün PHP-nin qurulması
Skript kataloqda parametrlər faylı yaradır konf.d. Bu, PHP yükləmələri üçün maksimum fayl ölçüsünü təyin edir, PHP xətası çıxışını STDERR-ə çevirir ki, onlar NGINX Vahid jurnalına yazılsın və NGINX Vahidini yenidən işə salsın.
skript kodu
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
WordPress üçün MariaDB verilənlər bazası parametrlərinin müəyyən edilməsi
Biz MySQL əvəzinə MariaDB-ni seçdik, çünki onun daha çox icma fəaliyyəti var və çox güman ki default olaraq daha yaxşı performans təmin edir (yəqin ki, burada hər şey daha sadədir: MySQL-i quraşdırmaq üçün başqa bir depo əlavə etməlisiniz, təqribən. tərcüməçi).
Skript yeni verilənlər bazası yaradır və geri dönmə interfeysi vasitəsilə WordPress-ə daxil olmaq üçün etimadnamələr yaradır:
skript kodu
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
WordPress CLI proqramının quraşdırılması
Bu addımda skript proqramı quraşdırır WP-CLI. Bununla siz faylları əl ilə redaktə etmədən, verilənlər bazasını yeniləmədən və ya idarəetmə panelinə daxil olmadan WordPress parametrlərini quraşdıra və idarə edə bilərsiniz. O, həmçinin mövzuları və əlavələri quraşdırmaq və WordPress-i yeniləmək üçün istifadə edilə bilər.
skript kodu
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
WordPress-in quraşdırılması və konfiqurasiyası
Skript WordPress-in ən son versiyasını kataloqda quraşdırır /var/www/wordpressvə həmçinin parametrləri dəyişir:
Verilənlər bazası bağlantısı TCP trafikini azaltmaq üçün geri döngədə TCP əvəzinə unix domen yuvası üzərində işləyir.
WordPress prefiks əlavə edir https:// müştərilər HTTPS üzərindən NGINX-ə qoşularsa və həmçinin uzaq host adını (NGINX tərəfindən təmin edildiyi kimi) PHP-yə göndərirsə, URL-ə. Bunu qurmaq üçün kod parçasından istifadə edirik.
WordPress-ə daxil olmaq üçün HTTPS lazımdır
Standart URL strukturu resurslara əsaslanır
WordPress qovluğu üçün fayl sistemində düzgün icazələri təyin edir.
skript kodu
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
NGINX Vahidinin qurulması
Skript PHP-ni işə salmaq və WordPress yollarını emal etmək üçün NGINX Vahidini konfiqurasiya edir, PHP prosesinin ad məkanını təcrid edir və performans parametrlərini optimallaşdırır. Burada üç xüsusiyyətə diqqət yetirmək lazımdır:
Ad boşluqlarına dəstək skriptin konteynerdə işlədiyini yoxlamaq əsasında şərtlə müəyyən edilir. Bu zəruridir, çünki əksər konteyner quraşdırmaları konteynerlərin iç-içə işə salınmasını dəstəkləmir.
Ad boşluqları üçün dəstək varsa, ad sahəsini söndürün şəbəkə. Bu, WordPress-in hər iki son nöqtəyə qoşulmasına və eyni zamanda internetdə mövcud olmasına imkan verməkdir.
Proseslərin maksimum sayı aşağıdakı kimi müəyyən edilir: (MariaDB və NGINX Uniy işləmək üçün mövcud yaddaş)/(PHP + 5-də RAM limiti)
Bu dəyər NGINX Vahid parametrlərində təyin edilir.
Bu dəyər həm də hər zaman ən azı iki PHP prosesinin işlədiyini nəzərdə tutur, bu vacibdir, çünki WordPress özünə çoxlu asinxron sorğular edir və əlavə proseslər olmadan, məsələn, WP-Cron işləməsi pozulacaq. Siz yerli parametrlərinizə əsasən bu limitləri artırmaq və ya azaltmaq istəyə bilərsiniz, çünki burada yaradılmış parametrlər mühafizəkardır. Əksər istehsal sistemlərində parametrlər 10 ilə 100 arasındadır.
skript kodu
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
NGINX qurulur
Əsas NGINX Parametrlərinin konfiqurasiyası
Skript NGINX keşi üçün qovluq yaradır və sonra əsas konfiqurasiya faylını yaradır nginx.conf. İşləyici proseslərinin sayına və yükləmə üçün maksimum fayl ölçüsünün təyininə diqqət yetirin. Növbəti bölmədə müəyyən edilmiş sıxılma parametrləri faylını və ardınca keşləmə parametrlərini ehtiva edən bir xətt də var.
Müştərilərə göndərməzdən əvvəl məzmunu tez sıxışdırmaq saytın performansını yaxşılaşdırmaq üçün əla yoldur, ancaq sıxılma düzgün konfiqurasiya olunarsa. Skriptin bu bölməsi parametrlərə əsaslanır buradan.
skript kodu
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
WordPress üçün NGINX qurulması
Sonra, skript WordPress üçün konfiqurasiya faylı yaradır default.conf kataloqda konf.d. Burada konfiqurasiya edilmişdir:
Let's Encrypt-dən Certbot vasitəsilə alınan TLS sertifikatlarının aktivləşdirilməsi (onun qurulması növbəti bölmədə olacaq)
Let's Encrypt tövsiyələri əsasında TLS təhlükəsizlik parametrlərinin konfiqurasiyası
Defolt olaraq 1 saat keçmək sorğularının keşləşdirilməsini aktiv edin
İki ümumi tələb olunan fayl üçün giriş qeydini, həmçinin fayl tapılmadıqda xəta qeydini deaktiv edin: favicon.ico və robots.txt
Gizli fayllara və bəzi fayllara girişin qarşısını alın Phpqeyri-qanuni girişin və ya gözlənilməz başlanğıcın qarşısını almaq üçün
Statik və şrift faylları üçün giriş qeydini deaktiv edin
index.php və digər statiklər üçün marşrutun əlavə edilməsi.
skript kodu
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Let's Encrypt-dən sertifikatlar üçün Certbot-un qurulması və onların avtomatik yenilənməsi
Certbot Let's Encrypt-dən TLS sertifikatlarını əldə etməyə və avtomatik yeniləməyə imkan verən Elektron Sərhəd Fondundan (EFF) pulsuz bir vasitədir. Skript Certbot-u NGINX-də Let's Encrypt-dən sertifikatları emal etmək üçün konfiqurasiya etmək üçün aşağıdakıları edir:
NGINX-i dayandırır
Tövsiyə olunan TLS parametrlərini endirir
Sayt üçün sertifikatlar əldə etmək üçün Certbot-u işə salır
Sertifikatlardan istifadə etmək üçün NGINX-i yenidən işə salır
Sertifikatların yenilənməsinin lazım olub-olmadığını yoxlamaq üçün Certbot-u hər gün saat 3:24-də işləmək üçün konfiqurasiya edir və lazım gələrsə, yeni sertifikatları endirin və NGINX-i yenidən başladın.
skript kodu
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Saytınızın əlavə fərdiləşdirilməsi
Skriptimizin NGINX və NGINX Vahidini TLSSSL aktivləşdirilərək istehsala hazır sayta xidmət etmək üçün necə konfiqurasiya etdiyi barədə yuxarıda danışdıq. Siz həmçinin ehtiyaclarınızdan asılı olaraq gələcəkdə əlavə edə bilərsiniz:
dəstək Brotli, HTTPS üzərindən təkmilləşdirilmiş sıxılma
WordPress poçt göndərə bilməsi üçün Postfix və ya msmtp
Saytınızı yoxlayın ki, onun nə qədər trafik idarə edə biləcəyini başa düşəsiniz
Saytın daha yaxşı performansı üçün yeniləməni tövsiyə edirik NGINX Plus, açıq mənbəli NGINX-ə əsaslanan kommersiya, müəssisə səviyyəli məhsulumuz. Onun abunəçiləri dinamik yüklənmiş Brotli modulunu, həmçinin (əlavə ödənişlə) alacaqlar. NGINX ModSecurity WAF. Biz də təklif edirik NGINX Tətbiq Qoruma, F5-dən sənayedə aparıcı təhlükəsizlik texnologiyasına əsaslanan NGINX Plus üçün WAF modulu.
NB Yüksək yüklənmiş sayta dəstək üçün mütəxəssislərlə əlaqə saxlaya bilərsiniz Southbridge. Veb saytınızın və ya xidmətinizin istənilən yük altında sürətli və etibarlı işləməsini təmin edəcəyik.