Автоматизиране на инсталирането на WordPress с NGINX Unit и Ubuntu

Има много уроци за това как да инсталирате WordPress, търсене в Google на „WordPress install“ ще покаже около половин милион резултати. Всъщност обаче сред тях има много малко добри ръководства, според които можете да инсталирате и конфигурирате WordPress и основната операционна система, така че да могат да се поддържат за дълъг период от време. Може би правилните настройки са силно зависими от специфични нужди или това се дължи на факта, че подробното обяснение прави статията трудна за четене.

В тази статия ще се опитаме да комбинираме най-доброто от двата свята, като предоставим bash скрипт за автоматично инсталиране на WordPress в Ubuntu, както и ще преминем през него, обяснявайки какво прави всяко парче, както и компромисите, които направихме при разработването му . Ако сте напреднал потребител, можете да пропуснете текста на статията и просто вземете сценария за модификация и използване във вашата среда. Резултатът от скрипта е персонализирана инсталация на WordPress с поддръжка на Lets Encrypt, работеща на NGINX Unit и подходяща за производствена употреба.

Разработената архитектура за внедряване на WordPress с помощта на модула NGINX е описана в по-стара статия, сега също ще конфигурираме допълнително неща, които не са разгледани там (както в много други уроци):

• WordPress CLI
• Let's Encrypt и TLSSSL сертификати
• Автоматично подновяване на сертификати
• NGINX кеширане
• NGINX компресия
• Поддръжка на HTTPS и HTTP/2
• Автоматизация на процесите

Статията ще опише инсталирането на един сървър, който едновременно ще хоства сървър за статична обработка, сървър за обработка на PHP и база данни. Инсталация, която поддържа множество виртуални хостове и услуги, е потенциална тема за бъдещето. Ако искате да пишем за нещо, което не е в тези статии, пишете в коментарите.

Изисквания

• Сървър за контейнери (LXC или LXD), виртуална машина или обикновен железен сървър с поне 512 MB RAM и инсталиран Ubuntu 18.04 или по-нова версия.
• Интернет достъпни портове 80 и 443
• Име на домейн, свързано с публичния IP адрес на този сървър
• Достъп до root (sudo).

Преглед на архитектурата

Архитектурата е същата като описаната по-рано, тристепенно уеб приложение. Състои се от PHP скриптове, които се изпълняват на PHP двигателя и статични файлове, които се обработват от уеб сървъра.

Общи принципи

• Много команди за конфигуриране в скрипт са обвити в условия на if за идемпотентност: скриптът може да се изпълнява многократно без риск от промяна на настройките, които вече са налице.
• Скриптът се опитва да инсталира софтуер от хранилища, така че можете да приложите системни актуализации с една команда (apt upgrade за Ubuntu).
• Командите се опитват да открият, че се изпълняват в контейнер, за да могат съответно да променят настройките си.
• За да зададе броя процеси на нишки, които да стартират в настройките, скриптът се опитва да отгатне автоматичните настройки за работа в контейнери, виртуални машини и хардуерни сървъри.
• Когато описваме настройките, винаги мислим преди всичко за автоматизацията, която, надяваме се, ще стане основа за създаване на ваша собствена инфраструктура като код.
• Всички команди се изпълняват като потребител корен, защото променят основните системни настройки, но директно WordPress работи като обикновен потребител.

Задаване на променливи на средата

Задайте следните променливи на средата, преди да стартирате скрипта:

• WORDPRESS_DB_PASSWORD - Парола за база данни на WordPress
• WORDPRESS_ADMIN_USER - Име на администратор на WordPress
• WORDPRESS_ADMIN_PASSWORD - Административна парола на WordPress
• WORDPRESS_ADMIN_EMAIL - Администраторски имейл на WordPress
• WORDPRESS_URL е пълният URL адрес на сайта WordPress, започващ от https://.
• LETS_ENCRYPT_STAGING - празен по подразбиране, но като зададете стойността на 1, вие ще използвате етапните сървъри на Let's Encrypt, които са необходими за често изискване на сертификати при тестване на вашите настройки, в противен случай Let's Encrypt може временно да блокира вашия ip адрес поради голям брой заявки .

Скриптът проверява дали тези свързани с WordPress променливи са зададени и излиза, ако не са.
Скрипт редове 572-576 проверяват стойността LETS_ENCRYPT_STAGING.

Задаване на производни променливи на средата

Скриптът на редове 55-61 задава следните променливи на средата, или на някаква твърдо кодирана стойност, или използвайки стойност, получена от променливите, зададени в предишния раздел:

• DEBIAN_FRONTEND="noninteractive" - Казва на приложенията, че работят в скрипт и че няма възможност за взаимодействие с потребителя.
• WORDPRESS_CLI_VERSION="2.4.0" е версията на приложението WordPress CLI.
• WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — контролна сума на изпълнимия файл на WordPress CLI 2.4.0 (версията е посочена в променливата WORDPRESS_CLI_VERSION). Скриптът на ред 162 използва тази стойност, за да провери дали е изтеглен правилният WordPress CLI файл.
• UPLOAD_MAX_FILESIZE="16M" - максималният размер на файла, който може да бъде качен в WordPress. Тази настройка се използва на няколко места, така че е по-лесно да я зададете на едно място.
• TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - име на хост на системата, извлечено от променливата WORDPRESS_URL. Използва се за получаване на подходящи TLS/SSL сертификати от Let's Encrypt, както и за вътрешна проверка на WordPress.
• NGINX_CONF_DIR="/etc/nginx" - път до директорията с настройките на NGINX, включително основния файл nginx.conf.
• CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — пътят до Let's Encrypt сертификатите за WordPress сайта, получен от променливата TLS_HOSTNAME.

Присвояване на име на хост към WordPress сървър

Скриптът настройва името на хоста на сървъра да съответства на името на домейна на сайта. Това не е задължително, но е по-удобно да изпращате изходяща поща през SMTP, когато настройвате един сървър, както е конфигурирано от скрипта.

код на скрипта

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

Добавяне на име на хост към /etc/hosts

Допълнение WP-Cron използван за изпълнение на периодични задачи, изисква WordPress да има достъп до себе си чрез HTTP. За да се уверите, че WP-Cron работи правилно във всички среди, скриптът добавя ред към файла / Etc / hostsтака че WordPress да има достъп до себе си чрез интерфейса за обратна връзка:

код на скрипта

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

Инсталиране на инструментите, необходими за следващите стъпки

Останалата част от скрипта се нуждае от някои програми и предполага, че хранилищата са актуални. Актуализираме списъка с хранилища, след което инсталираме необходимите инструменти:

код на скрипта

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

Добавяне на NGINX модул и NGINX хранилища

Скриптът инсталира NGINX Unit и NGINX с отворен код от официалните хранилища на NGINX, за да се увери, че се използват версиите с най-новите кръпки за сигурност и корекции на грешки.

Скриптът добавя хранилището на NGINX Unit и след това хранилището на NGINX, като добавя ключа на хранилищата и конфигурационните файлове apt, дефиниране на достъп до хранилища през Интернет.

Действителното инсталиране на NGINX Unit и NGINX се случва в следващия раздел. Предварително добавяме хранилищата, така че не се налага да актуализираме метаданните многократно, което прави инсталирането по-бързо.

код на скрипта

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

Инсталиране на NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) и техните зависимости

След като всички хранилища бъдат добавени, актуализирайте метаданните и инсталирайте приложенията. Пакетите, инсталирани от скрипта, също включват PHP разширенията, препоръчани при стартиране на WordPress.org

код на скрипта

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

Настройване на PHP за използване с NGINX Unit и WordPress

Скриптът създава файл с настройки в директорията conf.d. Това задава максималния размер за PHP качвания, включва изхода за грешка на PHP към STDERR, така че те да бъдат записани в регистрационния файл на NGINX Unit, и рестартира NGINX Unit.

код на скрипта

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

Указване на настройките на базата данни MariaDB за WordPress

Избрахме MariaDB пред MySQL, тъй като има повече активност на общността и също е вероятно да има осигурява по-добра производителност по подразбиране (вероятно тук всичко е по-просто: за да инсталирате MySQL, трябва да добавите друго хранилище, прибл. преводач).

Скриптът създава нова база данни и създава идентификационни данни за достъп до WordPress чрез интерфейса за обратна връзка:

код на скрипта

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

Инсталиране на програмата WordPress CLI

На тази стъпка скриптът инсталира програмата WP-CLI. С него можете да инсталирате и управлявате настройките на WordPress, без да се налага ръчно да редактирате файлове, да актуализирате базата данни или да влизате в контролния панел. Може също да се използва за инсталиране на теми и добавки и актуализиране на WordPress.

код на скрипта

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

Инсталиране и конфигуриране на WordPress

Скриптът инсталира най-новата версия на WordPress в директория /var/www/wordpressи също така променя настройките:

• Връзката с базата данни работи през unix домейн сокет вместо TCP при обратна връзка, за да намали TCP трафика.
• WordPress добавя префикс https:// към URL адреса, ако клиентите се свързват с NGINX през HTTPS, и също изпраща името на отдалечения хост (както е предоставено от NGINX) към PHP. Използваме част от кода, за да настроим това.
• WordPress се нуждае от HTTPS за влизане
• URL структурата по подразбиране се основава на ресурси
• Задава правилните разрешения за файловата система за директорията на WordPress.

код на скрипта

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

Настройване на модул NGINX

Скриптът конфигурира модула NGINX да изпълнява PHP и да обработва WordPress пътища, като изолира пространството от имена на процеса на PHP и оптимизира настройките за производителност. Тук има три функции, на които трябва да обърнете внимание:

• Поддръжката за пространства от имена се определя от условие, базирано на проверка дали скриптът се изпълнява в контейнер. Това е необходимо, тъй като повечето настройки на контейнери не поддържат вложено стартиране на контейнери.
• Ако има поддръжка за пространства от имена, деактивирайте пространството от имена мрежа. Това позволява на WordPress да се свързва с двете крайни точки и да бъде достъпен в мрежата едновременно.
• Максималният брой процеси се определя, както следва: (Налична памет за изпълнение на MariaDB и NGINX Uniy)/(Ограничение на RAM в PHP + 5)
  Тази стойност е зададена в настройките на NGINX Unit.

Тази стойност също така предполага, че винаги има поне два изпълнявани PHP процеса, което е важно, защото WordPress прави много асинхронни заявки към себе си и без допълнителни процеси, стартирането, например на WP-Cron, ще се повреди. Може да искате да увеличите или намалите тези ограничения въз основа на вашите локални настройки, тъй като създадените тук настройки са консервативни. При повечето производствени системи настройките са между 10 и 100.

код на скрипта

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

Настройване на NGINX

Конфигуриране на основни настройки на NGINX

Скриптът създава директория за кеша на NGINX и след това създава основния конфигурационен файл nginx.conf. Обърнете внимание на броя процеси на обработка и настройката на максималния размер на файла за качване. Има също ред, който включва файла с настройки за компресиране, дефиниран в следващия раздел, последван от настройките за кеширане.

код на скрипта

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

Настройване на NGINX компресия

Компресирането на съдържание в движение, преди да го изпратите на клиенти, е чудесен начин за подобряване на ефективността на сайта, но само ако компресията е конфигурирана правилно. Този раздел от скрипта се основава на настройките следователно.

код на скрипта

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

Настройване на NGINX за WordPress

След това скриптът създава конфигурационен файл за WordPress default.conf в каталога conf.d. Той е конфигуриран тук:

• Активиране на TLS сертификати, получени от Let's Encrypt чрез Certbot (настройването му ще бъде в следващия раздел)
• Конфигуриране на настройки за сигурност на TLS въз основа на препоръки от Let's Encrypt
• Активиране на кеширане на заявки за пропускане за 1 час по подразбиране
• Деактивирайте регистрирането на достъпа, както и регистрирането на грешки, ако файлът не е намерен, за два често искани файла: favicon.ico и robots.txt
• Предотвратете достъпа до скрити файлове и някои файлове . Phpза предотвратяване на незаконен достъп или неволно стартиране
• Деактивирайте регистрирането на достъп за статични файлове и файлове с шрифтове
• Настройка на заглавката Access-Control-Allow-Origin за файлове с шрифтове
• Добавяне на маршрутизиране за index.php и други статики.

код на скрипта

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

Настройване на Certbot за сертификати от Let's Encrypt и автоматичното им подновяване

Certbot е безплатен инструмент от Electronic Frontier Foundation (EFF), който ви позволява да получавате и автоматично да подновявате TLS сертификати от Let's Encrypt. Скриптът прави следното, за да конфигурира Certbot да обработва сертификати от Let's Encrypt в NGINX:

• Спира NGINX
• Изтегля препоръчителните TLS настройки
• Изпълнява Certbot, за да получи сертификати за сайта
• Рестартира NGINX за използване на сертификати
• Конфигурира Certbot да се изпълнява всеки ден в 3:24 сутринта, за да провери дали сертификатите трябва да бъдат подновени, и ако е необходимо, да изтегли нови сертификати и да рестартира NGINX.

код на скрипта

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

Допълнителна персонализация на вашия сайт

Говорихме по-горе за това как нашият скрипт конфигурира NGINX и NGINX Unit да обслужват готов за производство сайт с активиран TLSSSL. Можете също така, в зависимост от вашите нужди, да добавите в бъдеще:

• Подкрепа Brotli, подобрена компресия в движение през HTTPS
• ModSecurity с правила за wordpressза предотвратяване на автоматизирани атаки на вашия сайт
• резервно копие за WordPress, който ви подхожда
• Защита през AppArmor (на Ubuntu)
• Postfix или msmtp, за да може WordPress да изпраща поща
• Проверка на вашия сайт, за да разберете колко трафик може да поеме

За още по-добра производителност на сайта препоръчваме да надстроите до NGINX Plus, нашият търговски продукт от корпоративен клас, базиран на NGINX с отворен код. Неговите абонати ще получат динамично зареден модул Brotli, както и (срещу допълнително заплащане) NGINX ModSecurity WAF. Ние също предлагаме NGINX App Protect, WAF модул за NGINX Plus, базиран на водеща в индустрията технология за сигурност от F5.

NB За поддръжка на силно натоварен сайт можете да се свържете със специалистите Southbridge. Ние ще осигурим бърза и надеждна работа на вашия сайт или услуга при всякакви натоварвания.

Източник: www.habr.com