Hi ha molts tutorials sobre com instal·lar WordPress, una cerca a Google de "instal·lació de WordPress" donarà aproximadament mig milió de resultats. Tanmateix, de fet, hi ha molt poques guies bones entre elles, segons les quals podeu instal·lar i configurar WordPress i el sistema operatiu subjacent perquè siguin capaços de suportar-los durant un llarg període de temps. Potser la configuració correcta depèn molt de necessitats específiques, o això es deu al fet que una explicació detallada fa que l'article sigui difícil de llegir.
En aquest article, intentarem combinar el millor d'ambdós mons proporcionant un script bash per instal·lar automàticament WordPress a Ubuntu, així com recórrer-lo, explicant què fa cada peça, així com els compromisos que hem fet en desenvolupar-lo. . Si sou un usuari avançat, podeu saltar el text de l'article i només per modificar-los i utilitzar-los als vostres entorns. La sortida de l'script és una instal·lació personalitzada de WordPress amb suport de Lets Encrypt, que s'executa a la unitat NGINX i és adequada per a l'ús de producció.
L'arquitectura desenvolupada per desplegar WordPress mitjançant la unitat NGINX es descriu a , ara també configurarem més coses que no s'hi van tractar (com en molts altres tutorials):
- CLI de WordPress
- Anem a xifrar i certificats TLSSSL
- Renovació automàtica de certificats
- Emmagatzematge a la memòria cau NGINX
- Compressió NGINX
- Compatibilitat amb HTTPS i HTTP/2
- Automatització de processos
L'article descriurà la instal·lació en un servidor, que allotjarà simultàniament un servidor de processament estàtic, un servidor de processament PHP i una base de dades. Una instal·lació que admeti múltiples amfitrions i serveis virtuals és un tema potencial per al futur. Si vols que escrivim sobre alguna cosa que no està en aquests articles, escriu-hi als comentaris.
Requisits
- Servidor de contenidors ( o ), una màquina virtual o un servidor de ferro normal amb almenys 512 MB de RAM i Ubuntu 18.04 o posterior instal·lat.
- Ports accessibles per Internet 80 i 443
- Nom de domini associat a l'adreça IP pública d'aquest servidor
- Accés arrel (sudo).
Visió general de l'arquitectura
L'arquitectura és la mateixa que es descriu , una aplicació web de tres nivells. Consisteix en scripts PHP que s'executen al motor PHP i fitxers estàtics que són processats pel servidor web.
Principis generals
- Moltes ordres de configuració d'un script s'emboliquen en condicions d'idempotència: l'script es pot executar diverses vegades sense el risc de canviar la configuració que ja està al seu lloc.
- L'script prova d'instal·lar programari des dels dipòsits, de manera que podeu aplicar actualitzacions del sistema en una ordre (
apt upgradeper a Ubuntu). - Les ordres intenten detectar que s'estan executant en un contenidor perquè puguin canviar la seva configuració en conseqüència.
- Per establir el nombre de processos de fil que s'iniciaran a la configuració, l'script intenta endevinar la configuració automàtica per treballar en contenidors, màquines virtuals i servidors de maquinari.
- A l'hora de descriure la configuració, sempre pensem primer de tot en l'automatització, que, esperem, esdevingui la base per crear la vostra pròpia infraestructura com a codi.
- Totes les ordres s'executen com a usuari root, perquè canvien la configuració bàsica del sistema, però directament WordPress s'executa com a usuari habitual.
Establiment de variables d'entorn
Configureu les variables d'entorn següents abans d'executar l'script:
WORDPRESS_DB_PASSWORD- Contrasenya de la base de dades de WordPressWORDPRESS_ADMIN_USER- Nom de l'administrador de WordPressWORDPRESS_ADMIN_PASSWORD- Contrasenya d'administrador de WordPressWORDPRESS_ADMIN_EMAIL- Correu electrònic d'administració de WordPressWORDPRESS_URLés l'URL complet del lloc de WordPress, a partir dehttps://.LETS_ENCRYPT_STAGING- buit de manera predeterminada, però establint el valor a 1, utilitzareu els servidors de prova de Let's Encrypt, que són necessaris per sol·licitar certificats amb freqüència quan proveu la vostra configuració, en cas contrari, Let's Encrypt pot bloquejar temporalment la vostra adreça IP a causa d'un gran nombre de sol·licituds. .
L'script comprova que aquestes variables relacionades amb WordPress estiguin configurades i, si no, surt.
Les línies d'script 572-576 comproven el valor LETS_ENCRYPT_STAGING.
Configuració de variables d'entorn derivades
L'script de les línies 55-61 estableix les variables d'entorn següents, ja sigui amb algun valor codificat o utilitzant un valor obtingut de les variables establertes a la secció anterior:
DEBIAN_FRONTEND="noninteractive"- Indica a les aplicacions que s'estan executant en un script i que no hi ha possibilitat d'interacció amb l'usuari.WORDPRESS_CLI_VERSION="2.4.0"és la versió de l'aplicació CLI de WordPress.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"— suma de comprovació del fitxer executable de WordPress CLI 2.4.0 (la versió s'especifica a la variableWORDPRESS_CLI_VERSION). L'script de la línia 162 utilitza aquest valor per comprovar que s'ha baixat el fitxer CLI correcte de WordPress.UPLOAD_MAX_FILESIZE="16M"- la mida màxima del fitxer que es pot carregar a WordPress. Aquesta configuració s'utilitza en diversos llocs, de manera que és més fàcil configurar-la en un sol lloc.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"- nom d'amfitrió del sistema, recuperat de la variable WORDPRESS_URL. S'utilitza per obtenir els certificats TLS/SSL adequats de Let's Encrypt, així com la verificació interna de WordPress.NGINX_CONF_DIR="/etc/nginx"- camí al directori amb la configuració de NGINX, inclòs el fitxer principalnginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"— el camí als certificats Let's Encrypt per al lloc de WordPress, obtingut a partir de la variableTLS_HOSTNAME.
Assignació d'un nom d'amfitrió a un servidor de WordPress
L'script estableix el nom d'amfitrió del servidor perquè coincideixi amb el nom de domini del lloc. Això no és necessari, però és més convenient enviar correu de sortida mitjançant SMTP quan es configura un únic servidor, tal com ho configura l'script.
codi d'script
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiAfegint el nom d'amfitrió a /etc/hosts
Suplement utilitzat per executar tasques periòdiques, requereix que WordPress pugui accedir a si mateix mitjançant HTTP. Per assegurar-vos que WP-Cron funciona correctament en tots els entorns, l'script afegeix una línia al fitxer / Etc / hostsde manera que WordPress pugui accedir a si mateix mitjançant la interfície de loopback:
codi d'script
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiInstal·lació de les eines necessàries per als passos següents
La resta de l'script necessita alguns programes i suposa que els dipòsits estan actualitzats. Actualitzem la llista de repositoris, després instal·lem les eines necessàries:
codi d'script
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseAfegint unitats NGINX i repositoris NGINX
L'script instal·la la unitat NGINX i NGINX de codi obert des dels dipòsits oficials de NGINX per assegurar-se que s'utilitzen les versions amb els darrers pedaços de seguretat i correccions d'errors.
L'script afegeix el dipòsit de la unitat NGINX i després el dipòsit NGINX, afegint la clau dels dipòsits i els fitxers de configuració apt, definint l'accés als repositoris a través d'Internet.
La instal·lació real de NGINX Unit i NGINX es fa a la secció següent. Afegim prèviament els dipòsits perquè no hàgim d'actualitzar les metadades diverses vegades, cosa que fa que la instal·lació sigui més ràpida.
codi d'script
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiInstal·lació de NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) i les seves dependències
Un cop afegits tots els repositoris, actualitzeu les metadades i instal·leu les aplicacions. Els paquets instal·lats per l'script també inclouen les extensions PHP recomanades quan s'executa WordPress.org
codi d'script
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverConfiguració de PHP per utilitzar-lo amb NGINX Unit i WordPress
L'script crea un fitxer de configuració al directori conf.d. Això estableix la mida màxima per a les càrregues de PHP, activa la sortida d'error PHP a STDERR, de manera que s'escriuran al registre de la unitat NGINX i reinicia la unitat NGINX.
codi d'script
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartEspecificació de la configuració de la base de dades MariaDB per a WordPress
Hem escollit MariaDB sobre MySQL, ja que té més activitat de la comunitat i és probable que també ho faci (probablement, aquí tot és més senzill: per instal·lar MySQL, cal afegir un altre repositori, aprox. traductor).
L'script crea una base de dades nova i crea credencials per accedir a WordPress mitjançant la interfície de bucle invers:
codi d'script
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"Instal·lació del programa CLI de WordPress
En aquest pas, l'script instal·la el programa . Amb ell, podeu instal·lar i gestionar la configuració de WordPress sense haver d'editar fitxers manualment, actualitzar la base de dades o entrar al tauler de control. També es pot utilitzar per instal·lar temes i complements i actualitzar WordPress.
codi d'script
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiInstal·lació i configuració de WordPress
L'script instal·la la darrera versió de WordPress en un directori /var/www/wordpressi també canvia la configuració:
- La connexió de la base de dades funciona a través d'un sòcol de domini Unix en lloc de TCP en loopback per reduir el trànsit TCP.
- WordPress afegeix un prefix https:// a l'URL si els clients es connecten a NGINX mitjançant HTTPS, i també envia el nom d'amfitrió remot (tal com el proporciona NGINX) a PHP. Utilitzem un fragment de codi per configurar-ho.
- WordPress necessita HTTPS per iniciar sessió
- L'estructura d'URL predeterminada es basa en els recursos
- Estableix els permisos correctes al sistema de fitxers per al directori de WordPress.
codi d'script
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiConfiguració de la unitat NGINX
L'script configura la unitat NGINX per executar PHP i processar els camins de WordPress, aïllant l'espai de noms del procés PHP i optimitzant la configuració de rendiment. Hi ha tres característiques que cal tenir en compte aquí:
- El suport per als espais de noms es determina per condició, basant-se en comprovar que l'script s'està executant en un contenidor. Això és necessari perquè la majoria de configuracions de contenidors no admeten l'execució imbricada de contenidors.
- Si hi ha suport per als espais de noms, desactiveu l'espai de noms xarxa. Això permet que WordPress es connecti als dos punts finals i estigui disponible al web al mateix temps.
- El nombre màxim de processos es defineix de la següent manera: (Memòria disponible per executar MariaDB i NGINX Uniy)/(Límit de RAM en PHP + 5)
Aquest valor s'estableix a la configuració de la unitat NGINX.
Aquest valor també implica que sempre hi ha almenys dos processos PHP en execució, la qual cosa és important perquè WordPress fa moltes sol·licituds asíncrones a si mateix i, sense processos addicionals, l'execució, per exemple, WP-Cron es trencarà. És possible que vulgueu augmentar o disminuir aquests límits en funció de la vostra configuració local, perquè la configuració creada aquí és conservadora. A la majoria de sistemes de producció, els paràmetres estan entre 10 i 100.
codi d'script
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configConfiguració de NGINX
Configuració de la configuració bàsica de NGINX
L'script crea un directori per a la memòria cau NGINX i després crea el fitxer de configuració principal nginx.conf. Fixeu-vos en el nombre de processos de gestió i en la configuració de la mida màxima del fitxer per carregar. També hi ha una línia que inclou el fitxer de configuració de compressió definit a la secció següent, seguit de la configuració de la memòria cau.
codi d'script
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMConfiguració de la compressió NGINX
Comprimir contingut sobre la marxa abans d'enviar-lo als clients és una bona manera de millorar el rendiment del lloc, però només si la compressió està configurada correctament. Aquesta secció de l'script es basa en la configuració .
codi d'script
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMConfiguració de NGINX per a WordPress
A continuació, l'script crea un fitxer de configuració per a WordPress default.conf al catàleg conf.d. Es configura aquí:
- Activació dels certificats TLS rebuts de Let's Encrypt mitjançant Certbot (la configuració es farà a la secció següent)
- Configuració de la configuració de seguretat TLS en funció de les recomanacions de Let's Encrypt
- Activa de manera predeterminada les sol·licituds d'omissió de la memòria cau durant 1 hora
- Desactiveu el registre d'accés, així com el registre d'errors si no es troba el fitxer, per a dos fitxers sol·licitats habitualment: favicon.ico i robots.txt
- Impedeix l'accés a fitxers ocults i alguns fitxers .phpper evitar l'accés il·legal o l'inici no desitjat
- Desactiveu el registre d'accés per a fitxers estàtics i de tipus de lletra
- Configuració de la capçalera per als fitxers de tipus de lletra
- Afegint l'encaminament per a index.php i altres estàtiques.
codi d'script
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMConfiguració de Certbot per a certificats de Let's Encrypt i renovació automàtica
és una eina gratuïta de la Electronic Frontier Foundation (EFF) que us permet obtenir i renovar automàticament els certificats TLS de Let's Encrypt. L'script fa el següent per configurar Certbot per processar certificats de Let's Encrypt a NGINX:
- Atura NGINX
- Baixa la configuració TLS recomanada
- Executa Certbot per obtenir certificats per al lloc
- Reinicia NGINX per utilitzar certificats
- Configura Certbot perquè s'executi cada dia a les 3:24 del matí per comprovar si cal renovar els certificats i, si cal, baixar certificats nous i reiniciar NGINX.
codi d'script
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiPersonalització addicional del vostre lloc
Hem parlat més amunt de com el nostre script configura NGINX i NGINX Unit per servir un lloc preparat per a la producció amb TLSSSL habilitat. També podeu, segons les vostres necessitats, afegir en el futur:
- suport , millora la compressió sobre la marxa sobre HTTPS
- с per evitar atacs automatitzats al vostre lloc
- per a WordPress que us convingui
- via (a Ubuntu)
- Postfix o msmtp perquè WordPress pugui enviar correu
- Comproveu el vostre lloc per entendre la quantitat de trànsit que pot gestionar
Per obtenir un rendiment encara millor del lloc, us recomanem que actualitzeu a , el nostre producte comercial de grau empresarial basat en NGINX de codi obert. Els seus subscriptors rebran un mòdul Brotli carregat dinàmicament, així com (per una tarifa addicional) . També oferim , un mòdul WAF per a NGINX Plus basat en la tecnologia de seguretat líder del sector de F5.
NB Per obtenir suport d'un lloc molt carregat, podeu contactar amb els especialistes . Garantirem un funcionament ràpid i fiable del vostre lloc web o servei sota qualsevol càrrega.
Font: www.habr.com