Ci hè parechje tutoriale nantu à cumu installà WordPress, una ricerca di Google per "WordPress install" hà da esse circa mezzo milione di risultati. In ogni casu, in fattu, ci sò assai pochi boni guida trà elli, secondu chì pudete installà è cunfigurà WordPress è u sistema operatore sottumessu in modu chì sò capaci di supportu per un longu periodu di tempu. Forsi i paràmetri curretti sò assai dipindenti di bisogni specifichi, o questu hè duvuta à u fattu chì una spiegazione dettagliata rende l'articulu difficiuli di leghje.
In questu articulu, pruveremu à cumminà u megliu di i dui mondi, furnisce un script bash per installà automaticamente WordPress in Ubuntu, è ancu di passà per ellu, spieghendu ciò chì ogni pezzu face, è ancu i cumprumessi chì avemu fattu in u sviluppu. . Sè vo site un utilizatore avanzatu, pudete saltà u testu di l'articulu è ghjustu per mudificà è aduprà in i vostri ambienti. L'output di u script hè una installazione di WordPress persunalizata cù supportu Lets Encrypt, in esecuzione in NGINX Unit è adattatu per l'usu di produzzione.
L'architettura sviluppata per implementà WordPress cù l'Unità NGINX hè descritta in , avà avemu ancu cunfigurà ancu e cose chì ùn eranu micca cuparti quì (cum'è in parechji altri tutoriali):
- CLI di WordPress
- Criptemu è i Certificati TLSSSL
- Rinuvamentu automaticu di certificati
- NGINX cache
- Cumpressione NGINX
- Supportu HTTPS è HTTP/2
- L'automatizazione di u prucessu
L'articulu descriverà a stallazione nantu à un servitore, chì ospitu simultaneamente un servitore di trattamentu staticu, un servitore di trasfurmazioni PHP è una basa di dati. Una stallazione chì sustene parechje host virtuale è servizii hè un tema potenziale per u futuru. Se vulete chì scrivitemu qualcosa chì ùn hè micca in questi articuli, scrivite in i cumenti.
esigenze
- servitore di container ( o ), una macchina virtuale, o un servitore di ferru regulare cù almenu 512MB di RAM è Ubuntu 18.04 o più recente installatu.
- Porti accessibili in Internet 80 è 443
- Nome di duminiu assuciatu cù l'indirizzu ip publicu di stu servitore
- Accessu root (sudo).
Panoramica di l'architettura
L'architettura hè u listessu cum'è descrittu , una applicazione web à trè livelli. Hè custituitu di script PHP chì funzionanu nantu à u mutore PHP è schedarii statici chì sò trattati da u servitore web.
Principii generichi
- Molti cumandamenti di cunfigurazione in un script sò impannillati in i cundizioni per l'idempotenza: u script pò esse eseguitu parechje volte senza u risicu di cambià i paràmetri chì sò digià in u locu.
- U script prova à stallà u software da i repositori, cusì pudete applicà l'aghjurnamenti di u sistema in un cumandamentu (
apt upgradeper Ubuntu). - I cumandamenti cercanu di detectà chì sò in esecuzione in un containeru per pudè cambià i so paràmetri in cunseguenza.
- Per stabilisce u numeru di prucessi di filu per inizià in i paràmetri, u script prova di indovinà i paràmetri automatici per travaglià in cuntenituri, macchine virtuali è servitori di hardware.
- Quandu si descrizanu i paràmetri, pensemu sempre prima di tuttu à l'automatizazione, chì, speremu, diventerà a basa per creà a vostra propria infrastruttura cum'è codice.
- Tutti i cumandamenti sò eseguiti cum'è utilizatore ràdica, perchè cambianu i paràmetri di u sistema di basa, ma direttamente WordPress corre cum'è un usu regulare.
Stabbilimentu di variabili di l'ambiente
Impostate e seguenti variabili d'ambiente prima di eseguisce u script:
WORDPRESS_DB_PASSWORD- Password di basa di dati WordPressWORDPRESS_ADMIN_USER- Nome amministratore di WordPressWORDPRESS_ADMIN_PASSWORD- Password amministratore di WordPressWORDPRESS_ADMIN_EMAIL- Email amministratore di WordPressWORDPRESS_URLhè l'URL sanu di u situ di WordPress, cuminciendu dahttps://.LETS_ENCRYPT_STAGING- viotu per difettu, ma mettendu u valore à 1, aduprà i servitori di staging Let's Encrypt, chì sò necessarii per dumandà spessu certificati durante a prova di i vostri paràmetri, altrimenti Let's Encrypt pò bluccà temporaneamente u vostru indirizzu IP per un gran numaru di richieste. .
U script verifica chì sti variàbili di WordPress sò stabiliti è esce si no.
Linee di script 572-576 verificate u valore LETS_ENCRYPT_STAGING.
Stabbilimentu di variabili d'ambiente derivati
U script nantu à e linee 55-61 stabilisce e seguenti variabili di l'ambienti, sia à qualchì valore codificatu, sia utilizendu un valore ottenutu da e variàbili stabilite in a sezione precedente:
DEBIAN_FRONTEND="noninteractive"- Dice à l'applicazioni chì sò in esecuzione in un script è chì ùn ci hè micca pussibilità di interazzione cù l'utilizatori.WORDPRESS_CLI_VERSION="2.4.0"hè a versione di l'applicazione WordPress CLI.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"- checksum di u schedariu eseguibile WordPress CLI 2.4.0 (a versione hè specificata in a variàbileWORDPRESS_CLI_VERSION). U script in linea 162 usa stu valore per verificà chì u schedariu CLI currettu di WordPress hè statu scaricatu.UPLOAD_MAX_FILESIZE="16M"- a dimensione massima di u schedariu chì pò esse caricata in WordPress. Stu paràmetru hè utilizatu in parechji lochi, cusì hè più faciule per mette in un locu.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"- hostname di u sistema, recuperatu da a variabile WORDPRESS_URL. Adupratu per ottene certificati TLS / SSL adattati da Let's Encrypt, è ancu a verificazione interna di WordPress.NGINX_CONF_DIR="/etc/nginx"- percorsu à u cartulare cù paràmetri NGINX, cumpresu u schedariu principalenginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"- u percorsu à i certificati Let's Encrypt per u situ di WordPress, ottenutu da a variabileTLS_HOSTNAME.
Assignà un hostname à un servitore WordPress
U script stabilisce u nome d'ospite di u servitore per currisponde à u nome di duminiu di u situ. Questu ùn hè micca necessariu, ma hè più cunvene per mandà u mail in uscita via SMTP quandu stabilisce un servitore unicu, cum'è cunfiguratu da u script.
codice di scrittura
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiAghjunghje un nome di host à /etc/hosts
Supplemento utilizatu per eseguisce attività periodiche, richiede WordPress per pudè accede à sè stessu via HTTP. Per assicurà chì WP-Cron funziona bè in tutti l'ambienti, u script aghjunghje una linea à u schedariu / etc / hostscusì chì WordPress pò accede à ellu stessu via l'interfaccia di loopback:
codice di scrittura
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiStallà l'arnesi necessarii per i prossimi passi
U restu di u script hà bisognu di qualchi prugrammi è assume chì i repositori sò aghjurnati. Aghjurnà a lista di i repositori, dopu avè installatu l'arnesi necessarii:
codice di scrittura
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseAghjunghjendu NGINX Unit è NGINX Repositories
U script installate NGINX Unit è open source NGINX da i repositori ufficiali NGINX per assicurà chì e versioni cù l'ultimi patch di sicurezza è correzioni di bug sò aduprate.
U script aghjunghjenu u repository NGINX Unit è dopu u repository NGINX, aghjunghjendu a chjave di repository è i schedarii di cunfigurazione apt, chì definisce l'accessu à i repositori via Internet.
L'installazione attuale di NGINX Unit è NGINX succede in a sezione dopu. Avemu pre-aghjunghje i repositori per ùn avè micca aghjurnà i metadati parechje volte, chì rende l'installazione più veloce.
codice di scrittura
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiInstallazione di NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) è e so dipendenze
Quandu tutti i repositori sò aghjuntu, aghjurnà i metadati è installate l'applicazioni. I pacchetti installati da u script includenu ancu l'estensioni PHP cunsigliate quandu eseguite WordPress.org
codice di scrittura
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverConfigurazione di PHP per l'usu cù NGINX Unit è WordPress
U script crea un schedariu di paràmetri in u cartulare conf. d. Questu stabilisce a dimensione massima per l'uploads di PHP, attiva l'output d'errore PHP in STDERR per esse scritti in u logu di l'Unità NGINX, è riavvia l'Unità NGINX.
codice di scrittura
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartSpecificà i paràmetri di basa di dati MariaDB per WordPress
Avemu sceltu MariaDB nantu à MySQL postu chì hà più attività di a cumunità è hè ancu prubabile (prubabilmente, tuttu hè più simplice quì: per installà MySQL, avete bisognu di aghjunghje un altru repository, ca. traduttore).
U script crea una nova basa di dati è crea credenziali per accede à WordPress via l'interfaccia di loopback:
codice di scrittura
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"Installazione di u prugramma CLI di WordPress
À questu passu, u script installà u prugramma . Cù ellu, pudete installà è gestisce i paràmetri di WordPress senza avè da edità manualmente i fugliali, aghjurnà a basa di dati, o entre in u pannellu di cuntrollu. Pò esse ancu usatu per installà temi è add-ons è aghjurnà WordPress.
codice di scrittura
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiInstallazione è cunfigurazione di WordPress
U script stalla l'ultima versione di WordPress in un annuariu /var/www/wordpressè cambia ancu i paràmetri:
- A cunnessione di a basa di dati funziona nantu à un socket di duminiu Unix invece di TCP in loopback per riduce u trafficu TCP.
- WordPress aghjunghje un prefissu https:// à l'URL se i clienti si cunnetta à NGINX per HTTPS, è ancu manda u nome d'ospitu remoto (cum'è furnitu da NGINX) à PHP. Avemu aduprà un pezzu di codice per stallà questu.
- WordPress hà bisognu di HTTPS per u login
- A struttura URL predeterminata hè basatu annantu à e risorse
- Stabilisce i permessi curretti nantu à u sistema di fugliale per u cartulare di WordPress.
codice di scrittura
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiConfigurazione di l'unità NGINX
U script cunfigurà l'Unità NGINX per eseguisce PHP è processà i percorsi di WordPress, isolandu u spaziu di nome di u prucessu PHP è ottimizendu i paràmetri di rendiment. Ci sò trè funziunalità à circà quì:
- U supportu per i namespaces hè determinatu da a cundizione, basatu annantu à verificà chì u script hè in esecuzione in un containeru. Questu hè necessariu perchè a maiò parte di e configurazioni di cuntenituri ùn sustene micca u lanciu nidificatu di cuntenituri.
- Se ci hè supportu per i namespaces, disattiveghjanu u namespace reta. Questu hè per permette à WordPress di cunnette à i dui punti finali è esse dispunibule nantu à u web à u stessu tempu.
- U numeru massimu di prucessi hè definitu cum'è seguita: (Memoria dispunibile per eseguisce MariaDB è NGINX Uniy)/(limite RAM in PHP + 5)
Stu valore hè stabilitu in i paràmetri di l'unità NGINX.
Stu valore implica ancu chì ci sò sempre almenu dui prucessi PHP in esecuzione, chì hè impurtante perchè WordPress face assai richieste asincrone à ellu stessu, è senza prucessi supplementari, in esecuzione, per esempiu, WP-Cron romperà. Pudete vulete aumentà o diminuite questi limiti basatu nantu à i vostri paràmetri lucali, perchè i paràmetri creati quì sò cunservatori. In a maiò parte di i sistemi di produzzione, i paràmetri sò trà 10 è 100.
codice di scrittura
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configConfigurazione di NGINX
Configurazione di i paràmetri basi di NGINX
U script crea un repertoriu per a cache NGINX è poi crea u schedariu di cunfigurazione principale nginx.conf. Prestate attenzione à u numeru di prucessi di gestione è l'impostazione di a dimensione massima di u schedariu per upload. Ci hè ancu una linea chì include u schedariu di paràmetri di compressione definitu in a sezione dopu, seguita da i paràmetri di caching.
codice di scrittura
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMConfigurazione di a compressione NGINX
Cumpressà u cuntenutu nantu à a mosca prima di mandà à i clienti hè una bella manera di migliurà u rendiment di u situ, ma solu se a compressione hè cunfigurata currettamente. Questa sezione di u script hè basatu annantu à i paràmetri .
codice di scrittura
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMConfigurazione di NGINX per WordPress
Dopu, u script crea un schedariu di cunfigurazione per WordPress default.conf in u catalogu conf. d. Hè cunfiguratu quì:
- Attivà i certificati TLS ricevuti da Let's Encrypt via Certbot (l'installazione sarà in a sezione successiva)
- Configurazione di i paràmetri di sicurezza TLS basatu nantu à i cunsiglii di Let's Encrypt
- Per automaticamente, attivate e richieste di salta in cache per 1 ora
- Disattivate l'accessu di l'accessu, è ancu l'errore di logu se u schedariu ùn hè micca truvatu, per dui schedari cumuni cumuni: favicon.ico è robots.txt
- Impedisce l'accessu à i fugliali nascosti è à certi schedari .phpper impedisce l'accessu illegale o l'iniziu imprevisu
- Disattivate l'accessu di logu per i fugliali statichi è di font
- Impostazione di l'intestazione per i schedarii di font
- Aghjunghjendu routing per index.php è altre statics.
codice di scrittura
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMConfigurazione di Certbot per i certificati da Let's Encrypt è rinnuvà automaticamente
hè un strumentu gratuitu da a Electronic Frontier Foundation (EFF) chì permette di ottene è rinnuvà automaticamente i certificati TLS da Let's Encrypt. U script face i seguenti per cunfigurà Certbot per processà i certificati da Let's Encrypt in NGINX:
- Arresta NGINX
- Scarica i paràmetri TLS cunsigliatu
- Esegue Certbot per uttene certificati per u situ
- Riavvia NGINX per utilizà i certificati
- Configura Certbot per eseguisce ogni ghjornu à 3:24 AM per verificà se i certificati anu da esse rinnuvati, è se necessariu, scaricate novi certificati è riavvia NGINX.
codice di scrittura
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fipersunalizazione supplementu di u vostru situ
Avemu parlatu sopra cumu u nostru script configura NGINX è NGINX Unit per serve un situ prontu per a produzzione cù TLSSSL attivatu. Pudete ancu, sicondu i vostri bisogni, aghjunghje in u futuru:
- sustegnu , Migliurà a compressione nantu à a mosca nantu à HTTPS
- с per prevene attacchi automatizati à u vostru situ
- per WordPress chì vi cunvene
- cun l'aiutu di (su Ubuntu)
- Postfix o msmtp per chì WordPress pò mandà mail
- Verificate u vostru situ per capisce quantu trafficu pò trattà
Per un rendimentu di u situ ancu megliu, ricumandemu l'aghjurnamentu à , u nostru pruduttu cummerciale, di qualità di l'impresa basatu annantu à NGINX open source. I so abbonati riceveranu un modulu Brotli caricatu dinamicamente, è ancu (per una tarifa supplementaria) . Avemu ancu prupostu , un modulu WAF per NGINX Plus basatu nantu à a tecnulugia di sicurità di punta di l'industria da F5.
NB Per u sustegnu di un situ assai caricatu, pudete cuntattate i specialisti . Assicureremu un funziunamentu veloce è affidabile di u vostru situ web o serviziu sottu ogni carica.
Source: www.habr.com