ProHoster > Blog > podávání > Automatizace instalace WordPress pomocí NGINX Unit a Ubuntu
Automatizace instalace WordPress pomocí NGINX Unit a Ubuntu
Existuje spousta materiálů o instalaci WordPress; vyhledávání Google pro „WordPress install“ vrátí asi půl milionu výsledků. Ve skutečnosti však existuje jen velmi málo užitečných průvodců, které vám pomohou nainstalovat a nakonfigurovat WordPress a základní operační systém tak, aby mohly být podporovány po dlouhou dobu. Možná správné nastavení silně závisí na vašich konkrétních potřebách, nebo to může být proto, že podrobné vysvětlení ztěžuje čtení článku.
V tomto článku se pokusíme dát dohromady to nejlepší z obou světů poskytnutím bash skriptu, který automaticky nainstaluje WordPress na Ubuntu, a projdeme si ho, vysvětlíme, co každý kus dělá a jaké kompromisy jsme udělali při navrhování. to. Pokud jste zkušený uživatel, můžete text článku přeskočit a prostě vzít scénář pro úpravy a použití ve vašem prostředí. Výstupem skriptu je vlastní instalace WordPressu s podporou Lets Encrypt, běžící na NGINX Unit a vhodná pro průmyslové použití.
Vyvinutá architektura pro nasazení WordPress pomocí NGINX Unit je popsána v starší článek, nyní také dále konfigurujeme věci, které tam nebyly zahrnuty (jako v mnoha jiných tutoriálech):
WordPress CLI
Let's Encrypt a TLSSSL certifikáty
Automatická obnova certifikátu
Ukládání do mezipaměti NGINX
NGINX komprese
Podpora HTTPS a HTTP/2
Automatizace procesů
Článek bude popisovat instalaci na jeden server, který bude současně hostovat statický zpracovatelský server, PHP zpracovatelský server a databázi. Instalace s podporou více virtuálních hostitelů a služeb je potenciálním tématem budoucnosti. Pokud chcete, abychom psali o něčem, co v těchto článcích není, napište do komentářů.
Požadavky
Serverový kontejner (LXC nebo Lxd), virtuální počítač nebo běžný hardwarový server s alespoň 512 MB paměti RAM a nainstalovaným Ubuntu 18.04 nebo novějším.
Internetové porty 80 a 443
Název domény přidružený k veřejné IP adrese tohoto serveru
Přístup s právy root (sudo).
Přehled architektury
Architektura je stejná, jak je popsáno dříve, třívrstvá webová aplikace. Skládá se z PHP skriptů spouštěných na PHP engine a statických souborů zpracovávaných webovým serverem.
Obecné zásady
Mnoho konfiguračních příkazů ve skriptu je zabaleno do podmínek idempotence: skript lze spustit vícekrát bez rizika změny nastavení, která jsou již připravena.
Skript se pokouší nainstalovat software z úložišť, takže můžete použít aktualizace systému jedním příkazem (apt upgrade pro Ubuntu).
Týmy se snaží zjistit, že běží v kontejneru, aby mohly odpovídajícím způsobem změnit svá nastavení.
Aby bylo možné v nastavení nastavit počet procesů vláken, které mají být spuštěny, skript se snaží uhodnout automatické nastavení pro práci v kontejnerech, virtuálních strojích a hardwarových serverech.
Při popisu nastavení vždy nejprve myslíme na automatizaci, která se, jak doufáme, stane základem pro vytvoření vlastní infrastruktury jako kódu.
Všechny příkazy jsou spouštěny uživatelem kořen, protože mění základní nastavení systému, ale samotný WordPress běží jako běžný uživatel.
Nastavení proměnných prostředí
Před spuštěním skriptu nastavte následující proměnné prostředí:
WORDPRESS_DB_PASSWORD — Heslo databáze WordPress
WORDPRESS_ADMIN_USER - uživatelské jméno správce WordPress
LETS_ENCRYPT_STAGING — ve výchozím nastavení prázdné, ale nastavením hodnoty na 1 budete používat stagingové servery Let's Encrypt, které jsou nutné k častému vyžadování certifikátů při testování vašich nastavení, jinak může Let's Encrypt dočasně zablokovat vaši IP adresu kvůli velkému počtu požadavků.
Skript zkontroluje, zda jsou tyto proměnné související s WordPress nastaveny, a pokud tomu tak není, ukončí se.
Řádky skriptu 572-576 kontrolují hodnotu LETS_ENCRYPT_STAGING.
Nastavení odvozených proměnných prostředí
Skript na řádcích 55-61 nastavuje následující proměnné prostředí, buď na nějakou pevně zakódovanou hodnotu, nebo pomocí hodnoty odvozené z proměnných nastavených v předchozí části:
DEBIAN_FRONTEND="noninteractive" — sděluje aplikacím, že jsou spuštěny ve skriptu a neexistuje žádná možnost interakce uživatele.
WORDPRESS_CLI_VERSION="2.4.0" — WordPress CLI verze aplikace.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — kontrolní součet spustitelného souboru WordPress CLI 2.4.0 (verze je uvedena v proměnné WORDPRESS_CLI_VERSION). Skript na řádku 162 používá tuto hodnotu k ověření, že byl stažen správný soubor WordPress CLI.
UPLOAD_MAX_FILESIZE="16M" — maximální velikost souboru, který lze nahrát na WordPress. Toto nastavení se používá na více místech, takže je snazší jej nastavit na jednom místě.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — název hostitele systému extrahovaný z proměnné WORDPRESS_URL. Slouží k získání příslušných TLS/SSL certifikátů z Let's Encrypt a také k internímu ověření WordPressu.
NGINX_CONF_DIR="/etc/nginx" — cesta k adresáři s nastavením NGINX, včetně hlavního souboru nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — cesta k certifikátům Let's Encrypt pro web WordPress, získaná z proměnné TLS_HOSTNAME.
Přiřazení názvu hostitele serveru WordPress
Skript nastaví název hostitele serveru tak, aby hodnota odpovídala názvu domény webu. Není to nutné, ale je pohodlnější odesílat odchozí poštu přes SMTP při nastavování jednoho serveru, jak je nakonfigurován skriptem.
kód skriptu
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Přidání názvu hostitele do /etc/hosts
Přidání WP-Cron používá ke spouštění pravidelných úloh, vyžaduje, aby WordPress měl k sobě přístup přes HTTP. Aby bylo zajištěno, že WP-Cron funguje správně ve všech prostředích, skript přidá do souboru řádek / Etc / hostsaby WordPress mohl sám přistupovat přes rozhraní zpětné smyčky:
kód skriptu
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Instalace nástrojů potřebných pro následující kroky
Zbytek skriptu vyžaduje nějaké programy a předpokládá, že úložiště jsou aktuální. Aktualizujeme seznam úložišť a poté nainstalujeme potřebné nástroje:
kód skriptu
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Přidání NGINX Unit a NGINX repozitářů
Skript nainstaluje NGINX Unit a open source NGINX z oficiálních repozitářů NGINX, aby bylo zajištěno, že budou použity verze s nejnovějšími aktualizacemi zabezpečení a opravami chyb.
Skript přidá úložiště jednotek NGINX a poté úložiště NGINX, přidá klíč úložiště a soubory nastavení apt, definující přístup k úložištím přes internet.
Vlastní instalace jednotky NGINX a NGINX se objeví v další části. Předem přidáváme úložiště, abychom se vyhnuli vícenásobné aktualizaci metadat, což zrychluje instalaci.
kód skriptu
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Instalace NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) a jejich závislostí
Jakmile jsou všechna úložiště přidána, aktualizujeme metadata a nainstalujeme aplikace. Balíčky nainstalované skriptem také obsahují rozšíření PHP doporučená při spuštění WordPress.org
kód skriptu
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Nastavení PHP pro použití s NGINX Unit a WordPress
Skript vytvoří v adresáři soubor nastavení conf.d. Tím se nastaví maximální velikost uploadu souboru pro PHP, umožní se výstup chyb PHP do STDERR, takže budou zaprotokolovány do jednotky NGINX, a restartuje se jednotka NGINX.
kód skriptu
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Nastavení nastavení databáze MariaDB pro WordPress
Vybrali jsme MariaDB před MySQL, protože má více komunitních aktivit a také může poskytuje ve výchozím nastavení lepší výkon (Pravděpodobně je zde vše jednodušší: pro instalaci MySQL musíte přidat další úložiště, Cca. překladatel).
Skript vytvoří novou databázi a vytvoří přihlašovací údaje WordPress prostřednictvím rozhraní zpětné smyčky:
kód skriptu
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Instalace programu WordPress CLI
V tomto kroku skript nainstaluje program WP-CLI. S ním můžete instalovat a spravovat nastavení WordPress, aniž byste museli ručně upravovat soubory, aktualizovat databázi nebo se přihlašovat do ovládacího panelu. Lze jej také použít k instalaci motivů a doplňků a aktualizaci WordPressu.
kód skriptu
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Instalace a konfigurace WordPressu
Skript nainstaluje nejnovější verzi WordPressu do adresáře /var/www/wordpressa také změní nastavení:
Databázové připojení funguje přes soket domény unix místo TCP ve smyčce, aby se snížil provoz TCP.
WordPress přidává předponu https:// na adresu URL, pokud se klienti připojují k NGINX přes HTTPS, a také odesílá název vzdáleného hostitele (jak je poskytnut NGINX) do PHP. K nastavení používáme kus kódu.
WordPress potřebuje k přihlášení HTTPS
Struktura URL je tiše založena na zdrojích
Pro adresář WordPress jsou nastavena správná oprávnění systému souborů.
kód skriptu
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Nastavení jednotky NGINX
Skript konfiguruje jednotku NGINX tak, aby spouštěla PHP a zpracovávala cesty WordPress, izolovala jmenný prostor procesů PHP a optimalizovala nastavení výkonu. Existují tři funkce, které stojí za pozornost:
Podpora jmenného prostoru je určena podmínkou na základě kontroly, zda je skript spuštěn v kontejneru. To je nezbytné, protože většina nastavení kontejnerů nepodporuje vnořené spouštění kontejnerů.
Pokud existuje podpora pro jmenné prostory, jmenný prostor je zakázán síť. To je nezbytné, aby se WordPress mohl současně připojit ke koncovým bodům a byl přístupný na internetu.
Maximální počet procesů je určen následovně: (Dostupná paměť pro spuštění MariaDB a NGINX Uniy)/(limit RAM v PHP + 5)
Tato hodnota se nastavuje v nastavení jednotky NGINX.
Z této hodnoty také vyplývá, že jsou vždy spuštěny alespoň dva procesy PHP, což je důležité, protože WordPress na sebe dělá spoustu asynchronních požadavků a bez dalších spuštěných procesů se například WP-Cron porouchá. Možná budete chtít tyto limity zvýšit nebo snížit na základě místních nastavení, protože zde vytvořená nastavení jsou konzervativní. Na většině produkčních systémů jsou nastavení mezi 10 a 100.
kód skriptu
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Nastavení NGINX
Konfigurace základních nastavení NGINX
Skript vytvoří adresář pro mezipaměť NGINX a poté vytvoří hlavní konfigurační soubor nginx.conf. Věnujte pozornost počtu procesů obsluhy a nastavení maximální velikosti souboru pro stahování. Je zde také řádek, na kterém je připojen soubor nastavení komprese, definovaný v další části, následovaný nastavením mezipaměti.
Komprimace obsahu za běhu před jeho odesláním klientům je skvělý způsob, jak zlepšit výkon webu, ale pouze v případě, že je komprese správně nakonfigurována. Tato část skriptu je založena na nastavení proto.
kód skriptu
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Nastavení NGINX pro WordPress
Dále skript vytvoří konfigurační soubor pro WordPress default.conf v katalogu conf.d. Tady je to nakonfigurováno:
Aktivace certifikátů TLS přijatých z Let's Encrypt přes Certbot (její konfigurace bude uvedena v další části)
Nakonfigurujte nastavení zabezpečení TLS na základě doporučení Let's Encrypt
Ve výchozím nastavení povolit ukládání vynechaných požadavků do mezipaměti na 1 hodinu
Zakázat protokolování přístupu a protokolování chyb, pokud soubor nebyl nalezen, pro dva běžné požadované soubory: favicon.ico a robots.txt
Odepřít přístup ke skrytým souborům a některým souborům . Phpaby se zabránilo nelegálnímu přístupu nebo neúmyslnému spuštění
Zakázat protokolování přístupu pro statické soubory a soubory písem
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Konfigurace Certbota pro certifikáty Let's Encrypt a jejich automatické obnovování
Certbot je bezplatný nástroj od Electronic Frontier Foundation (EFF), který vám umožňuje získávat a automaticky obnovovat certifikáty TLS od Let's Encrypt. Skript provede následující kroky ke konfiguraci Certbota pro zpracování certifikátů z Let's Encrypt v NGINX:
Zastaví NGINX
Stáhne doporučená nastavení TLS
Spustí Certbot pro získání certifikátů pro web
Restartuje NGINX, aby mohl používat certifikáty
Nakonfiguruje Certbot tak, aby se spouštěl denně ve 3:24, aby zkontroloval obnovení certifikátu a v případě potřeby stáhl nové certifikáty a restartoval NGINX.
kód skriptu
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Další přizpůsobení vašeho webu
Výše jsme hovořili o tom, jak náš skript konfiguruje NGINX a NGINX Unit tak, aby obsluhovaly webové stránky připravené k produkci s povoleným TLSSSL. V závislosti na vašich potřebách můžete také v budoucnu přidat:
Podpora Brotli, vylepšená komprese za běhu přes HTTPS
Postfix nebo msmtp, aby WordPress mohl odesílat poštu
Zkontrolujte svůj web, abyste pochopili, jaký provoz může zvládnout
Pro ještě lepší výkon webu doporučujeme upgradovat na NGINX Plus, náš komerční produkt podnikové třídy založený na open source NGINX. Jeho předplatitelé obdrží dynamicky načítaný modul Brotli a také (za příplatek) NGINX ModSecurity WAF. Nabízíme také Ochrana aplikací NGINX, modul WAF pro NGINX Plus založený na špičkové bezpečnostní technologii od F5.
NB Pro podporu webu s vysokým zatížením se můžete obrátit na specialisty Southbridge. Zajistíme rychlý a spolehlivý provoz vašeho webu nebo služby při jakékoli zátěži.