Mae yna lawer o diwtorialau ar sut i osod WordPress, bydd chwiliad Google am "WordPress install" yn troi i fyny tua hanner miliwn o ganlyniadau. Fodd bynnag, mewn gwirionedd, ychydig iawn o ganllawiau da sydd yn eu plith, ac yn ôl y rhain gallwch chi osod a ffurfweddu WordPress a'r system weithredu sylfaenol fel eu bod yn gallu cefnogi am gyfnod hir o amser. Efallai bod y gosodiadau cywir yn ddibynnol iawn ar anghenion penodol, neu mae hyn oherwydd y ffaith bod esboniad manwl yn gwneud yr erthygl yn anodd ei darllen.
Yn yr erthygl hon, byddwn yn ceisio cyfuno'r gorau o'r ddau fyd trwy ddarparu sgript bash i osod WordPress yn awtomatig ar Ubuntu, yn ogystal â cherdded trwyddo, gan esbonio beth mae pob darn yn ei wneud, yn ogystal â'r cyfaddawdau a wnaethom wrth ei ddatblygu . Os ydych chi'n ddefnyddiwr datblygedig, gallwch chi hepgor testun yr erthygl a dim ond ar gyfer addasu a defnyddio yn eich amgylcheddau. Mae allbwn y sgript yn osodiad WordPress arferol gyda chefnogaeth Lets Encrypt, yn rhedeg ar Uned NGINX ac yn addas ar gyfer defnydd cynhyrchu.
Disgrifir y bensaernïaeth ddatblygedig ar gyfer defnyddio WordPress gan ddefnyddio Uned NGINX yn , nawr byddwn hefyd yn ffurfweddu ymhellach bethau na chawsant eu cynnwys yno (fel mewn llawer o diwtorialau eraill):
- WordPress CLI
- Gadewch i ni Amgryptio a Thystysgrifau TLSSSL
- Adnewyddu tystysgrifau yn awtomatig
- NGINX caching
- Cywasgiad NGINX
- Cefnogaeth HTTPS a HTTP/2
- Awtomeiddio prosesau
Bydd yr erthygl yn disgrifio'r gosodiad ar un gweinydd, a fydd ar yr un pryd yn cynnal gweinydd prosesu statig, gweinydd prosesu PHP, a chronfa ddata. Mae gosodiad sy'n cefnogi llu o westeion a gwasanaethau rhithwir yn bwnc posibl ar gyfer y dyfodol. Os ydych chi am i ni ysgrifennu am rywbeth nad yw yn yr erthyglau hyn, ysgrifennwch yn y sylwadau.
Gofynion
- gweinydd cynhwysydd ( neu ), peiriant rhithwir, neu weinydd haearn rheolaidd gydag o leiaf 512MB o RAM a Ubuntu 18.04 neu fwy newydd wedi'i osod.
- Porthladdoedd hygyrch i'r rhyngrwyd 80 a 443
- Enw parth sy'n gysylltiedig â chyfeiriad ip cyhoeddus y gweinydd hwn
- Mynediad gwraidd (sudo).
Trosolwg o bensaernïaeth
Mae'r bensaernïaeth yr un fath â'r hyn a ddisgrifiwyd , cymhwysiad gwe tair haen. Mae'n cynnwys sgriptiau PHP sy'n rhedeg ar yr injan PHP a ffeiliau statig sy'n cael eu prosesu gan y gweinydd gwe.
Egwyddorion cyffredinol
- Mae llawer o orchmynion ffurfweddu mewn sgript wedi'u lapio i mewn os oes amodau ar gyfer analluedd: gellir rhedeg y sgript sawl gwaith heb y risg o newid gosodiadau sydd eisoes yn eu lle.
- Mae'r sgript yn ceisio gosod meddalwedd o ystorfeydd, felly gallwch chi gymhwyso diweddariadau system mewn un gorchymyn (
apt upgradear gyfer Ubuntu). - Mae gorchmynion yn ceisio canfod eu bod yn rhedeg mewn cynhwysydd fel y gallant newid eu gosodiadau yn unol â hynny.
- Er mwyn gosod nifer y prosesau edau i ddechrau yn y gosodiadau, mae'r sgript yn ceisio dyfalu'r gosodiadau awtomatig ar gyfer gweithio mewn cynwysyddion, peiriannau rhithwir, a gweinyddwyr caledwedd.
- Wrth ddisgrifio gosodiadau, rydym bob amser yn meddwl yn gyntaf oll am awtomeiddio, a fydd, rydym yn gobeithio, yn dod yn sail ar gyfer creu eich seilwaith eich hun fel cod.
- Mae'r holl orchmynion yn cael eu rhedeg fel defnyddiwr gwraidd, oherwydd eu bod yn newid gosodiadau'r system sylfaenol, ond yn uniongyrchol mae WordPress yn rhedeg fel defnyddiwr rheolaidd.
Gosod newidynnau amgylchedd
Gosodwch y newidynnau amgylchedd canlynol cyn rhedeg y sgript:
WORDPRESS_DB_PASSWORD- Cyfrinair cronfa ddata WordPressWORDPRESS_ADMIN_USER- Enw gweinyddol WordPressWORDPRESS_ADMIN_PASSWORD- Cyfrinair gweinyddol WordPressWORDPRESS_ADMIN_EMAIL- E-bost gweinyddol WordPressWORDPRESS_URLyw URL llawn y wefan WordPress, gan ddechrau ynhttps://.LETS_ENCRYPT_STAGING- yn wag yn ddiofyn, ond trwy osod y gwerth i 1, byddwch yn defnyddio'r gweinyddion llwyfannu Let's Encrypt, sy'n angenrheidiol ar gyfer gofyn yn aml am dystysgrifau wrth brofi'ch gosodiadau, fel arall gall Let's Encrypt rwystro'ch cyfeiriad ip dros dro oherwydd nifer fawr o geisiadau .
Mae'r sgript yn gwirio bod y newidynnau hyn sy'n gysylltiedig â WordPress wedi'u gosod ac yn gadael os na.
Mae llinellau sgript 572-576 yn gwirio'r gwerth LETS_ENCRYPT_STAGING.
Gosod newidynnau amgylchedd deilliadol
Mae'r sgript ar linellau 55-61 yn gosod y newidynnau amgylchedd canlynol, naill ai i ryw werth cod caled neu gan ddefnyddio gwerth a gafwyd o'r newidynnau a osodwyd yn yr adran flaenorol:
DEBIAN_FRONTEND="noninteractive"- Yn dweud wrth gymwysiadau eu bod yn rhedeg mewn sgript ac nad oes unrhyw bosibilrwydd o ryngweithio â defnyddwyr.WORDPRESS_CLI_VERSION="2.4.0"yw'r fersiwn o'r cymhwysiad WordPress CLI.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"— gwiriad ffeil gweithredadwy WordPress CLI 2.4.0 (mae'r fersiwn wedi'i nodi yn y newidynWORDPRESS_CLI_VERSION). Mae'r sgript ar-lein 162 yn defnyddio'r gwerth hwn i wirio bod y ffeil WordPress CLI gywir wedi'i lawrlwytho.UPLOAD_MAX_FILESIZE="16M"- uchafswm maint y ffeil y gellir ei uwchlwytho yn WordPress. Defnyddir y gosodiad hwn mewn sawl man, felly mae'n haws ei osod mewn un lle.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"- enw gwesteiwr y system, wedi'i adfer o'r newidyn WORDPRESS_URL. Fe'i defnyddir i gael tystysgrifau TLS / SSL priodol gan Let's Encrypt yn ogystal â dilysu WordPress mewnol.NGINX_CONF_DIR="/etc/nginx"- llwybr i'r cyfeiriadur gyda gosodiadau NGINX, gan gynnwys y brif ffeilnginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"— y llwybr i'r tystysgrifau Let's Encrypt ar gyfer gwefan WordPress, a gafwyd o'r newidynTLS_HOSTNAME.
Neilltuo enw gwesteiwr i weinydd WordPress
Mae'r sgript yn gosod enw gwesteiwr y gweinydd i gyd-fynd ag enw parth y wefan. Nid oes angen hyn, ond mae'n fwy cyfleus anfon post sy'n mynd allan trwy SMTP wrth sefydlu un gweinydd, fel y'i ffurfiwyd gan y sgript.
cod sgript
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiYchwanegu enw gwesteiwr i /etc/hosts
Ychwanegiad a ddefnyddir i redeg tasgau cyfnodol, yn ei gwneud yn ofynnol i WordPress allu cyrchu ei hun trwy HTTP. Er mwyn sicrhau bod WP-Cron yn gweithio'n gywir ar bob amgylchedd, mae'r sgript yn ychwanegu llinell at y ffeil / Etc / gwahoddwyrfel y gall WordPress gael mynediad iddo'i hun trwy'r rhyngwyneb loopback:
cod sgript
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiGosod yr offer sydd eu hangen ar gyfer y camau nesaf
Mae angen rhai rhaglenni ar weddill y sgript ac mae'n cymryd bod y storfeydd yn gyfredol. Rydym yn diweddaru'r rhestr o ystorfeydd, ac ar ôl hynny rydym yn gosod yr offer angenrheidiol:
cod sgript
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseYchwanegu Uned NGINX a Storfeydd NGINX
Mae'r sgript yn gosod Uned NGINX a ffynhonnell agored NGINX o ystorfeydd swyddogol NGINX i sicrhau bod y fersiynau gyda'r clytiau diogelwch diweddaraf a'r atgyweiriadau nam yn cael eu defnyddio.
Mae'r sgript yn ychwanegu ystorfa Uned NGINX ac yna'r ystorfa NGINX, gan ychwanegu allwedd y storfeydd a'r ffeiliau ffurfweddu apt, diffinio mynediad i gadwrfeydd drwy'r Rhyngrwyd.
Mae gosodiad gwirioneddol Uned NGINX a NGINX yn digwydd yn yr adran nesaf. Rydym yn rhag-ychwanegu'r ystorfeydd fel nad oes yn rhaid i ni ddiweddaru'r metadata sawl gwaith, sy'n gwneud y gosodiad yn gyflymach.
cod sgript
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiGosod NGINX, Uned NGINX, PHP MariaDB, Certbot (Dewch i ni Amgryptio) a'u dibyniaethau
Unwaith y bydd yr holl ystorfeydd wedi'u hychwanegu, diweddarwch y metadata a gosodwch y cymwysiadau. Mae'r pecynnau a osodwyd gan y sgript hefyd yn cynnwys yr estyniadau PHP a argymhellir wrth redeg WordPress.org
cod sgript
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverSefydlu PHP i'w ddefnyddio gydag Uned NGINX a WordPress
Mae'r sgript yn creu ffeil gosodiadau yn y cyfeiriadur conf.d. Mae hyn yn gosod y maint mwyaf ar gyfer uwchlwythiadau PHP, yn troi allbwn gwall PHP ymlaen i STDERR felly byddant yn cael eu hysgrifennu i log Uned NGINX, ac yn ailgychwyn yr Uned NGINX.
cod sgript
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartYn nodi Gosodiadau Cronfa Ddata MariaDB ar gyfer WordPress
Rydym wedi dewis MariaDB dros MySQL gan fod ganddi fwy o weithgarwch cymunedol ac mae hefyd yn debygol o wneud hynny (yn ôl pob tebyg, mae popeth yn symlach yma: i osod MySQL, mae angen ichi ychwanegu ystorfa arall, tua. cyfieithydd).
Mae'r sgript yn creu cronfa ddata newydd ac yn creu tystlythyrau i gael mynediad i WordPress trwy'r rhyngwyneb loopback:
cod sgript
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"Gosod y Rhaglen WordPress CLI
Ar y cam hwn, mae'r sgript yn gosod y rhaglen . Ag ef, gallwch chi osod a rheoli gosodiadau WordPress heb orfod golygu ffeiliau â llaw, diweddaru'r gronfa ddata, na mynd i mewn i'r panel rheoli. Gellir ei ddefnyddio hefyd i osod themâu ac ychwanegion a diweddaru WordPress.
cod sgript
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiGosod a ffurfweddu WordPress
Mae'r sgript yn gosod y fersiwn diweddaraf o WordPress mewn cyfeiriadur /var/www/wordpressa hefyd yn newid y gosodiadau:
- Mae'r cysylltiad cronfa ddata yn gweithio dros soced parth unix yn lle TCP ar loopback i dorri i lawr ar draffig TCP.
- Mae WordPress yn ychwanegu rhagddodiad https:// i'r URL os yw cleientiaid yn cysylltu â NGINX dros HTTPS, a hefyd yn anfon yr enw gwesteiwr anghysbell (fel y darperir gan NGINX) i PHP. Rydym yn defnyddio darn o god i osod hyn.
- Mae angen HTTPS ar WordPress ar gyfer mewngofnodi
- Mae'r strwythur URL rhagosodedig yn seiliedig ar adnoddau
- Yn gosod y caniatâd cywir ar y system ffeiliau ar gyfer y cyfeiriadur WordPress.
cod sgript
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiSefydlu Uned NGINX
Mae'r sgript yn ffurfweddu'r Uned NGINX i redeg PHP a phrosesu llwybrau WordPress, gan ynysu gofod enw proses PHP ac optimeiddio gosodiadau perfformiad. Mae tair nodwedd i gadw llygad amdanynt yma:
- Mae cefnogaeth i ofodau enwau yn cael ei bennu gan amod, yn seiliedig ar wirio bod y sgript yn rhedeg mewn cynhwysydd. Mae hyn yn angenrheidiol oherwydd nid yw'r rhan fwyaf o setiau cynwysyddion yn cefnogi lansiad nythu cynwysyddion.
- Os oes cefnogaeth ar gyfer bylchau enw, analluoga'r gofod enwau rhwydwaith. Mae hyn er mwyn caniatáu i WordPress gysylltu â'r ddau bwynt terfyn a bod ar gael ar y we ar yr un pryd.
- Diffinnir nifer uchaf y prosesau fel a ganlyn: (Cof ar gael ar gyfer rhedeg MariaDB a NGINX Uniy) / (terfyn RAM yn PHP + 5)
Mae'r gwerth hwn wedi'i osod yng ngosodiadau Uned NGINX.
Mae'r gwerth hwn hefyd yn awgrymu bod o leiaf dwy broses PHP yn rhedeg bob amser, sy'n bwysig oherwydd bod WordPress yn gwneud llawer o geisiadau anghydamserol iddo'i hun, a heb brosesau ychwanegol, bydd rhedeg e.e. WP-Cron yn torri. Efallai y byddwch am gynyddu neu leihau'r terfynau hyn yn seiliedig ar eich gosodiadau lleol, oherwydd mae'r gosodiadau a grëwyd yma yn geidwadol. Ar y rhan fwyaf o systemau cynhyrchu, mae'r gosodiadau rhwng 10 a 100.
cod sgript
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configSefydlu NGINX
Ffurfweddu Gosodiadau NGINX Sylfaenol
Mae'r sgript yn creu cyfeiriadur ar gyfer storfa NGINX ac yna'n creu'r brif ffeil ffurfweddu nginx.conf. Rhowch sylw i nifer y prosesau trin a gosod uchafswm maint y ffeil i'w huwchlwytho. Mae yna hefyd linell sy'n cynnwys y ffeil gosodiadau cywasgu a ddiffinnir yn yr adran nesaf, ac yna'r gosodiadau caching.
cod sgript
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMSefydlu cywasgu NGINX
Mae cywasgu cynnwys ar y hedfan cyn ei anfon at gleientiaid yn ffordd wych o wella perfformiad y safle, ond dim ond os yw cywasgu wedi'i ffurfweddu'n gywir. Mae'r adran hon o'r sgript yn seiliedig ar osodiadau .
cod sgript
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMSefydlu NGINX ar gyfer WordPress
Nesaf, mae'r sgript yn creu ffeil ffurfweddu ar gyfer WordPress rhagosodedig.conf yn y catalog conf.d. Mae wedi'i ffurfweddu yma:
- Ysgogi tystysgrifau TLS a dderbyniwyd gan Let's Encrypt trwy Certbot (bydd ei sefydlu yn yr adran nesaf)
- Ffurfweddu gosodiadau diogelwch TLS yn seiliedig ar argymhellion gan Let's Encrypt
- Galluogi ceisiadau sgip caching am 1 awr yn ddiofyn
- Analluogi logio mynediad, yn ogystal â logio gwallau os na ddaethpwyd o hyd i'r ffeil, ar gyfer dwy ffeil gyffredin y gofynnir amdanynt: favicon.ico a robots.txt
- Atal mynediad i ffeiliau cudd a rhai ffeiliau .phpi atal mynediad anghyfreithlon neu gychwyn anfwriadol
- Analluogi logio mynediad ar gyfer ffeiliau statig a ffont
- Gosod pennyn ar gyfer ffeiliau ffont
- Ychwanegu llwybro ar gyfer index.php a statigau eraill.
cod sgript
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMSefydlu Certbot ar gyfer tystysgrifau gan Let's Encrypt a'u hadnewyddu'n awtomatig
yn offeryn rhad ac am ddim gan yr Electronic Frontier Foundation (EFF) sy'n eich galluogi i gael ac adnewyddu tystysgrifau TLS yn awtomatig gan Let's Encrypt. Mae'r sgript yn gwneud y canlynol i ffurfweddu Certbot i brosesu tystysgrifau o Let's Encrypt yn NGINX:
- Yn stopio NGINX
- Yn lawrlwytho gosodiadau TLS a argymhellir
- Yn rhedeg Certbot i gael tystysgrifau ar gyfer y wefan
- Yn ailgychwyn NGINX i ddefnyddio tystysgrifau
- Yn ffurfweddu Certbot i redeg bob dydd am 3:24 AM i wirio a oes angen adnewyddu tystysgrifau, ac os oes angen, lawrlwythwch dystysgrifau newydd ac ailgychwyn NGINX.
cod sgript
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiAddasiad ychwanegol o'ch gwefan
Buom yn siarad uchod am sut mae ein sgript yn ffurfweddu Uned NGINX ac NGINX i wasanaethu safle sy'n barod ar gyfer cynhyrchu gyda TLSSSL wedi'i alluogi. Gallwch hefyd, yn dibynnu ar eich anghenion, ychwanegu yn y dyfodol:
- cefnogaeth , gwell cywasgu ar-y-hedfan dros HTTPS
- с i atal ymosodiadau awtomataidd ar eich gwefan
- ar gyfer WordPress sy'n addas i chi
- gyda help (ar Ubuntu)
- Postfix neu msmtp fel y gall WordPress anfon post
- Gwirio'ch gwefan fel eich bod yn deall faint o draffig y gall ymdopi ag ef
Ar gyfer perfformiad safle hyd yn oed yn well, rydym yn argymell uwchraddio i , ein cynnyrch masnachol, gradd menter yn seiliedig ar ffynhonnell agored NGINX. Bydd ei danysgrifwyr yn derbyn modiwl Brotli wedi'i lwytho'n ddeinamig, yn ogystal ag (am ffi ychwanegol) . Rydym hefyd yn cynnig , modiwl WAF ar gyfer NGINX Plus yn seiliedig ar dechnoleg diogelwch sy'n arwain y diwydiant o F5.
DS I gefnogi safle llawn llwyth, gallwch gysylltu â'r arbenigwyr . Byddwn yn sicrhau gweithrediad cyflym a dibynadwy eich gwefan neu wasanaeth o dan unrhyw lwyth.
Ffynhonnell: hab.com