Automatisering af WordPress-installation med NGINX Unit og Ubuntu
Der er meget materiale derude om installation af WordPress; en Google-søgning efter "WordPress install" vil returnere omkring en halv million resultater. Men der er faktisk meget få nyttige guider derude, som kan hjælpe dig med at installere og konfigurere WordPress og det underliggende operativsystem, så de kan understøttes over en længere periode. Måske afhænger de korrekte indstillinger i høj grad af dine specifikke behov, eller det kan være fordi den detaljerede forklaring gør artiklen svær at læse.
I denne artikel vil vi forsøge at sammensætte det bedste fra begge verdener ved at levere et bash-script til automatisk at installere WordPress på Ubuntu, og vi vil gennemgå det og forklare, hvad hvert stykke gør, og de afvejninger, vi lavede med at designe det. Hvis du er en erfaren bruger, kan du springe artiklens tekst over og bare tag manuskriptet til ændring og brug i dine miljøer. Outputtet af scriptet er en brugerdefineret WordPress-installation med Lets Encrypt-understøttelse, der kører på NGINX Unit og er velegnet til industriel brug.
Den udviklede arkitektur til implementering af WordPress ved hjælp af NGINX Unit er beskrevet i ældre artikel, nu vil vi også yderligere konfigurere ting, der ikke var dækket der (som i mange andre tutorials):
WordPress CLI
Lad os kryptere og TLSSSL-certifikater
Automatisk fornyelse af certifikater
NGINX caching
NGINX komprimering
HTTPS og HTTP/2 understøttelse
Procesautomatisering
Artiklen vil beskrive installation på én server, som samtidigt vil være vært for en statisk behandlingsserver, en PHP-behandlingsserver og en database. Installation med understøttelse af flere virtuelle værter og tjenester er et potentielt emne for fremtiden. Hvis du vil have os til at skrive om noget, der ikke er i disse artikler, så skriv i kommentarerne.
Krav
Container server (LXC eller LXD), en virtuel maskine eller en almindelig hardwareserver med mindst 512 MB RAM og Ubuntu 18.04 eller nyere installeret.
Internettilgængelige porte 80 og 443
Domænenavnet, der er knyttet til den offentlige IP-adresse på denne server
Adgang med root-rettigheder (sudo).
Arkitektur oversigt
Arkitekturen er den samme som beskrevet tidligere, en tre-tiers webapplikation. Den består af PHP-scripts, der kører på PHP-motoren, og statiske filer, der behandles af webserveren.
Generelle principper
Mange konfigurationskommandoer i et script er pakket ind i betingelser for idempotens: scriptet kan køres flere gange uden risiko for at ændre indstillinger, der allerede er klar.
Scriptet forsøger at installere software fra arkiver, så du kan anvende systemopdateringer i én kommando (apt upgrade til Ubuntu).
Kommandoer forsøger at registrere, at de kører i en container, så de kan ændre deres indstillinger i overensstemmelse hermed.
For at indstille antallet af trådprocesser, der skal starte i indstillingerne, forsøger scriptet at gætte de automatiske indstillinger for arbejde i containere, virtuelle maskiner og hardwareservere.
Når vi beskriver indstillinger, tænker vi altid først og fremmest på automatisering, som, vi håber, bliver grundlaget for at skabe din egen infrastruktur som kode.
Alle kommandoer køres fra brugeren rod, fordi de ændrer de grundlæggende systemindstillinger, men WordPress selv kører som en almindelig bruger.
Indstilling af miljøvariabler
Indstil følgende miljøvariabler, før du kører scriptet:
WORDPRESS_URL – fuld URL på WordPress-webstedet, startende med https://.
LETS_ENCRYPT_STAGING — tomme som standard, men ved at sætte værdien til 1, vil du bruge Let's Encrypts staging-servere, som er nødvendige for hyppigt at anmode om certifikater, når du tester dine indstillinger, ellers kan Let's Encrypt midlertidigt blokere din IP-adresse på grund af det store antal anmodninger.
Scriptet kontrollerer, at disse WordPress-relaterede variabler er indstillet og afsluttes, hvis ikke.
Scriptlinje 572-576 kontrollerer værdien LETS_ENCRYPT_STAGING.
Indstilling af afledte miljøvariabler
Scriptet på linje 55-61 indstiller følgende miljøvariabler, enten til en eller anden hårdkodet værdi eller ved hjælp af en værdi, der er afledt af variablerne i det foregående afsnit:
DEBIAN_FRONTEND="noninteractive" — fortæller applikationer, at de kører i et script, og der er ingen mulighed for brugerinteraktion.
WORDPRESS_CLI_VERSION="2.4.0" er versionen af WordPress CLI-applikationen.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — kontrolsum for WordPress CLI 2.4.0 eksekverbare fil (versionen er angivet i variablen WORDPRESS_CLI_VERSION). Scriptet på linje 162 bruger denne værdi til at kontrollere, at den korrekte WordPress CLI-fil er blevet downloadet.
UPLOAD_MAX_FILESIZE="16M" — den maksimale filstørrelse, der kan uploades til WordPress. Denne indstilling bruges flere steder, så det er nemmere at sætte den ét sted.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — systemværtsnavn, ekstraheret fra variablen WORDPRESS_URL. Bruges til at opnå passende TLS/SSL-certifikater fra Let's Encrypt, samt til intern WordPress-verifikation.
NGINX_CONF_DIR="/etc/nginx" — sti til mappen med NGINX-indstillinger, inklusive hovedfilen nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — sti til Let's Encrypt-certifikater for WordPress-webstedet, hentet fra variablen TLS_HOSTNAME.
Tildeling af et værtsnavn til en WordPress-server
Scriptet indstiller serverens værtsnavn til at matche webstedets domænenavn. Dette er ikke påkrævet, men det er mere praktisk at sende udgående mail via SMTP, når du opsætter en enkelt server, som konfigureret af scriptet.
script kode
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Tilføjelse af værtsnavn til /etc/hosts
Addition WP-Cron bruges til at køre periodiske opgaver, kræver, at WordPress kan tilgå sig selv via HTTP. For at sikre, at WP-Cron fungerer korrekt i alle miljøer, tilføjer scriptet en linje til filen / Etc / hostsså WordPress kan få adgang til sig selv via loopback-grænsefladen:
script kode
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Installation af de nødvendige værktøjer til de næste trin
Resten af scriptet har brug for nogle programmer og antager, at depoterne er opdaterede. Vi opdaterer listen over depoter, hvorefter vi installerer de nødvendige værktøjer:
script kode
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Tilføjelse af NGINX Unit og NGINX repositories
Scriptet installerer NGINX Unit og open source NGINX fra de officielle NGINX repositories for at sikre, at versionerne med de seneste sikkerhedsrettelser og fejlrettelser bruges.
Scriptet tilføjer NGINX Unit repository og derefter NGINX repository, tilføjer repository nøglen og konfigurationsfiler apt, der definerer adgang til arkiver via internettet.
Selve installationen af NGINX Unit og NGINX finder sted i næste afsnit. Vi tilføjer lagrene på forhånd, så vi ikke skal opdatere metadataene flere gange, hvilket gør installationen hurtigere.
script kode
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Installation af NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) og deres afhængigheder
Når alle depoterne er tilføjet, opdaterer vi metadataene og installerer applikationerne. Pakkerne, der er installeret af scriptet, inkluderer også PHP-udvidelser, der anbefales, når du kører WordPress.org
script kode
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Opsætning af PHP til brug med NGINX Unit og WordPress
Scriptet opretter en indstillingsfil i mappen conf.d. Dette indstiller den maksimale filoverførselsstørrelse for PHP, gør det muligt at udlæse PHP-fejl til STDERR, så de bliver logget på NGINX-enheden, og genstarter NGINX-enheden.
script kode
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Indstilling af MariaDB-databaseindstillinger for WordPress
Vi har valgt MariaDB frem for MySQL, da det har mere fællesskabsaktivitet og sandsynligvis også vil giver bedre ydeevne som standard (Sandsynligvis er alt enklere her: for at installere MySQL skal du tilføje et andet lager, ca. oversætter).
Scriptet opretter en ny database og opretter WordPress-adgangsoplysninger via loopback-grænsefladen:
script kode
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Installation af WordPress CLI-programmet
På dette trin installerer scriptet programmet WP-CLI. Med den kan du installere og administrere WordPress-indstillinger uden at skulle redigere filer manuelt, opdatere databasen eller gå ind i kontrolpanelet. Det kan også bruges til at installere temaer og tilføjelser og opdatere WordPress.
script kode
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Installation og konfiguration af WordPress
Scriptet installerer den seneste version af WordPress i mappen /var/www/wordpress, og ændrer også indstillingerne:
Databaseforbindelsen fungerer over unix-domæne-socket i stedet for TCP på loopback for at skære ned på TCP-trafik.
WordPress tilføjer et præfiks https:// til URL'en, hvis klienter opretter forbindelse til NGINX over HTTPS, og sender også fjernværtsnavnet (som leveret af NGINX) til PHP. Vi bruger et stykke kode til at sætte dette op.
WordPress har brug for HTTPS for at logge ind
URL-struktur er lydløst ressourcebaseret
Korrekte filsystemtilladelser er indstillet til WordPress-biblioteket.
script kode
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Opsætning af NGINX Unit
Scriptet konfigurerer NGINX Unit til at køre PHP og håndtere WordPress-stier, isolere navneområdet for PHP-processer og optimere ydeevneindstillinger. Der er tre funktioner, der er værd at være opmærksomme på:
Understøttelse af navnerum bestemmes af betingelse, baseret på kontrol af, at scriptet kører i en container. Dette er nødvendigt, fordi de fleste containeropsætninger ikke understøtter indlejret lancering af containere.
Hvis der er understøttelse af navneområder, skal du deaktivere navneområdet netværk. Dette er for at give WordPress mulighed for at oprette forbindelse til begge endepunkter og være tilgængelig på nettet på samme tid.
Det maksimale antal processer bestemmes som følger: (Tilgængelig hukommelse til at køre MariaDB og NGINX Uniy)/(RAM-grænse i PHP + 5)
Denne værdi er indstillet i NGINX Unit-indstillingerne.
Denne værdi indebærer også, at der altid kører mindst to PHP-processer, hvilket er vigtigt, fordi WordPress laver mange asynkrone anmodninger til sig selv, og uden yderligere processer, der kører, vil WP-Cron for eksempel gå i stykker. Du ønsker måske at øge eller mindske disse grænser baseret på dine lokale indstillinger, fordi de indstillinger, der oprettes her, er konservative. På de fleste produktionssystemer er indstillingerne mellem 10 og 100.
script kode
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Opsætning af NGINX
Konfiguration af grundlæggende NGINX-indstillinger
Scriptet opretter en mappe til NGINX-cachen og opretter derefter hovedkonfigurationsfilen nginx.conf. Vær opmærksom på antallet af behandlerprocesser og indstillingen af den maksimale filstørrelse for upload. Der er også en linje, der inkluderer komprimeringsindstillingsfilen defineret i næste afsnit, efterfulgt af cacheindstillingerne.
At komprimere indhold på farten, før det sendes til klienter, er en fantastisk måde at forbedre webstedets ydeevne på, men kun hvis komprimeringen er konfigureret korrekt. Denne del af scriptet er baseret på indstillingerne dermed.
script kode
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Opsætning af NGINX til WordPress
Dernæst opretter scriptet en konfigurationsfil til WordPress default.conf i kataloget conf.d. Her er det konfigureret:
Aktivering af TLS-certifikater modtaget fra Let's Encrypt via Certbot (opsætning af det vil være i næste afsnit)
Konfigurer TLS-sikkerhedsindstillinger baseret på anbefalinger fra Let's Encrypt
Aktiver caching spring anmodninger i 1 time som standard
Deaktiver adgangslogning, samt fejllogning, hvis filen ikke findes, for to almindelige anmodede filer: favicon.ico og robots.txt
Nægt adgang til skjulte filer og nogle filer . Phpfor at forhindre ulovlig adgang eller utilsigtet start
Deaktiver adgangslogning for statiske filer og skrifttypefiler
Tilføjelse af routing for index.php og anden statik.
script kode
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Konfiguration af Certbot til Let's Encrypt-certifikater og automatisk fornyelse af dem
Certbot er et gratis værktøj fra Electronic Frontier Foundation (EFF), der giver dig mulighed for at få og automatisk forny TLS-certifikater fra Let's Encrypt. Scriptet udfører følgende trin for at konfigurere Certbot til at behandle certifikater fra Let's Encrypt in NGINX:
Stopper NGINX
Downloader anbefalede TLS-indstillinger
Kører Certbot for at få certifikater til webstedet
Genstarter NGINX for at bruge certifikater
Konfigurerer Certbot til at køre dagligt kl. 3:24 for at tjekke for certifikatfornyelser og om nødvendigt downloade nye certifikater og genstarte NGINX.
script kode
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Yderligere tilpasning af dit websted
Vi talte ovenfor om, hvordan vores script konfigurerer NGINX og NGINX Unit til at betjene et produktionsklart websted med TLSSSL aktiveret. Du kan også, afhængigt af dine behov, tilføje i fremtiden:
support Overtrædelse, forbedret on-the-fly komprimering over HTTPS
Tjek dit websted, så du forstår, hvor meget trafik det kan håndtere
For endnu bedre webstedsydelse anbefaler vi at opgradere til NGINX Plus, vores kommercielle produkt i virksomhedskvalitet baseret på open source NGINX. Dens abonnenter vil modtage et dynamisk indlæst Brotli-modul samt (mod et ekstra gebyr) NGINX ModSecurity WAF. Vi tilbyder også NGINX App Protect, et WAF-modul til NGINX Plus baseret på brancheførende sikkerhedsteknologi fra F5.
NB For at få support til et højt belastet websted kan du kontakte specialister Southbridge. Vi vil sikre hurtig og pålidelig drift af din hjemmeside eller service under enhver belastning.