ProHoster > Blog > Verwaltung > Automatisierung der WordPress-Installation mit NGINX Unit und Ubuntu
Automatisierung der WordPress-Installation mit NGINX Unit und Ubuntu
Es gibt viele Tutorials zur Installation von WordPress. Eine Google-Suche nach „WordPress-Installation“ liefert etwa eine halbe Million Ergebnisse. Tatsächlich gibt es darunter jedoch nur sehr wenige gute Anleitungen, nach denen man WordPress und das zugrunde liegende Betriebssystem so installieren und konfigurieren kann, dass sie über einen langen Zeitraum unterstützend sind. Möglicherweise hängen die richtigen Einstellungen stark von den spezifischen Anforderungen ab, oder es liegt daran, dass eine ausführliche Erklärung den Artikel schwer lesbar macht.
In diesem Artikel versuchen wir, das Beste aus beiden Welten zu kombinieren, indem wir ein Bash-Skript zur automatischen Installation von WordPress auf Ubuntu bereitstellen, es durchgehen und erklären, was jedes Teil tut und welche Kompromisse wir bei der Entwicklung eingegangen sind . Wenn Sie ein fortgeschrittener Benutzer sind, können Sie den Text des Artikels einfach überspringen Nimm das Drehbuch zur Änderung und Verwendung in Ihren Umgebungen. Die Ausgabe des Skripts ist eine benutzerdefinierte WordPress-Installation mit Lets Encrypt-Unterstützung, die auf NGINX Unit läuft und für den Produktionseinsatz geeignet ist.
Die entwickelte Architektur für die Bereitstellung von WordPress mithilfe der NGINX-Einheit wird in beschrieben älterer Artikel, jetzt werden wir auch Dinge weiter konfigurieren, die dort nicht behandelt wurden (wie in vielen anderen Tutorials):
WordPress-CLI
Let's Encrypt- und TLSSSL-Zertifikate
Automatische Zertifikatsverlängerung
NGINX-Caching
NGINX-Komprimierung
HTTPS- und HTTP/2-Unterstützung
Prozessautomatisierung
Der Artikel beschreibt die Installation auf einem Server, der gleichzeitig einen statischen Verarbeitungsserver, einen PHP-Verarbeitungsserver und eine Datenbank hostet. Eine Installation, die mehrere virtuelle Hosts und Dienste unterstützt, ist ein potenzielles Thema für die Zukunft. Wenn Sie möchten, dass wir über etwas schreiben, das nicht in diesen Artikeln enthalten ist, schreiben Sie es in die Kommentare.
Bedarf
Containerserver (LXC oder LXD), eine virtuelle Maschine oder ein normaler Iron-Server mit mindestens 512 MB RAM und installiertem Ubuntu 18.04 oder neuer.
Über das Internet zugängliche Ports 80 und 443
Domänenname, der der öffentlichen IP-Adresse dieses Servers zugeordnet ist
Root-Zugriff (sudo).
Architekturübersicht
Die Architektur ist die gleiche wie beschrieben früher, eine dreistufige Webanwendung. Es besteht aus PHP-Skripten, die auf der PHP-Engine ausgeführt werden, und statischen Dateien, die vom Webserver verarbeitet werden.
Allgemeine Grundsätze
Viele Konfigurationsbefehle in einem Skript sind in if-Bedingungen für Idempotenz eingeschlossen: Das Skript kann mehrmals ausgeführt werden, ohne dass das Risiko besteht, dass bereits vorhandene Einstellungen geändert werden.
Das Skript versucht, Software aus Repositorys zu installieren, sodass Sie Systemaktualisierungen mit einem Befehl anwenden können (apt upgrade für Ubuntu).
Befehle versuchen zu erkennen, dass sie in einem Container ausgeführt werden, damit sie ihre Einstellungen entsprechend ändern können.
Um in den Einstellungen die Anzahl der zu startenden Thread-Prozesse festzulegen, versucht das Skript, die automatischen Einstellungen für die Arbeit in Containern, virtuellen Maschinen und Hardware-Servern zu erraten.
Bei der Beschreibung von Einstellungen denken wir immer zuerst an die Automatisierung, die hoffentlich die Grundlage für die Erstellung Ihrer eigenen Infrastruktur als Code bilden wird.
Alle Befehle werden als Benutzer ausgeführt Wurzel, weil sie die grundlegenden Systemeinstellungen ändern, WordPress aber direkt als normaler Benutzer läuft.
Umgebungsvariablen festlegen
Legen Sie die folgenden Umgebungsvariablen fest, bevor Sie das Skript ausführen:
WORDPRESS_DB_PASSWORD - Passwort für die WordPress-Datenbank
WORDPRESS_ADMIN_USER - Benutzername des WordPress-Administrators
WORDPRESS_URL ist die vollständige URL der WordPress-Site, beginnend bei https://.
LETS_ENCRYPT_STAGING — standardmäßig leer, aber wenn Sie den Wert auf 1 setzen, verwenden Sie die Staging-Server von Let's Encrypt, die für die häufige Anforderung von Zertifikaten beim Testen Ihrer Einstellungen erforderlich sind. Andernfalls kann Let's Encrypt Ihre IP-Adresse aufgrund der großen Anzahl von Anfragen vorübergehend blockieren.
Das Skript prüft, ob diese WordPress-bezogenen Variablen gesetzt sind, und wird beendet, wenn nicht.
Die Skriptzeilen 572-576 prüfen den Wert LETS_ENCRYPT_STAGING.
Abgeleitete Umgebungsvariablen festlegen
Das Skript in den Zeilen 55–61 setzt die folgenden Umgebungsvariablen, entweder auf einen fest codierten Wert oder unter Verwendung eines Werts, der aus den im vorherigen Abschnitt festgelegten Variablen erhalten wurde:
DEBIAN_FRONTEND="noninteractive" – Teilt Anwendungen mit, dass sie in einem Skript ausgeführt werden und keine Möglichkeit einer Benutzerinteraktion besteht.
WORDPRESS_CLI_VERSION="2.4.0" ist die Version der WordPress-CLI-Anwendung.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — Prüfsumme der ausführbaren Datei von WordPress CLI 2.4.0 (die Version wird in der Variablen angegeben). WORDPRESS_CLI_VERSION). Das Skript in Zeile 162 verwendet diesen Wert, um zu überprüfen, ob die richtige WordPress-CLI-Datei heruntergeladen wurde.
UPLOAD_MAX_FILESIZE="16M" – die maximale Dateigröße, die in WordPress hochgeladen werden kann. Diese Einstellung wird an mehreren Stellen verwendet, daher ist es einfacher, sie an einer Stelle festzulegen.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" – System-Hostname, extrahiert aus der Variablen WORDPRESS_URL. Wird verwendet, um entsprechende TLS/SSL-Zertifikate von Let's Encrypt zu erhalten, sowie für die interne WordPress-Verifizierung.
NGINX_CONF_DIR="/etc/nginx" - Pfad zum Verzeichnis mit NGINX-Einstellungen, einschließlich der Hauptdatei nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" – der Pfad zu den Let's Encrypt-Zertifikaten für die WordPress-Site, der aus der Variablen erhalten wird TLS_HOSTNAME.
Zuweisen eines Hostnamens zu einem WordPress-Server
Das Skript legt den Hostnamen des Servers so fest, dass er mit dem Domänennamen der Site übereinstimmt. Dies ist nicht erforderlich, es ist jedoch bequemer, ausgehende E-Mails über SMTP zu versenden, wenn Sie einen einzelnen Server einrichten, wie vom Skript konfiguriert.
Skriptcode
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Hostnamen zu /etc/hosts hinzufügen
Zusatz WP-Cron Wird zum Ausführen regelmäßiger Aufgaben verwendet und erfordert, dass WordPress über HTTP auf sich selbst zugreifen kann. Um sicherzustellen, dass WP-Cron in allen Umgebungen ordnungsgemäß funktioniert, fügt das Skript der Datei eine Zeile hinzu / Etc / hostsdamit WordPress über die Loopback-Schnittstelle auf sich selbst zugreifen kann:
Skriptcode
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Installieren der für die folgenden Schritte erforderlichen Werkzeuge
Der Rest des Skripts benötigt einige Programme und geht davon aus, dass die Repositorys auf dem neuesten Stand sind. Wir aktualisieren die Liste der Repositorys und installieren anschließend die erforderlichen Tools:
Skriptcode
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Hinzufügen einer NGINX-Einheit und NGINX-Repositorys
Das Skript installiert NGINX Unit und Open-Source-NGINX aus den offiziellen NGINX-Repositorys, um sicherzustellen, dass die Versionen mit den neuesten Sicherheitspatches und Fehlerbehebungen verwendet werden.
Das Skript fügt das NGINX Unit-Repository und dann das NGINX-Repository hinzu und fügt den Repository-Schlüssel und die Konfigurationsdateien hinzu aptund definiert den Zugriff auf Repositories über das Internet.
Die eigentliche Installation von NGINX Unit und NGINX erfolgt im nächsten Abschnitt. Wir fügen die Repositorys vorab hinzu, damit wir die Metadaten nicht mehrmals aktualisieren müssen, was die Installation beschleunigt.
Skriptcode
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Installation von NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) und deren Abhängigkeiten
Sobald alle Repositorys hinzugefügt wurden, aktualisieren Sie die Metadaten und installieren Sie die Anwendungen. Die vom Skript installierten Pakete enthalten auch die PHP-Erweiterungen, die beim Ausführen von WordPress.org empfohlen werden
Skriptcode
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Einrichten von PHP für die Verwendung mit NGINX Unit und WordPress
Das Skript erstellt eine Einstellungsdatei im Verzeichnis conf.d. Dadurch wird die maximale Dateigröße für PHP-Uploads festgelegt, die Ausgabe von PHP-Fehlern auf STDERR aktiviert, sodass diese in das Protokoll der NGINX-Einheit geschrieben werden, und die NGINX-Einheit wird neu gestartet.
Skriptcode
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Festlegen der MariaDB-Datenbankeinstellungen für WordPress
Wir haben MariaDB gegenüber MySQL gewählt, da es mehr Community-Aktivität aufweist und dies wahrscheinlich auch tun wird Bietet standardmäßig eine bessere Leistung (wahrscheinlich ist hier alles einfacher: Um MySQL zu installieren, müssen Sie ein weiteres Repository hinzufügen, ca. Übersetzer).
Das Skript erstellt eine neue Datenbank und erstellt Anmeldeinformationen für den Zugriff auf WordPress über die Loopback-Schnittstelle:
Skriptcode
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Installieren des WordPress CLI-Programms
In diesem Schritt installiert das Skript das Programm WP-CLI. Damit können Sie WordPress-Einstellungen installieren und verwalten, ohne Dateien manuell bearbeiten, die Datenbank aktualisieren oder die Systemsteuerung aufrufen zu müssen. Es kann auch verwendet werden, um Themes und Add-ons zu installieren und WordPress zu aktualisieren.
Skriptcode
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
WordPress installieren und konfigurieren
Das Skript installiert die neueste Version von WordPress in einem Verzeichnis /var/www/wordpressund ändert auch die Einstellungen:
Die Datenbankverbindung funktioniert über einen Unix-Domänen-Socket statt über TCP im Loopback, um den TCP-Verkehr zu reduzieren.
WordPress fügt ein Präfix hinzu https:// an die URL, wenn Clients über HTTPS eine Verbindung zu NGINX herstellen, und sendet außerdem den Remote-Hostnamen (wie von NGINX bereitgestellt) an PHP. Wir verwenden einen Code, um dies einzurichten.
WordPress benötigt HTTPS für die Anmeldung
Die Standard-URL-Struktur basiert auf Ressourcen
Legt die richtigen Berechtigungen für das Dateisystem für das WordPress-Verzeichnis fest.
Skriptcode
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Einrichten der NGINX-Einheit
Das Skript konfiguriert die NGINX-Einheit für die Ausführung von PHP und die Verarbeitung von WordPress-Pfaden, isoliert den PHP-Prozess-Namespace und optimiert die Leistungseinstellungen. Hier gibt es drei Merkmale, auf die Sie achten sollten:
Die Namespace-Unterstützung wird durch die Bedingung bestimmt, basierend auf der Überprüfung, ob das Skript im Container ausgeführt wird. Dies ist notwendig, da die meisten Container-Setups die verschachtelte Ausführung von Containern nicht unterstützen.
Wenn Namespaces unterstützt werden, deaktivieren Sie den Namespace Netzwerk. Dies soll es WordPress ermöglichen, sich mit beiden Endpunkten zu verbinden und gleichzeitig im Web verfügbar zu sein.
Die maximale Anzahl an Prozessen ist wie folgt definiert: (Verfügbarer Speicher zum Ausführen von MariaDB und NGINX Uniy)/(RAM-Limit in PHP + 5)
Dieser Wert wird in den NGINX-Einheitseinstellungen festgelegt.
Dieser Wert impliziert auch, dass immer mindestens zwei PHP-Prozesse laufen, was wichtig ist, da WordPress viele asynchrone Anfragen an sich selbst stellt und ohne die Ausführung zusätzlicher Prozesse beispielsweise WP-Cron kaputt geht. Möglicherweise möchten Sie diese Grenzwerte basierend auf Ihren lokalen Einstellungen erhöhen oder verringern, da die hier erstellten Einstellungen konservativ sind. Auf den meisten Produktionssystemen liegen die Einstellungen zwischen 10 und 100.
Skriptcode
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
NGINX einrichten
Konfigurieren grundlegender NGINX-Einstellungen
Das Skript erstellt ein Verzeichnis für den NGINX-Cache und erstellt dann die Hauptkonfigurationsdatei nginx.conf. Achten Sie auf die Anzahl der Handler-Prozesse und die Einstellung der maximalen Dateigröße für den Download. Es gibt auch eine Zeile, in der die Datei mit den Komprimierungseinstellungen, die im nächsten Abschnitt definiert wird, verbunden ist, gefolgt von den Caching-Einstellungen.
Das Komprimieren von Inhalten vor dem Versenden an Kunden ist eine hervorragende Möglichkeit, die Leistung der Website zu verbessern, allerdings nur, wenn die Komprimierung richtig konfiguriert ist. Dieser Abschnitt des Skripts basiert auf Einstellungen daher.
Skriptcode
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
NGINX für WordPress einrichten
Als nächstes erstellt das Skript eine Konfigurationsdatei für WordPress default.conf im Katalog conf.d. Hier wird es konfiguriert:
Aktivieren von TLS-Zertifikaten, die Sie von Let's Encrypt über Certbot erhalten haben (die Einrichtung erfolgt im nächsten Abschnitt)
Konfigurieren der TLS-Sicherheitseinstellungen basierend auf Empfehlungen von Let's Encrypt
Aktivieren Sie standardmäßig das Caching von Skip-Anfragen für eine Stunde
Deaktivieren Sie die Zugriffsprotokollierung sowie die Fehlerprotokollierung, wenn die Datei nicht gefunden wird, für zwei häufig angeforderte Dateien: favicon.ico und robots.txt
Verhindern Sie den Zugriff auf versteckte Dateien und einige Dateien . Phpum illegalen Zugriff oder unbeabsichtigten Start zu verhindern
Deaktivieren Sie die Zugriffsprotokollierung für statische Dateien und Schriftartdateien
Hinzufügen von Routing für index.php und anderen Statiken.
Skriptcode
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Certbot für Zertifikate von Let's Encrypt einrichten und automatisch erneuern
Certbot ist ein kostenloses Tool der Electronic Frontier Foundation (EFF), mit dem Sie TLS-Zertifikate von Let's Encrypt erhalten und automatisch erneuern können. Das Skript führt Folgendes aus, um Certbot für die Verarbeitung von Zertifikaten von Let's Encrypt in NGINX zu konfigurieren:
Stoppt NGINX
Lädt empfohlene TLS-Einstellungen herunter
Führt Certbot aus, um Zertifikate für die Site abzurufen
Startet NGINX neu, um Zertifikate zu verwenden
Konfiguriert Certbot so, dass es täglich um 3:24 Uhr ausgeführt wird, um zu prüfen, ob Zertifikate erneuert werden müssen, und bei Bedarf neue Zertifikate herunterzuladen und NGINX neu zu starten.
Skriptcode
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Zusätzliche Anpassung Ihrer Website
Wir haben oben darüber gesprochen, wie unser Skript NGINX und NGINX Unit konfiguriert, um eine produktionsbereite Site mit aktiviertem TLSSSL bereitzustellen. Je nach Bedarf können Sie in Zukunft auch Folgendes hinzufügen:
Unterstützen Brotli, verbesserte On-the-Fly-Komprimierung über HTTPS
Postfix oder msmtp, damit WordPress E-Mails senden kann
Überprüfen Sie Ihre Website, damit Sie wissen, wie viel Traffic sie verarbeiten kann
Für eine noch bessere Website-Leistung empfehlen wir ein Upgrade auf NGINX Plus, unser kommerzielles Produkt für Unternehmen, basierend auf Open Source NGINX. Seine Abonnenten erhalten ein dynamisch geladenes Brotli-Modul sowie (gegen eine zusätzliche Gebühr) NGINX ModSecurity WAF. Wir bieten auch an NGINX App Protect, ein WAF-Modul für NGINX Plus, das auf der branchenführenden Sicherheitstechnologie von F5 basiert.
NB Für die Unterstützung einer stark ausgelasteten Website können Sie sich an die Spezialisten wenden Southbridge. Wir sorgen für einen schnellen und zuverlässigen Betrieb Ihrer Website oder Ihres Dienstes unter jeder Belastung.