WordPressi installimise õpetusi on palju, Google'i otsing "WordPress install" annab umbes pool miljonit tulemust. Tegelikult on nende hulgas aga väga vähe häid juhendeid, mille järgi saab installida ja seadistada WordPressi ja selle aluseks olevat operatsioonisüsteemi nii, et need oleksid võimelised pikka aega toetama. Võib-olla sõltuvad õiged seaded suuresti konkreetsetest vajadustest või on see tingitud asjaolust, et üksikasjalik selgitus muudab artikli lugemise raskeks.
Selles artiklis proovime kombineerida mõlema maailma parimad küljed, pakkudes bash-skripti WordPressi automaatseks installimiseks Ubuntule, samuti jalutame selle läbi, selgitades, mida iga osa teeb, ja ka kompromisse, mida selle arendamisel tegime. . Kui olete edasijõudnud kasutaja, võite artikli teksti vahele jätta ja lihtsalt muutmiseks ja teie keskkondades kasutamiseks. Skripti väljund on kohandatud WordPressi installimine koos Lets Encrypti toega, mis töötab NGINX-üksuses ja sobib tootmiskasutuseks.
Väljatöötatud arhitektuuri WordPressi juurutamiseks NGINX-i üksuse abil kirjeldatakse artiklis , nüüd konfigureerime edasi ka asju, mida seal ei käsitletud (nagu paljudes teistes õpetustes):
- WordPressi CLI
- Krüpteerime ja TLSSSL-sertifikaadid
- Sertifikaatide automaatne uuendamine
- NGINX vahemällu salvestamine
- NGINX tihendamine
- HTTPS ja HTTP/2 tugi
- Protsessi automatiseerimine
Artiklis kirjeldatakse installimist ühte serverisse, mis majutab samaaegselt staatilist töötlemisserverit, PHP-töötlusserverit ja andmebaasi. Installimine, mis toetab mitut virtuaalset hosti ja teenust, on potentsiaalne tulevikuteema. Kui soovite, et kirjutaksime millestki, mida nendes artiklites pole, kirjutage kommentaaridesse.
Nõuded
- Konteinerserver ( või ), virtuaalne masin või tavaline raudserver, millel on vähemalt 512 MB muutmälu ja installitud Ubuntu 18.04 või uuem.
- Interneti-juurdepääsuga pordid 80 ja 443
- Selle serveri avaliku IP-aadressiga seotud domeeninimi
- Juurjuurdepääs (sudo).
Arhitektuuri ülevaade
Arhitektuur on sama, mis kirjeldatud , kolmetasandiline veebirakendus. See koosneb PHP-mootoris töötavatest PHP-skriptidest ja staatilistest failidest, mida veebiserver töötleb.
Üldpõhimõtted
- Paljud skripti konfiguratsioonikäsud on ümbritsetud idempotentsuse tingimustes: skripti saab käivitada mitu korda, ilma et oleks oht muuta juba olemasolevaid sätteid.
- Skript proovib installida tarkvara hoidlatest, nii et saate süsteemivärskendusi rakendada ühe käsuga (
apt upgradeUbuntu jaoks). - Käsud püüavad tuvastada, et need töötavad konteineris, et nad saaksid oma seadeid vastavalt muuta.
- Seadetes käivitatavate lõimeprotsesside arvu määramiseks proovib skript ära arvata konteinerites, virtuaalmasinates ja riistvaraserverites töötamise automaatsed sätted.
- Seadistuste kirjeldamisel mõtleme alati ennekõike automatiseerimisele, mis loodetavasti saab aluseks koodina oma infrastruktuuri loomisel.
- Kõik käsud käivitatakse kasutajana juur, sest need muudavad süsteemi põhiseadeid, kuid otse WordPress töötab tavakasutajana.
Keskkonnamuutujate seadistamine
Enne skripti käivitamist määrake järgmised keskkonnamuutujad:
WORDPRESS_DB_PASSWORD- WordPressi andmebaasi paroolWORDPRESS_ADMIN_USER- WordPressi administraatori nimiWORDPRESS_ADMIN_PASSWORD- WordPressi administraatori paroolWORDPRESS_ADMIN_EMAIL- WordPressi administraatori e-postWORDPRESS_URLon WordPressi saidi täielik URL, mis algab kellhttps://.LETS_ENCRYPT_STAGING- vaikimisi tühi, aga väärtuseks 1 määrates kasutate Let's Encrypt lavastusservereid, mis on vajalikud seadete testimisel sageli sertifikaatide küsimiseks, vastasel juhul võib Let's Encrypt teie ip-aadressi ajutiselt blokeerida suure päringute arvu tõttu .
Skript kontrollib, kas need WordPressiga seotud muutujad on määratud, ja väljub, kui mitte.
Skripti read 572–576 kontrollivad väärtust LETS_ENCRYPT_STAGING.
Tuletatud keskkonnamuutujate määramine
Ridadel 55–61 olev skript määrab järgmised keskkonnamuutujad, kas mõnele kõvakodeeritud väärtusele või kasutades väärtust, mis on saadud eelmises jaotises määratud muutujatest:
DEBIAN_FRONTEND="noninteractive"- Teatab rakendustele, et need töötavad skriptis ja et kasutaja interaktsioon puudub.WORDPRESS_CLI_VERSION="2.4.0"on WordPressi CLI rakenduse versioon.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"— WordPress CLI 2.4.0 käivitatava faili kontrollsumma (versioon on määratud muutujasWORDPRESS_CLI_VERSION). Rea 162 skript kasutab seda väärtust kontrollimaks, kas alla on laaditud õige WordPressi CLI-fail.UPLOAD_MAX_FILESIZE="16M"- maksimaalne failisuurus, mida saab WordPressis üles laadida. Seda seadet kasutatakse mitmes kohas, nii et seda on lihtsam ühes kohas määrata.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"- süsteemi hostinimi, mis on hangitud muutujast WORDPRESS_URL. Kasutatakse sobivate TLS/SSL-sertifikaatide hankimiseks ettevõttest Let's Encrypt, samuti sisemiseks WordPressi kinnituseks.NGINX_CONF_DIR="/etc/nginx"- tee NGINX-i sätetega kataloogi, sealhulgas põhifailnginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"— muutujast saadud WordPressi saidi Let's Encrypt sertifikaatide teeTLS_HOSTNAME.
WordPressi serverile hostinime määramine
Skript määrab serveri hostinime nii, et see ühtiks saidi domeeninimega. See pole vajalik, kuid ühe serveri seadistamisel on mugavam saata väljuvaid kirju SMTP kaudu, nagu skript on konfigureerinud.
skripti kood
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiHostinime lisamine failile /etc/hosts
Lisamine kasutatakse perioodiliste toimingute käitamiseks, nõuab WordPressi juurdepääsu HTTP kaudu. Veendumaks, et WP-Cron töötab kõigis keskkondades õigesti, lisab skript failile rea / Etc / hostset WordPress pääseks endale juurde tagasisilmusliidese kaudu:
skripti kood
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiJärgmiste sammude jaoks vajalike tööriistade paigaldamine
Ülejäänud skript vajab mõnda programmi ja eeldab, et hoidlad on ajakohased. Värskendame hoidlate loendit, mille järel installime vajalikud tööriistad:
skripti kood
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseNGINX üksuse ja NGINX hoidlate lisamine
Skript installib NGINX-i üksuse ja avatud lähtekoodiga NGINX-i ametlikest NGINX-i hoidlatest, et veenduda, et kasutatakse uusimate turvapaikade ja veaparandustega versioone.
Skript lisab NGINX-i hoidla ja seejärel NGINX-i hoidla, lisades hoidlate võtmed ja konfiguratsioonifailid apt, mis määratleb juurdepääsu hoidlatele Interneti kaudu.
NGINX-i üksuse ja NGINX-i tegelik installimine toimub järgmises jaotises. Eelnevalt lisame hoidlad, et me ei peaks metaandmeid mitu korda värskendama, mis muudab installimise kiiremaks.
skripti kood
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiNGINX-i, NGINX-i üksuse, PHP MariaDB, Certbot (Krüptime) ja nende sõltuvuste installimine
Kui kõik hoidlad on lisatud, värskendage metaandmeid ja installige rakendused. Skripti installitud paketid sisaldavad ka PHP-laiendusi, mida soovitatakse saidi WordPress.org käivitamisel
skripti kood
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverPHP seadistamine kasutamiseks NGINX üksuse ja WordPressiga
Skript loob kataloogis seadete faili konf. d. See määrab PHP üleslaaditavate failide maksimaalse suuruse, lülitab sisse PHP veaväljundi STDERR-i, nii et need kirjutatakse NGINX-i üksuse logisse, ja taaskäivitab NGINX-i üksuse.
skripti kood
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartMariaDB andmebaasi sätete määramine WordPressi jaoks
Oleme valinud MariaDB MySQL-i asemel, kuna sellel on rohkem kogukonna tegevust ja tõenäoliselt ka (ilmselt on siin kõik lihtsam: MySQL-i installimiseks peate lisama teise hoidla, u. tõlkija).
Skript loob uue andmebaasi ja loob mandaadid WordPressile loopback-liidese kaudu juurdepääsuks:
skripti kood
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"WordPressi CLI programmi installimine
Selles etapis installib skript programmi . Selle abil saate installida ja hallata WordPressi sätteid, ilma et peaksite faile käsitsi redigeerima, andmebaasi värskendama või juhtpaneelile sisenema. Seda saab kasutada ka teemade ja lisandmoodulite installimiseks ning WordPressi värskendamiseks.
skripti kood
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiWordPressi installimine ja konfigureerimine
Skript installib kataloogi WordPressi uusima versiooni /var/www/wordpressja muudab ka sätteid:
- Andmebaasiühendus töötab TCP-liikluse vähendamiseks tagasisilmuses TCP asemel unixi domeeni pesa kaudu.
- WordPress lisab eesliite https:// URL-ile, kui kliendid loovad ühenduse NGINX-iga HTTPS-i kaudu, ja saadavad ka serveri hostinime (nagu pakub NGINX) PHP-le. Selle seadistamiseks kasutame koodijuppi.
- WordPress vajab sisselogimiseks HTTPS-i
- URL-i vaikestruktuur põhineb ressurssidel
- Määrab WordPressi kataloogi failisüsteemis õiged õigused.
skripti kood
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiNGINX seadme seadistamine
Skript konfigureerib NGINX-i üksuse PHP käitamiseks ja WordPressi radade töötlemiseks, eraldades PHP protsessi nimeruumi ja optimeerides jõudluse sätteid. Siin on kolm funktsiooni, millele tähelepanu pöörata:
- Nimeruumide tugi määratakse tingimusega, mis põhineb kontrollimisel, kas skript töötab konteineris. See on vajalik, kuna enamik konteineri seadistusi ei toeta konteinerite pesastatud käivitamist.
- Kui nimeruumid on toetatud, keelake nimeruum võrk. See võimaldab WordPressil luua ühenduse mõlema lõpp-punktiga ja olla samal ajal veebis saadaval.
- Protsesside maksimaalne arv on määratletud järgmiselt: (Saadaolev mälu MariaDB ja NGINX Uniy käitamiseks)/(RAM-i limiit PHP + 5-s)
See väärtus määratakse NGINX-i üksuse seadetes.
See väärtus viitab ka sellele, et alati töötab vähemalt kaks PHP protsessi, mis on oluline, kuna WordPress teeb endale palju asünkroonseid päringuid ja ilma täiendavate protsessideta läheb nt WP-Croni käitamine katki. Võib-olla soovite neid limiite vastavalt kohalikele seadetele suurendada või vähendada, kuna siin loodud seaded on konservatiivsed. Enamikus tootmissüsteemides on seaded vahemikus 10 kuni 100.
skripti kood
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configNGINX-i seadistamine
NGINX-i põhiseadete konfigureerimine
Skript loob kataloogi NGINX-i vahemälu jaoks ja seejärel peamise konfiguratsioonifaili nginx.conf. Pöörake tähelepanu töötleja protsesside arvule ja üleslaaditava faili maksimaalse suuruse määramisele. Samuti on rida, mis sisaldab järgmises jaotises määratletud tihendusseadete faili, millele järgneb vahemällu salvestamise seaded.
skripti kood
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMNGINX-i tihendamise seadistamine
Sisu käigupealt tihendamine enne selle klientidele saatmist on suurepärane viis saidi jõudluse parandamiseks, kuid ainult siis, kui tihendamine on õigesti konfigureeritud. See skripti jaotis põhineb sätetel .
skripti kood
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMNGINX-i seadistamine WordPressi jaoks
Järgmisena loob skript WordPressi konfiguratsioonifaili default.conf kataloogis konf. d. See on konfigureeritud siin:
- Let's Encrypti kaudu Certboti kaudu saadud TLS-sertifikaatide aktiveerimine (seadistamine on järgmises jaotises)
- TLS-i turvaseadete konfigureerimine Let's Encrypt soovituste põhjal
- Luba vaikimisi 1 tunniks vahelejätmise taotluste vahemällu salvestamine
- Keela juurdepääsu logimine ja vigade logimine, kui faili ei leitud, kahe levinud taotletud faili puhul: favicon.ico ja robots.txt
- Takistage juurdepääs peidetud failidele ja mõnele failile . Phpet vältida ebaseaduslikku juurdepääsu või tahtmatut käivitamist
- Keela staatiliste ja fondifailide juurdepääsu logimine
- Päise seadistus fondifailide jaoks
- Marsruutimise lisamine index.php ja muu staatika jaoks.
skripti kood
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMCertboti seadistamine Let's Encrypti sertifikaatide jaoks ja nende automaatne uuendamine
on Electronic Frontier Foundationi (EFF) tasuta tööriist, mis võimaldab hankida ja automaatselt uuendada Let's Encrypti kaudu TLS-sertifikaate. Skript teeb järgmist, et konfigureerida Certbot töötlema Let's Encrypt sertifikaate NGINX-is:
- Peatab NGINX-i
- Laadib alla soovitatavad TLS-i seaded
- Käitab saidi sertifikaatide hankimiseks Certbot
- Taaskäivitab NGINX-i sertifikaatide kasutamiseks
- Seadistab Certbot töötama iga päev kell 3:24, et kontrollida, kas sertifikaate on vaja uuendada, ning vajadusel laadida alla uued sertifikaadid ja taaskäivitada NGINX.
skripti kood
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiTeie saidi täiendav kohandamine
Eespool rääkisime sellest, kuidas meie skript konfigureerib NGINX-i ja NGINX-i üksuse teenindama tootmisvalmis saiti, kus TLSSSL on lubatud. Olenevalt oma vajadustest saate tulevikus lisada ka:
- toetus , täiustatud kiire pakkimine HTTPS-i kaudu
- с automatiseeritud rünnakute vältimiseks teie saidil
- teile sobiva WordPressi jaoks
- abiga (Ubuntus)
- Postfix või msmtp, et WordPress saaks meile saata
- Kontrollige oma saiti, et mõistaksite, kui palju liiklust see talub
Saidi veelgi paremaks toimimiseks soovitame minna üle versioonile , meie kaubanduslik, ettevõtteklassi toode, mis põhineb avatud lähtekoodiga NGINX-il. Selle abonendid saavad dünaamiliselt laetud Brotli mooduli, samuti (lisatasu eest) . Pakume ka , NGINX Plusi WAF-moodul, mis põhineb F5 tööstusharu juhtival turvatehnoloogial.
NB Suure koormusega saidi toetamiseks võite võtta ühendust ekspertidega . Tagame teie veebisaidi või teenuse kiire ja usaldusväärse toimimise igasuguse koormuse korral.
Allikas: www.habr.com