WordPress instalazioa automatizatzea NGINX Unit eta Ubunturekin
WordPress instalatzeko material asko dago; "WordPress instalatu" Google bilaketak milioi erdi emaitza inguru emango ditu. Hala ere, WordPress eta azpiko sistema eragilea instalatzen eta konfiguratzen lagunduko dizuten gida erabilgarriak oso gutxi daude, denbora luzez lagundu ahal izateko. Beharbada, ezarpen zuzenak zure behar zehatzen araberakoak dira, edo azalpen zehatzak artikulua irakurtzea zaila egiten duelako izan daiteke.
Artikulu honetan, bi munduetako onena biltzen saiatuko gara, WordPress Ubuntun automatikoki instalatzeko bash script bat eskainiz, eta hortik ibiliko gara, pieza bakoitzak zer egiten duen eta diseinuan egin ditugun truke-offak azalduz. hura. Esperientziadun erabiltzailea bazara, artikuluaren testua saltatu dezakezu eta besterik gabe gidoia hartu zure inguruneetan aldatzeko eta erabiltzeko. Scriptaren irteera Lets Encrypt euskarria duen WordPress instalazio pertsonalizatua da, NGINX Unitatean exekutatzen dena eta erabilera industrialerako egokia.
NGINX Unitatea erabiliz WordPress inplementatzeko garatutako arkitektura honetan deskribatzen da artikulu zaharragoa, orain bertan landu ez ziren gauzak gehiago konfiguratuko ditugu (beste tutorial askotan bezala):
WordPress CLI
Enkriptatu ditzagun eta TLSSSL ziurtagiriak
Ziurtagiriaren berritze automatikoa
NGINX cachean gordetzea
NGINX konpresioa
HTTPS eta HTTP/2 euskarria
Prozesuen automatizazioa
Artikuluak zerbitzari batean instalazioa deskribatuko du, aldi berean prozesatzeko zerbitzari estatiko bat, PHP prozesatzeko zerbitzari bat eta datu-base bat hartuko dituena. Ostalari eta zerbitzu birtual anitzentzako euskarria duen instalazioa etorkizunerako gai potentziala da. Artikulu hauetan ez dagoen zerbaiti buruz idaztea nahi baduzu, idatzi iruzkinetan.
Baldintzak
Zerbitzariaren edukiontzia (LXC edo LXD), makina birtual bat edo hardware zerbitzari arrunt bat, gutxienez 512 MB RAM eta Ubuntu 18.04 edo berriagoa instalatuta.
Interneteko sarbidea duten 80 eta 443 portuak
Zerbitzari honen IP helbide publikoarekin lotutako domeinu-izena
Sarbidea root eskubideekin (sudo).
Arkitekturaren ikuspegi orokorra
Arkitektura deskribatutako berdina da lehenago, hiru mailatako web aplikazioa. PHP motorean exekutatutako PHP scriptek eta web zerbitzariak prozesatutako fitxategi estatikoek osatzen dute.
Printzipio orokorrak
Script bateko konfigurazio komando asko inpotentziarako baldintzetan biltzen dira: scripta hainbat aldiz exekutatu daiteke dagoeneko prest dauden ezarpenak aldatzeko arriskurik gabe.
Scripta biltegietatik softwarea instalatzen saiatzen da, sistemaren eguneraketak komando bakarrean aplika ditzakezu (apt upgrade Ubunturako).
Taldeak edukiontzi batean exekutatzen ari direla detektatzen saiatzen dira, haien ezarpenak horren arabera alda ditzaten.
Ezarpenetan abiarazi beharreko hari-prozesuen kopurua ezartzeko, script-a edukiontzietan, makina birtualetan eta hardware-zerbitzarietan lan egiteko ezarpen automatikoak asmatzen saiatzen da.
Ezarpenak deskribatzerakoan, beti pentsatzen dugu lehenik automatizazioan, zure azpiegitura kode gisa sortzeko oinarria izatea espero dugu.
Komando guztiak erabiltzailearengandik exekutatzen dira root, sistemaren oinarrizko ezarpenak aldatzen dituztelako, baina WordPress bera ohiko erabiltzaile gisa exekutatzen da.
Inguruko aldagaiak ezartzea
Ezarri ingurune-aldagai hauek scripta exekutatu aurretik:
LETS_ENCRYPT_STAGING β hutsik lehenespenez, baina balioa 1ean ezarriz gero, Let's Encrypt-en eszenatze-zerbitzariak erabiliko dituzu, beharrezkoak direnak zure ezarpenak probatzerakoan ziurtagiriak maiz eskatzeko, bestela Let's Encrypt-ek zure IP helbidea aldi baterako blokeatu dezake eskaera kopuru handia dela eta.
Scriptak WordPress erlazionatutako aldagai hauek ezarrita daudela egiaztatzen du eta ez badira irteten da.
Script-lerroek 572-576 balioa egiaztatzen dute LETS_ENCRYPT_STAGING.
Eratorritako ingurune-aldagaiak ezartzea
55-61 lerroetako scriptak ondoko ingurune-aldagaiak ezartzen ditu, kode gogorreko balio batean edo aurreko atalean ezarritako aldagaietatik eratorritako balio bat erabiliz:
DEBIAN_FRONTEND="noninteractive" β script batean exekutatzen ari direla esaten die aplikazioei eta ez dagoela erabiltzaileen interakziorako aukerarik.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" β WordPress CLI 2.4.0 fitxategi exekutagarriaren egiaztapen batura (bertsioa aldagaian adierazten da WORDPRESS_CLI_VERSION). 162. lerroko scriptak balio hau erabiltzen du WordPress CLI fitxategi zuzena deskargatu dela egiaztatzeko.
UPLOAD_MAX_FILESIZE="16M" β WordPress-era igo daitekeen gehienezko fitxategi-tamaina. Ezarpen hau hainbat lekutan erabiltzen da, beraz, errazagoa da leku batean ezartzea.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" β sistemaren ostalari-izena, WORDPRESS_URL aldagaitik aterata. Let's Encrypt-en TLS/SSL ziurtagiri egokiak lortzeko erabiltzen da, baita WordPress barneko egiaztapenerako ere.
NGINX_CONF_DIR="/etc/nginx" β NGINX ezarpenak dituen direktoriorako bidea, fitxategi nagusia barne nginx.conf.
Scriptak zerbitzariaren ostalari-izena ezartzen du, balioa gunearen domeinu-izenarekin bat etor dadin. Hau ez da beharrezkoa, baina erosoagoa da irteerako mezuak SMTP bidez bidaltzea zerbitzari bakarra konfiguratzean, scriptak konfiguratzen duen moduan.
gidoi kodea
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Ostalari-izena gehitzea /etc/hosts-en
Addition WP-Cron aldizkako zereginak exekutatzeko erabiltzen da, WordPress-ek bere burua HTTP bidez atzitzeko gai izatea eskatzen du. WP-Cronek ingurune guztietan behar bezala funtzionatzen duela ziurtatzeko, script-ak lerro bat gehitzen dio fitxategiari / Etc / hostsWordPress-ek loopback interfazearen bidez atzitu ahal izateko:
gidoi kodea
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Ondorengo urratsetarako beharrezkoak diren tresnak instalatzea
Gainerako scriptak programa batzuk behar ditu eta biltegiak eguneratuta daudela suposatzen du. Biltegien zerrenda eguneratzen dugu, eta, ondoren, beharrezko tresnak instalatzen ditugu:
gidoi kodea
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
NGINX Unitatea eta NGINX biltegiak gehitzea
Scriptak NGINX Unitatea eta kode irekiko NGINX NGINX biltegi ofizialetatik instalatzen ditu, azken segurtasun eguneraketak eta akatsen konponketak dituzten bertsioak erabiltzen direla ziurtatzeko.
Scriptak NGINX Unitatearen biltegia gehitzen du eta gero NGINX biltegia gehitzen du, biltegien gakoa eta ezarpen fitxategiak gehituz. apt, Internet bidez biltegietarako sarbidea definituz.
NGINX Unitatearen eta NGINXren benetako instalazioa hurrengo atalean gertatzen da. Biltegiak aurrez gehitzen ditugu metadatuak behin baino gehiagotan eguneratzea saihesteko, instalazioa azkarrago eginez.
gidoi kodea
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) eta haien mendekotasunak instalatzen
Biltegi guztiak gehitu ondoren, metadatuak eguneratzen ditugu eta aplikazioak instalatzen ditugu. Scriptak instalatutako paketeek WordPress.org exekutatzeko gomendatutako PHP luzapenak ere barne hartzen dituzte
gidoi kodea
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
PHP konfiguratzea NGINX Unit eta WordPress-ekin erabiltzeko
Scriptak ezarpen-fitxategi bat sortzen du direktorioan conf.d. Honek fitxategiak kargatzeko gehienezko tamaina ezartzen du PHPrako, PHP erroreak STDERR-era ateratzeko aukera ematen du, NGINX Unitatean erregistratuko dira eta NGINX Unitatea berrabiaraziko dute.
gidoi kodea
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
MariaDB MySQL baino gehiago aukeratu dugu komunitateko jarduera gehiago duelako eta gainera errendimendu hobea eskaintzen du lehenespenez (Ziurrenik, hemen dena errazagoa da: MySQL instalatzeko, beste biltegi bat gehitu behar duzu, gutxi gorabehera. itzultzailea).
Scriptak datu-base berri bat sortzen du eta WordPress sarbide-kredentzialak sortzen ditu loopback interfazearen bidez:
gidoi kodea
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
WordPress CLI programa instalatzea
Urrats honetan scriptak programa instalatzen du WP CLI. Honekin, WordPress ezarpenak instalatu eta kudeatu ditzakezu fitxategiak eskuz editatu, datu-basea eguneratu edo kontrol panelean saioa hasi beharrik gabe. Gaiak eta gehigarriak instalatzeko eta WordPress eguneratzeko ere erabil daiteke.
gidoi kodea
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
WordPress instalatzea eta konfiguratzea
Scriptak WordPress-en azken bertsioa instalatzen du direktorioan /var/www/wordpress, eta ezarpenak ere aldatzen ditu:
Datu-basearen konexioak unix domeinu-socket baten bidez funtzionatzen du TCP-ren loopback-an TCP trafikoa murrizteko.
WordPress-ek aurrizki bat gehitzen du https:// URLra bezeroak NGINX-ra HTTPS bidez konektatzen badira, eta urruneko ostalari-izena ere bidaltzen du (NGINX-ek emandako moduan) PHPra. Kode zati bat erabiltzen dugu hau konfiguratzeko.
WordPress-ek HTTPS behar du saioa hasteko
URL egitura isilean baliabideetan oinarritzen da
Fitxategi-sistemaren baimen zuzenak ezartzen dira WordPress direktoriorako.
gidoi kodea
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
NGINX Unitatea konfiguratzen
Scriptak NGINX Unitatea konfiguratzen du PHP exekutatzeko eta WordPress bideak kudeatzeko, PHP prozesuen izen-espazioa isolatuz eta errendimendu ezarpenak optimizatuz. Arreta ematea merezi duten hiru ezaugarri daude:
Izen-espazioen euskarria baldintzaren arabera zehazten da, script-a edukiontzian exekutatzen ari dela egiaztatzean oinarrituta. Beharrezkoa da edukiontzien konfigurazio gehienek ez dutelako edukiontzien habiaratuta exekutatzen onartzen.
Izen-espazioetarako laguntza badago, izen-eremua desgaituta dago sarea. Hau beharrezkoa da WordPress aldi berean amaierako puntuetara konektatzeko eta Interneten eskuragarri izateko.
Gehienezko prozesu kopurua honela zehazten da: (MariaDB eta NGINX Uniy exekutatzeko memoria erabilgarri dago)/(RAM muga PHP + 5-n)
Balio hau NGINX unitatearen ezarpenetan ezartzen da.
Balio honek ere esan nahi du gutxienez bi PHP prozesu exekutatzen ari direla, eta hori garrantzitsua da WordPress-ek eskaera asinkrono asko egiten dizkiolako bere buruari, eta prozesu gehigarririk abian jarri gabe, adibidez, WP-Cron hautsiko da. Baliteke muga horiek handitu edo txikitu nahi izatea tokiko ezarpenetan oinarrituta, hemen sortutako ezarpenak kontserbadoreak direlako. Produkzio-sistema gehienetan ezarpenak 10 eta 100 bitartekoak dira.
gidoi kodea
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
NGINX konfiguratzen
NGINX oinarrizko ezarpenak konfiguratzea
Scriptak NGINX cacherako direktorio bat sortzen du eta ondoren konfigurazio fitxategi nagusia sortzen du nginx.conf. Kontuan izan kudeatzaileen prozesu kopuruari eta deskargatzeko gehienezko fitxategi-tamainaren ezarpenari. Hurrengo atalean zehaztutako konpresio-ezarpenen fitxategia konektatzen den lerro bat ere badago, eta ondoren cachearen ezarpenak daude.
Bezeroei bidali aurretik edukia berehala konprimitzea gunearen errendimendua hobetzeko modu bikaina da, baina konpresioa behar bezala konfiguratuta badago soilik. Gidoiaren atal hau ezarpenetan oinarritzen da beraz,.
gidoi kodea
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
NGINX WordPress-erako konfiguratzea
Ondoren, scriptak WordPress-erako konfigurazio fitxategi bat sortzen du lehenetsia.konf katalogoan conf.d. Hemen konfiguratuta dago:
Let's Encrypt-etik jasotako TLS ziurtagiriak aktibatzea Certbot bidez (konfiguratzea hurrengo atalean izango da)
Desgaitu sarbide-erregistroa, baita errore-erregistroa ere fitxategia aurkitzen ez bada, eskatu ohi diren bi fitxategietarako: favicon.ico eta robots.txt
Ukatu ezkutuko fitxategietarako eta fitxategi batzuetarako sarbidea .phplegez kanpoko sarbidea edo nahi gabe abiaraztea ekiditeko
Desgaitu sarbide-erregistroa fitxategi estatikoetarako eta letra-tipoetarako
index.php eta beste estatiko batzuetarako bideratzea gehitzea.
gidoi kodea
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Let's Encrypt ziurtagirietarako Certbot konfiguratzea eta automatikoki berritzea
Certbot Electronic Frontier Foundation (EFF) erakundearen doako tresna da, Let's Encrypt-etik TLS ziurtagiriak eskuratu eta automatikoki berritzeko aukera ematen duena. Scriptak urrats hauek egiten ditu Certbot konfiguratzeko Let's Encrypt-en NGINX-en ziurtagiriak prozesatzeko:
NGINX gelditzen da
Deskargatu gomendatutako TLS ezarpenak
Certbot exekutatzen du gunerako ziurtagiriak lortzeko
NGINX berrabiarazten du ziurtagiriak erabiltzeko
Certbot egunero 3:24etan exekutatzeko konfiguratzen du ziurtagiriak berritzen diren egiaztatzeko eta, behar izanez gero, ziurtagiri berriak deskargatzeko eta NGINX berrabiarazteko.
gidoi kodea
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Zure webgunearen pertsonalizazio gehigarria
Goian hitz egin dugu gure script-ak NGINX eta NGINX Unitatea nola konfiguratzen dituen produkziorako prest dagoen webgune bat TLSSSL gaituta edukitzeko. Etorkizunean, zure beharren arabera, gehitu dezakezu:
Laguntza Brotli, etengabeko konpresioa hobetu da HTTPS-en gainean
Zure gunea egiaztatzea zenbat trafiko kudeatu dezakeen ulertzeko
Gunearen errendimendu hobea lortzeko, bertsiora eguneratzea gomendatzen dugu NGINX Plus, NGINX iturburu irekian oinarritutako gure enpresa mailako produktu komertziala. Bere harpidedunek dinamikoki kargatutako Brotli modulua jasoko dute, baita (kuota gehigarri baten truke) NGINX ModSecurity WAF. Guk ere eskaintzen dugu NGINX aplikazioa babestea, NGINX Plus-erako WAF modulua F5-ren sektoreko segurtasun teknologian oinarrituta.
Oharra Karga handiko webgune baten laguntza lortzeko, espezialistekin harremanetan jar zaitezke Southbridge. Zure webgunearen edo zerbitzuaren funtzionamendu azkarra eta fidagarria ziurtatuko dugu edozein kargatan.