ProHoster > Blog > Rianachd > A’ fèin-ghluasad stàladh WordPress le Aonad NGINX agus Ubuntu
A’ fèin-ghluasad stàladh WordPress le Aonad NGINX agus Ubuntu
Tha mòran chlasaichean oideachaidh ann air mar a stàlaicheas tu WordPress, thig sgrùdadh Google airson “WordPress install” gu timcheall air leth mhillean toradh. Ach, gu dearbh, tha glè bheag de stiùiridhean math nam measg, a rèir an urrainn dhut WordPress agus an siostam obrachaidh bunaiteach a stàladh agus a rèiteachadh gus am bi iad comasach air taic a thoirt dha airson ùine mhòr. Is dòcha gu bheil na roghainnean ceart gu mòr an urra ri feumalachdan sònraichte, no tha seo air sgàth gu bheil mìneachadh mionaideach ga dhèanamh duilich an artaigil a leughadh.
San artaigil seo, feuchaidh sinn ris a’ chuid as fheàrr den dà shaoghal a chur còmhla le bhith a’ toirt seachad sgriobt bash gus WordPress a chuir a-steach gu fèin-ghluasadach air Ubuntu, a bharrachd air coiseachd troimhe, a’ mìneachadh na bhios gach pìos a’ dèanamh, a bharrachd air na co-rèiteachaidhean a rinn sinn ann a bhith ga leasachadh. . Ma tha thu nad neach-cleachdaidh adhartach, faodaidh tu sgiobadh teacsa an artaigil agus dìreach gabh an sgriobt airson atharrachadh agus cleachdadh anns na h-àrainneachdan agad. Is e toradh an sgriobt stàladh àbhaisteach WordPress le taic Lets Encrypt, a’ ruith air Aonad NGINX agus freagarrach airson cleachdadh cinneasachaidh.
Tha an ailtireachd leasaichte airson WordPress a chleachdadh a’ cleachdadh Aonad NGINX air a mhìneachadh ann an artaigil nas sine, a-nis bidh sinn cuideachd a’ rèiteachadh rudan nach robh air an còmhdach an sin (mar ann an iomadh oideachadh eile):
WordPress CLI
Dèanamaid crioptachadh agus teisteanasan TLSSSL
Ath-nuadhachadh teisteanasan gu fèin-ghluasadach
NGINX tasgadh
Compression NGINX
Taic HTTPS agus HTTP/2
Automation phròiseas
Bheir an artaigil cunntas air an stàladh air aon fhrithealaiche, a bheir aoigheachd do fhrithealaiche giollachd statach, frithealaiche giollachd PHP, agus stòr-dàta aig an aon àm. Tha stàladh a bheir taic do dh’iomadh neach-aoigheachd agus seirbheis na chuspair a dh’ fhaodadh a bhith ann airson an ama ri teachd. Ma tha thu airson gun sgrìobh sinn mu rudeigin nach eil anns na h-artaigilean seo, sgrìobh anns na beachdan.
riatanasan
frithealaiche soithich (LXC no LXD), inneal brìgheil, no frithealaiche iarainn cunbhalach le co-dhiù 512MB de RAM agus Ubuntu 18.04 no nas ùire air a chuir a-steach.
Puirt ruigsinneach eadar-lìn 80 agus 443
Ainm fearainn co-cheangailte ri seòladh ip poblach an fhrithealaiche seo
Ruigsinneachd root (sudo).
Sealladh farsaing air ailtireachd
Tha an ailtireachd an aon rud mar a chaidh a mhìneachadh na bu thràithe, tagradh lìn trì-ìrean. Tha e air a dhèanamh suas de sgriobtaichean PHP a bhios a’ ruith air an einnsean PHP agus faidhlichean statach a tha air an giullachd leis an t-seirbheisiche lìn.
Prionnsapalan coitcheann
Tha mòran òrdughan rèiteachaidh ann an sgriobt air am pasgadh a-steach ma tha cumhachan airson neo-chomasachd: faodar an sgriobt a ruith iomadh uair gun a bhith cunnartach atharraich na roghainnean a tha ann mu thràth.
Bidh an sgriobt a’ feuchainn ri bathar-bog a chuir a-steach bho stòran, gus an urrainn dhut ùrachadh siostam a chuir an sàs ann an aon àithne (apt upgrade airson Ubuntu).
Bidh òrdughan a’ feuchainn ri faighinn a-mach gu bheil iad a’ ruith ann an soitheach gus an urrainn dhaibh na roghainnean aca atharrachadh a rèir sin.
Gus an àireamh de phròiseasan snàithlean a shuidheachadh airson tòiseachadh anns na roghainnean, bidh an sgriobt a’ feuchainn ri tomhas a dhèanamh air na roghainnean fèin-ghluasadach airson a bhith ag obair ann an soithichean, innealan mas-fhìor, agus frithealaichean bathar-cruaidh.
Nuair a bhios sinn a’ toirt cunntas air suidheachaidhean, bidh sinn an-còmhnaidh a’ smaoineachadh an-toiseach air fèin-ghluasad, a bhios, tha sinn an dòchas, mar bhunait airson do bhun-structar fhèin a chruthachadh mar chòd.
Tha a h-uile òrdugh air a ruith mar neach-cleachdaidh freumh, seach gu bheil iad ag atharrachadh roghainnean an t-siostaim bunaiteach, ach gu dìreach bidh WordPress a 'ruith mar neach-cleachdaidh cunbhalach.
A 'suidheachadh caochladairean àrainneachd
Suidhich na caochladairean àrainneachd a leanas mus ruith thu an sgriobt:
WORDPRESS_URL an e URL iomlan làrach-lìn WordPress, a’ tòiseachadh aig https://.
LETS_ENCRYPT_STAGING - falamh gu bunaiteach, ach le bhith a’ suidheachadh an luach gu 1, cleachdaidh tu na frithealaichean stèidse Let's Encrypt, a tha riatanach airson teisteanasan iarraidh gu tric nuair a thathar a’ dèanamh deuchainn air na roghainnean agad, air neo ma dh’ fhaodadh Let's Encrypt do sheòladh ip a bhacadh airson ùine mar thoradh air àireamh mhòr de dh’ iarrtasan .
Bidh an sgriobt a’ dèanamh cinnteach gu bheil na caochladairean co-cheangailte ri WordPress air an suidheachadh agus a’ falbh mura h-eil.
Bidh loidhnichean sgriobt 572-576 a’ sgrùdadh an luach LETS_ENCRYPT_STAGING.
A’ suidheachadh caochladairean àrainneachd stèidhichte
Tha an sgriobt air loidhnichean 55-61 a’ suidheachadh na caochladairean àrainneachd a leanas, an dàrna cuid gu luach le còd cruaidh no a’ cleachdadh luach a gheibhear bho na caochladairean a chaidh a shuidheachadh san earrann roimhe seo:
DEBIAN_FRONTEND="noninteractive" - Ag innse do thagraidhean gu bheil iad a’ ruith ann an sgriobt agus nach eil e comasach eadar-obrachadh le luchd-cleachdaidh.
WORDPRESS_CLI_VERSION="2.4.0" an dreach den tagradh WordPress CLI.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" - checksum den fhaidhle so-ghnìomhaichte WordPress CLI 2.4.0 (tha an dreach air a shònrachadh anns a’ chaochladair WORDPRESS_CLI_VERSION). Bidh an sgriobt air-loidhne 162 a’ cleachdadh an luach seo gus dèanamh cinnteach gu bheil am faidhle ceart WordPress CLI air a luchdachadh sìos.
UPLOAD_MAX_FILESIZE="16M" - am meud faidhle as àirde a ghabhas luchdachadh suas air WordPress. Tha an suidheachadh seo air a chleachdadh ann an grunn àiteachan, agus mar sin tha e nas fhasa a shuidheachadh ann an aon àite.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - ainm aoigheachd an t-siostaim, air fhaighinn air ais bhon chaochladair WORDPRESS_URL. Air a chleachdadh gus teisteanasan TLS / SSL iomchaidh fhaighinn bho Let's Encrypt a bharrachd air dearbhadh WordPress a-staigh.
NGINX_CONF_DIR="/etc/nginx" - slighe chun eòlaire le roghainnean NGINX, a’ toirt a-steach am prìomh fhaidhle nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" - an t-slighe gu teisteanasan Let's Encrypt airson làrach WordPress, a gheibhear bhon chaochladair TLS_HOSTNAME.
A’ sònrachadh ainm aoigheachd gu frithealaiche WordPress
Bidh an sgriobt a 'suidheachadh ainm aoigheachd an fhrithealaiche gus a bhith co-ionnan ri ainm àrainn na làraich. Chan eil seo riatanach, ach tha e nas fhasa post a chuir a-mach tro SMTP nuair a bhios tu a’ stèidheachadh aon fhrithealaiche, mar a tha air a rèiteachadh leis an sgriobt.
còd sgriobt
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
A’ cur ainm aoigheachd ri /etc/hosts
Cur-ris WP-Cron cleachdadh airson gnìomhan bho àm gu àm a ruith, feumaidh WordPress a bhith comasach air faighinn thuige tro HTTP. Gus dèanamh cinnteach gu bheil WP-Cron ag obair gu ceart air a h-uile àrainneachd, bidh an sgriobt a’ cur loidhne ris an fhaidhle / etc / hostsgus am faigh WordPress cothrom air fhèin tron eadar-aghaidh loopback:
còd sgriobt
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
A 'stàladh na h-innealan a tha a dhìth airson na h-ath cheumannan
Feumaidh an còrr den sgriobt cuid de phrògraman agus a’ gabhail ris gu bheil na tasgaidhean ùraichte. Bidh sinn ag ùrachadh liosta nan stòran, agus às deidh sin bidh sinn a’ stàladh na h-innealan riatanach:
còd sgriobt
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
A’ cur Aonad NGINX agus Stòran NGINX ris
Bidh an sgriobt a’ stàladh Aonad NGINX agus stòr fosgailte NGINX bho stòran oifigeil NGINX gus dèanamh cinnteach gu bheil na dreachan leis na pìosan tèarainteachd as ùire agus rèiteachadh bug air an cleachdadh.
Bidh an sgriobt a’ cur ris an ionad-stòraidh Aonad NGINX agus an uairsin stòr NGINX, a’ cur ris an iuchair tasgaidh agus na faidhlichean rèiteachaidh apt, a’ mìneachadh ruigsinneachd gu tasgaidhean tron eadar-lìn.
Bidh fìor stàladh Aonad NGINX agus NGINX a’ tachairt san ath earrann. Cuiridh sinn na tasgaidhean ro-làimh gus nach fheum sinn am meata-dàta ùrachadh iomadh uair, a nì an stàladh nas luaithe.
còd sgriobt
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
A’ stàladh NGINX, Aonad NGINX, PHP MariaDB, Certbot (Let's Encrypt) agus an eisimeileachd
Aon uair ‘s gu bheil na stòran gu lèir air an cur ris, ùraich am meata-dàta agus stàlaich na h-aplacaidean. Tha na pacaidean a chuir an sgriobt a-steach cuideachd a’ toirt a-steach na leudachain PHP a thathar a’ moladh nuair a bhios tu a’ ruith WordPress.org
còd sgriobt
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
A’ stèidheachadh PHP airson a chleachdadh le Aonad NGINX agus WordPress
Bidh an sgriobt a’ cruthachadh faidhle roghainnean san eòlaire dall. Bidh seo a’ suidheachadh am meud faidhle as àirde airson luchdachadh suas PHP, a’ tionndadh air toradh mearachd PHP gu STDERR gus an tèid an sgrìobhadh gu loga Aonad NGINX, agus ath-thòiseachadh Aonad NGINX.
còd sgriobt
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
A’ sònrachadh roghainnean stòr-dàta MariaDB airson WordPress
Tha sinn air MariaDB a thaghadh thairis air MySQL oir tha barrachd gnìomhachd coimhearsnachd aige agus tha e buailteach cuideachd a’ toirt seachad coileanadh nas fheàrr gu bunaiteach (is dòcha, tha a h-uile dad nas sìmplidh an seo: gus MySQL a stàladh, feumaidh tu stòr eile a chuir ris, mu thuairmeas. eadar-theangair).
Bidh an sgriobt a’ cruthachadh stòr-dàta ùr agus a’ cruthachadh teisteanasan gus faighinn gu WordPress tron eadar-aghaidh loopback:
còd sgriobt
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
A’ stàladh am prògram WordPress CLI
Aig a 'cheum seo, tha an sgriobt a' stàladh a 'phrògraim WP-CLI. Leis, faodaidh tu roghainnean WordPress a stàladh agus a riaghladh gun a bhith agad ri faidhlichean a dheasachadh le làimh, an stòr-dàta ùrachadh, no a dhol a-steach don phannal smachd. Faodar a chleachdadh cuideachd gus cuspairean agus tuilleadan a stàladh agus WordPress ùrachadh.
còd sgriobt
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
A 'stàladh agus a' rèiteachadh WordPress
Bidh an sgriobt a’ stàladh an dreach as ùire de WordPress ann an eòlaire /var/www/wordpressagus cuideachd ag atharrachadh nan roghainnean:
Bidh an ceangal stòr-dàta ag obair thairis air socaid fearainn unix an àite TCP air loopback gus gearradh sìos air trafaic TCP.
Bidh WordPress a’ cur ro-leasachan ris https:// chun URL ma tha luchd-cleachdaidh a 'ceangal ri NGINX thairis air HTTPS, agus cuideachd a' cur an t-ainm aoigheachd iomallach (mar a thug NGINX seachad) gu PHP. Cleachdaidh sinn pìos còd airson seo a stèidheachadh.
Feumaidh WordPress HTTPS airson logadh a-steach
Tha an structar URL bunaiteach stèidhichte air goireasan
Suidhich na ceadan ceart air an t-siostam faidhle airson an eòlaire WordPress.
còd sgriobt
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
A’ stèidheachadh Aonad NGINX
Bidh an sgriobt a’ rèiteachadh Aonad NGINX gus PHP a ruith agus slighean WordPress a phròiseasadh, a’ dealachadh àite ainm pròiseas PHP agus a’ dèanamh an fheum as fheàrr de shuidheachaidhean coileanaidh. Tha trì feartan ann airson coimhead a-mach an seo:
Tha taic airson ainmean-àite air a dhearbhadh le suidheachadh, stèidhichte air dèanamh cinnteach gu bheil an sgriobt a’ ruith ann an soitheach. Tha seo riatanach leis nach eil a’ mhòr-chuid de shuidheachaidhean shoithichean a’ toirt taic do chuir air bhog soithichean.
Ma tha taic ann airson ainmean-àite, cuir à comas an àrainn ainmean lìonra. Tha seo gus leigeil le WordPress ceangal ris an dà phuing crìochnachaidh agus a bhith rim faighinn air an lìon aig an aon àm.
Tha an àireamh as motha de phròiseasan air a mhìneachadh mar a leanas: (Cuimhne ri fhaighinn airson MariaDB agus NGINX Uniy a ruith) / (crìoch RAM ann am PHP + 5)
Tha an luach seo air a shuidheachadh ann an roghainnean Aonad NGINX.
Tha an luach seo cuideachd a’ ciallachadh gu bheil an-còmhnaidh co-dhiù dà phròiseas PHP a’ ruith, rud a tha cudromach leis gu bheil WordPress a’ dèanamh tòrr iarrtasan asyncronach dha fhèin, agus às aonais pròiseasan a bharrachd, a’ ruith me brisidh WP-Cron. Is dòcha gum bi thu airson na crìochan sin àrdachadh no ìsleachadh stèidhichte air na roghainnean ionadail agad, oir tha na roghainnean a chaidh a chruthachadh an seo glèidhte. Air a’ mhòr-chuid de shiostaman toraidh, tha na roghainnean eadar 10 agus 100.
còd sgriobt
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
A 'stèidheachadh NGINX
A’ rèiteachadh roghainnean bunaiteach NGINX
Bidh an sgriobt a’ cruthachadh eòlaire airson an tasgadan NGINX agus an uairsin a’ cruthachadh a’ phrìomh fhaidhle rèiteachaidh nginx.conf. Thoir aire don àireamh de phròiseasan làimhseachaidh agus suidheachadh meud faidhle as àirde airson luchdachadh suas. Tha loidhne ann cuideachd a tha a’ toirt a-steach am faidhle roghainnean teannachaidh a tha air a mhìneachadh san ath earrann, agus an uairsin na roghainnean caching.
Tha a bhith a’ teannachadh susbaint air an itealan mus tèid a chuir gu teachdaichean na dhòigh math air coileanadh làrach a leasachadh, ach dìreach ma tha teannachadh air a rèiteachadh gu ceart. Tha an earrann seo den sgriobt stèidhichte air roghainnean bho seo.
còd sgriobt
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Stèidhich NGINX airson WordPress
An uairsin, bidh an sgriobt a’ cruthachadh faidhle rèiteachaidh airson WordPress bunaiteach.conf anns a ’chatalog dall. Tha e air a rèiteachadh an seo:
A’ cur an gnìomh teisteanasan TLS a gheibhear bho Let's Encrypt tro Certbot (bidh a stèidheachadh san ath earrann)
A’ rèiteachadh roghainnean tèarainteachd TLS stèidhichte air molaidhean bho Let's Encrypt
Dèan comas air iarrtasan sgiob tasgadan airson 1 uair gu bunaiteach
Cuir à comas logadh ruigsinneachd, a bharrachd air logadh mhearachdan mura deach am faidhle a lorg, airson dà fhaidhle a chaidh iarraidh gu cumanta: favicon.ico agus robots.txt
Cuir casg air ruigsinneachd air faidhlichean falaichte agus cuid de fhaidhlichean .phpgus casg a chuir air ruigsinneachd mì-laghail no tòiseachadh gun dùil
Cuir à comas logadh ruigsinneachd airson faidhlichean statach agus cruth-clò
A’ cur ri slighe airson index.php agus staitichean eile.
còd sgriobt
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
A’ stèidheachadh Certbot airson teisteanasan bho Let's Encrypt agus gan ùrachadh gu fèin-ghluasadach
Certbot na inneal an-asgaidh bhon Electronic Frontier Foundation (EFF) a leigeas leat teisteanasan TLS fhaighinn agus ùrachadh gu fèin-ghluasadach bho Let's Encrypt. Bidh an sgriobt a’ dèanamh na leanas gus Certbot a rèiteachadh gus teisteanasan a phròiseasadh bho Let's Encrypt ann an NGINX:
A 'stad NGINX
Luchdaich sìos roghainnean TLS a thathar a’ moladh
A’ ruith Certbot gus teisteanasan fhaighinn airson na làraich
Ath-thòiseachadh NGINX gus teisteanasan a chleachdadh
A’ rèiteachadh Certbot gus ruith gach latha aig 3:24 AM gus faighinn a-mach a bheil feum air teisteanasan ùrachadh, agus ma tha sin riatanach, luchdaich sìos teisteanasan ùra agus ath-thòiseachadh NGINX.
còd sgriobt
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Gnàthachadh a bharrachd air an làrach agad
Bhruidhinn sinn gu h-àrd air mar a bhios an sgriobt againn a’ rèiteachadh Aonad NGINX agus NGINX gus làrach-lìn deiseil a fhrithealadh le TLSSSL air a chomasachadh. Faodaidh tu cuideachd, a rèir na feumalachdan agad, cuir ris san àm ri teachd:
taic Brotli, teannachadh nas fheàrr air-itealaich thairis air HTTPS
Postfix no msmtp gus an urrainn do WordPress post a chuir
Dèan sgrùdadh air an làrach agad gus an tuig thu na tha de thrafaig comasach air a làimhseachadh
Airson coileanadh làraich eadhon nas fheàrr, tha sinn a’ moladh ùrachadh gu NGINX Plus, ar toradh malairteach, ìre iomairt stèidhichte air stòr fosgailte NGINX. Gheibh an luchd-aontachaidh modal Brotli air a luchdachadh gu dinamach, a bharrachd air (airson cìs a bharrachd) NGINX ModSecurity WAF. Bidh sinn cuideachd a’ tabhann Dìon app NGINX, modal WAF airson NGINX Plus stèidhichte air teicneòlas tèarainteachd air thoiseach air gnìomhachas bho F5.
NB Airson taic do làrach làn luchdaichte, faodaidh tu fios a chuir gu na h-eòlaichean Drochaid a Deas. Nì sinn cinnteach gum bi an làrach-lìn no an t-seirbheis agad ag obair gu luath agus gu earbsach fo luchd sam bith.