ProHoster > Blog > uprava > Automatiziranje instalacije WordPressa s NGINX jedinicom i Ubuntuom
Automatiziranje instalacije WordPressa s NGINX jedinicom i Ubuntuom
Postoji mnogo materijala o instaliranju WordPressa; Google pretraga za "WordPress install" vratit će oko pola milijuna rezultata. Međutim, zapravo postoji vrlo malo korisnih vodiča koji vam mogu pomoći da instalirate i konfigurirate WordPress i temeljni operativni sustav tako da mogu biti podržani tijekom dugog vremenskog razdoblja. Možda ispravne postavke uvelike ovise o specifičnim potrebama ili je to zbog činjenice da detaljno objašnjenje čini članak teškim za čitanje.
U ovom članku pokušat ćemo sastaviti najbolje od oba svijeta pružajući bash skriptu za automatsku instalaciju WordPressa na Ubuntu, i proći ćemo kroz nju, objašnjavajući što svaki dio radi i kompromise koje smo napravili u dizajnu to. Ako ste iskusan korisnik, možete preskočiti tekst članka i jednostavno uzeti scenarij za modificiranje i korištenje u vašim okruženjima. Izlaz skripte je prilagođena WordPress instalacija s podrškom za Lets Encrypt, koja radi na NGINX jedinici i prikladna je za industrijsku upotrebu.
Razvijena arhitektura za implementaciju WordPressa pomoću NGINX jedinice opisana je u stariji članak, sada ćemo također dodatno konfigurirati stvari koje tamo nisu bile pokrivene (kao u mnogim drugim tutorijalima):
WordPress CLI
Let's Encrypt i TLSSSL certifikati
Automatsko obnavljanje certifikata
NGINX predmemoriranje
NGINX kompresija
Podrška za HTTPS i HTTP/2
Automatizacija procesa
U članku će biti opisana instalacija na jednom poslužitelju na kojem će se istovremeno nalaziti poslužitelj za statičku obradu, poslužitelj za PHP obradu i baza podataka. Instalacija koja podržava više virtualnih računala i usluga potencijalna je tema za budućnost. Ako želite da pišemo o nečemu čega nema u ovim člancima, napišite u komentarima.
Zahtjevi
Poslužitelj spremnika (LXC ili LXD), virtualni stroj ili obični željezni poslužitelj s najmanje 512 MB RAM-a i instaliranim Ubuntu 18.04 ili novijim.
Internetski dostupni priključci 80 i 443
Naziv domene povezan s javnom IP adresom ovog poslužitelja
Root pristup (sudo).
Pregled arhitekture
Arhitektura je ista kao što je opisano ranije, troslojna web aplikacija. Sastoji se od PHP skripti koje se izvršavaju na PHP motoru i statičkih datoteka koje obrađuje web poslužitelj.
Opća načela
Mnoge konfiguracijske naredbe u skripti omotane su if uvjetima idempotencije: skripta se može pokrenuti više puta bez rizika od mijenjanja postavki koje su već spremne.
Skripta pokušava instalirati softver iz repozitorija, tako da možete primijeniti ažuriranja sustava u jednoj naredbi (apt upgrade za Ubuntu).
Timovi pokušavaju otkriti da rade u spremniku kako bi mogli promijeniti svoje postavke u skladu s tim.
Kako bi u postavkama odredio broj procesa niti koji će se pokrenuti, skripta pokušava pogoditi automatske postavke za rad u spremnicima, virtualnim strojevima i hardverskim poslužiteljima.
Prilikom opisa postavki uvijek prije svega mislimo na automatizaciju koja će, nadamo se, postati temelj za kreiranje vlastite infrastrukture kao koda.
Sve naredbe se izvode kao korisnik korijen, jer mijenjaju osnovne postavke sustava, ali izravno WordPress radi kao običan korisnik.
Postavljanje varijabli okoline
Postavite sljedeće varijable okoline prije pokretanja skripte:
WORDPRESS_DB_PASSWORD - Lozinka WordPress baze podataka
WORDPRESS_ADMIN_USER - Ime WordPress administratora
WORDPRESS_URL je puni URL WordPress stranice, počevši od https://.
LETS_ENCRYPT_STAGING — prazno prema zadanim postavkama, ali ako postavite vrijednost na 1, koristit ćete let's Encrypt's staging servere, koji su neophodni za često traženje certifikata prilikom testiranja vaših postavki, inače Let's Encrypt može privremeno blokirati vašu IP adresu zbog velikog broja zahtjeva.
Skripta provjerava jesu li te varijable povezane s WordPressom postavljene i izlazi ako nisu.
Linije skripte 572-576 provjeravaju vrijednost LETS_ENCRYPT_STAGING.
Postavljanje izvedenih varijabli okruženja
Skripta u redovima 55-61 postavlja sljedeće varijable okruženja, bilo na neku tvrdo kodiranu vrijednost ili pomoću vrijednosti dobivene iz varijabli postavljenih u prethodnom odjeljku:
DEBIAN_FRONTEND="noninteractive" - Kaže aplikacijama da se izvode u skripti i da ne postoji mogućnost interakcije korisnika.
WORDPRESS_CLI_VERSION="2.4.0" je verzija WordPress CLI aplikacije.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — kontrolni zbroj izvršne datoteke WordPress CLI 2.4.0 (verzija je navedena u varijabli WORDPRESS_CLI_VERSION). Skripta u retku 162 koristi ovu vrijednost za provjeru je li preuzeta ispravna WordPress CLI datoteka.
UPLOAD_MAX_FILESIZE="16M" - maksimalna veličina datoteke koja se može prenijeti na WordPress. Ova se postavka koristi na više mjesta, pa ju je lakše postaviti na jednom mjestu.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — naziv hosta sustava, izvađen iz varijable WORDPRESS_URL. Koristi se za dobivanje odgovarajućih TLS/SSL certifikata od Let's Encrypt, kao i za internu provjeru WordPressa.
NGINX_CONF_DIR="/etc/nginx" - put do direktorija s NGINX postavkama, uključujući glavnu datoteku nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — put do Let's Encrypt certifikata za WordPress stranicu, dobiven iz varijable TLS_HOSTNAME.
Dodjeljivanje naziva hosta WordPress poslužitelju
Skripta postavlja naziv hosta poslužitelja tako da odgovara nazivu domene web mjesta. Ovo nije potrebno, ali je praktičnije slati odlaznu poštu putem SMTP-a kada postavljate jedan poslužitelj, kako je konfigurirano skriptom.
kod skripte
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Dodavanje naziva hosta u /etc/hosts
Dodatak WP-Cron koji se koristi za pokretanje povremenih zadataka, zahtijeva da WordPress može sebi pristupiti putem HTTP-a. Kako bi WP-Cron ispravno radio u svim okruženjima, skripta dodaje red u datoteku / Etc / hoststako da WordPress može sam sebi pristupiti kroz povratno sučelje:
kod skripte
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Instaliranje alata potrebnih za sljedeće korake
Ostatak skripte zahtijeva neke programe i pretpostavlja da su repozitoriji ažurni. Ažuriramo popis repozitorija, nakon čega instaliramo potrebne alate:
kod skripte
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Dodavanje NGINX jedinice i NGINX repozitorija
Skripta instalira NGINX jedinicu i NGINX otvorenog koda iz službenih NGINX repozitorija kako bi se osiguralo da se koriste verzije s najnovijim sigurnosnim zakrpama i ispravcima grešaka.
Skripta dodaje repozitorij NGINX jedinica, a zatim NGINX repozitorij, dodajući ključ repozitorija i datoteke postavki apt, definiranje pristupa repozitoriju putem Interneta.
Stvarna instalacija NGINX jedinice i NGINX-a događa se u sljedećem odjeljku. Unaprijed dodajemo repozitorije tako da ne moramo ažurirati metapodatke više puta, što čini instalaciju bržom.
kod skripte
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Instaliranje NGINX-a, NGINX jedinice, PHP MariaDB-a, Certbota (Let's Encrypt) i njihovih ovisnosti
Nakon što su sva spremišta dodana, ažurirajte metapodatke i instalirajte aplikacije. Paketi instalirani skriptom također uključuju PHP proširenja preporučena pri pokretanju WordPress.org
kod skripte
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Postavljanje PHP-a za korištenje s NGINX jedinicom i WordPressom
Skripta stvara datoteku postavki u direktoriju konf.d. Ovo postavlja maksimalnu veličinu datoteke za PHP učitavanje, uključuje izlaz PHP pogrešaka u STDERR tako da će se zapisati u zapisnik NGINX jedinice i ponovno pokreće NGINX jedinicu.
kod skripte
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Postavljanje postavki MariaDB baze podataka za WordPress
Izabrali smo MariaDB umjesto MySQL-a jer ima više aktivnosti zajednice i također može prema zadanim postavkama pruža bolje performanse (Vjerojatno je ovdje sve jednostavnije: da biste instalirali MySQL, morate dodati još jedno spremište, cca. prevoditelj).
Skripta stvara novu bazu podataka i kreira vjerodajnice za pristup WordPressu kroz sučelje povratne petlje:
kod skripte
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Instalacija WordPress CLI programa
U ovom koraku skripta instalira program WP-CLI. Pomoću njega možete instalirati i upravljati postavkama WordPressa bez potrebe za ručnim uređivanjem datoteka, ažuriranjem baze podataka ili prijavom na upravljačku ploču. Također se može koristiti za instaliranje tema i dodataka te ažuriranje WordPressa.
kod skripte
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Instaliranje i konfiguriranje WordPressa
Skripta instalira najnoviju verziju WordPressa u direktorij /var/www/wordpress, a također mijenja postavke:
Veza s bazom podataka radi preko utičnice unix domene umjesto TCP-a na povratnoj petlji kako bi se smanjio TCP promet.
WordPress dodaje prefiks https:// na URL ako se klijenti povezuju na NGINX preko HTTPS-a, a također šalje udaljeni naziv glavnog računala (kao što daje NGINX) u PHP. Koristimo dio koda da to postavimo.
WordPress treba HTTPS za prijavu
Struktura URL-a tiho se temelji na resursima
Ispravna dopuštenja datotečnog sustava postavljena su za WordPress direktorij.
kod skripte
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Postavljanje NGINX jedinice
Skripta konfigurira NGINX jedinicu za pokretanje PHP-a i rukovanje WordPress stazama, izolirajući prostor naziva PHP procesa i optimizirajući postavke performansi. Postoje tri značajke na koje vrijedi obratiti pozornost:
Podrška za prostore imena određena je uvjetom, na temelju provjere izvodi li se skripta u spremniku. Ovo je neophodno jer većina postavki spremnika ne podržava ugniježđeno pokretanje spremnika.
Ako postoji podrška za prostore imena, onemogućite prostor imena mreža. Ovo je neophodno kako bi se omogućilo WordPressu da se istovremeno poveže s krajnjim točkama i bude dostupan na Internetu.
Maksimalni broj procesa definiran je na sljedeći način: (Dostupna memorija za pokretanje MariaDB i NGINX Uniy)/(RAM ograničenje u PHP-u + 5)
Ova je vrijednost postavljena u postavkama NGINX jedinice.
Ova vrijednost također implicira da su uvijek pokrenuta najmanje dva PHP procesa, što je važno jer WordPress sam sebi šalje puno asinkronih zahtjeva, a bez dodatnih procesa, pokretanje npr. WP-Cron-a će se pokvariti. Možda ćete htjeti povećati ili smanjiti ta ograničenja na temelju vaših lokalnih postavki, jer su ovdje stvorene postavke konzervativne. Na većini proizvodnih sustava postavke su između 10 i 100.
kod skripte
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Postavljanje NGINX-a
Konfiguriranje osnovnih NGINX postavki
Skripta stvara direktorij za NGINX predmemoriju, a zatim stvara glavnu konfiguracijsku datoteku nginx.conf. Obratite pozornost na broj procesa rukovatelja i postavku maksimalne veličine datoteke za preuzimanje. Tu je i linija na koju je povezana datoteka s postavkama kompresije, definirana u sljedećem odjeljku, nakon koje slijede postavke predmemoriranja.
Sažimanje sadržaja u hodu prije nego što se pošalje klijentima odličan je način za poboljšanje performansi stranice, ali samo ako je sažimanje ispravno konfigurirano. Ovaj dio skripte temelji se na postavkama stoga.
kod skripte
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Postavljanje NGINX-a za WordPress
Zatim skripta stvara konfiguracijsku datoteku za WordPress zadano.konf u katalogu konf.d. Ovdje je konfiguriran:
Aktivacija TLS certifikata primljenih od Let's Encrypt putem Certbota (konfiguracija će biti u sljedećem odjeljku)
Konfiguriranje TLS sigurnosnih postavki na temelju preporuka Let's Encrypt
Omogući predmemoriranje zahtjeva za preskakanje na 1 sat prema zadanim postavkama
Onemogućite bilježenje pristupa, kao i bilježenje grešaka ako datoteka nije pronađena, za dvije najčešće tražene datoteke: favicon.ico i robots.txt
Spriječite pristup skrivenim datotekama i nekim datotekama . PHPkako biste spriječili ilegalni pristup ili nenamjerno pokretanje
Onemogući bilježenje pristupa za statičke datoteke i datoteke fontova
Dodavanje usmjeravanja za index.php i druge statike.
kod skripte
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Postavljanje Certbota za certifikate tvrtke Let's Encrypt i njihovo automatsko obnavljanje
Certbot je besplatni alat Electronic Frontier Foundation (EFF) koji vam omogućuje dobivanje i automatsko obnavljanje TLS certifikata od Let's Encrypt. Skripta izvodi sljedeće korake za konfiguraciju Certbota za obradu certifikata iz Let's Encrypt u NGINX:
Zaustavlja NGINX
Preuzima preporučene TLS postavke
Pokreće Certbot za dobivanje certifikata za web mjesto
Ponovno pokreće NGINX za korištenje certifikata
Konfigurira Certbot za pokretanje svakog dana u 3:24 ujutro kako bi provjerio ima li obnova certifikata i, ako je potrebno, preuzeo nove certifikate i ponovno pokrenuo NGINX.
kod skripte
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Dodatna prilagodba vaše stranice
Gore smo govorili o tome kako naša skripta konfigurira NGINX i NGINX jedinicu za posluživanje stranice spremne za proizvodnju s omogućenim TLSSSL-om. Također možete, ovisno o vašim potrebama, dodati u budućnosti:
podrška Brotli, poboljšana kompresija u hodu preko HTTPS-a
Postfix ili msmtp kako bi WordPress mogao slati poštu
Provjera vaše stranice kako biste shvatili koliko prometa može podnijeti
Za još bolje performanse stranice, preporučujemo nadogradnju na NGINX Plus, naš komercijalni proizvod poslovne razine temeljen na NGINX-u otvorenog koda. Njegovi pretplatnici dobit će modul Brotli s dinamičkim učitavanjem, kao i (uz dodatnu naknadu) NGINX ModSecurity WAF. Također nudimo NGINX App Protect, WAF modul za NGINX Plus temeljen na vodećoj sigurnosnoj tehnologiji iz F5.
NB Za podršku web stranice s velikim opterećenjem možete kontaktirati stručnjake southbridge. Osigurat ćemo brz i pouzdan rad vaše web stranice ili usluge pod svim opterećenjima.