Það er mikið af efni þarna úti um uppsetningu WordPress; Google leit að „WordPress install“ mun skila um hálfri milljón niðurstöðum. Hins vegar eru í raun mjög fáar gagnlegar leiðbeiningar þarna úti sem geta hjálpað þér að setja upp og stilla WordPress og undirliggjandi stýrikerfi þannig að hægt sé að styðja þau í langan tíma. Kannski eru réttar stillingar mjög háðar sérstökum þörfum þínum, eða það kann að vera vegna þess að ítarleg útskýring gerir greinina erfiða að lesa.
Í þessari grein munum við reyna að setja saman það besta af báðum heimum með því að útvega bash skriftu til að setja WordPress sjálfkrafa upp á Ubuntu, og við munum ganga í gegnum það, útskýra hvað hvert verk gerir og hvaða málamiðlun við gerðum við hönnun það. Ef þú ert reyndur notandi geturðu sleppt texta greinarinnar og bara til að breyta og nota í þínu umhverfi. Framleiðsla handritsins er sérsniðin WordPress uppsetning með Lets Encrypt stuðningi, keyrandi á NGINX Unit og hentug til iðnaðarnota.
Þróuðum arkitektúr til að dreifa WordPress með því að nota NGINX Unit er lýst í , við munum nú einnig stilla frekar hluti sem ekki var fjallað um þar (eins og í mörgum öðrum námskeiðum):
- WordPress CLI
- Við skulum dulkóða og TLSSSL vottorð
- Sjálfvirk endurnýjun skírteina
- NGINX skyndiminni
- NGINX þjöppun
- HTTPS og HTTP/2 stuðningur
- Sjálfvirkni ferli
Greinin mun lýsa uppsetningu á einum netþjóni, sem hýsir samtímis kyrrstöðuvinnsluþjón, PHP vinnsluþjón og gagnagrunn. Uppsetning með stuðningi fyrir marga sýndargestgjafa og þjónustu er hugsanlegt umræðuefni í framtíðinni. Ef þú vilt að við skrifum um eitthvað sem er ekki í þessum greinum skaltu skrifa í athugasemdirnar.
Kröfur
- Miðlaragámur ( eða ), sýndarvél, eða venjulegur vélbúnaðarþjónn, með að minnsta kosti 512MB af vinnsluminni og Ubuntu 18.04 eða nýlegri uppsett.
- Netaðgengilegar tengi 80 og 443
- Lénið sem tengist opinberu IP-tölu þessa netþjóns
- Aðgangur með rótarréttindum (sudo).
Yfirlit yfir arkitektúr
Arkitektúrinn er sá sami og lýst er , þriggja hæða vefforrit. Það samanstendur af PHP forskriftum sem keyrt eru á PHP vélinni og kyrrstæðum skrám sem unnar eru af vefþjóninum.
Almennar reglur
- Margar stillingarskipanir í skriftu eru pakkaðar inn ef skilyrði eru fyrir óstyrk: hægt er að keyra skriftuna margsinnis án þess að eiga á hættu að breyta stillingum sem þegar eru tilbúnar.
- Handritið reynir að setja upp hugbúnað frá geymslum, svo þú getur beitt kerfisuppfærslum í einni skipun (
apt upgradefyrir Ubuntu). - Liðin reyna að greina að þau séu að keyra í gámi svo þau geti breytt stillingum sínum í samræmi við það.
- Til að stilla fjölda þráðarferla sem á að ræsa í stillingunum reynir handritið að giska á sjálfvirku stillingarnar fyrir vinnu í gámum, sýndarvélum og vélbúnaðarþjónum.
- Þegar stillingum er lýst hugsum við alltaf fyrst um sjálfvirkni, sem við vonum að verði grunnurinn að því að búa til eigin innviði sem kóða.
- Allar skipanir eru keyrðar frá notandanum rót, vegna þess að þeir breyta grunnstillingum kerfisins, en WordPress sjálft keyrir sem venjulegur notandi.
Stilla umhverfisbreytur
Stilltu eftirfarandi umhverfisbreytur áður en þú keyrir skriftuna:
WORDPRESS_DB_PASSWORD- Lykilorð WordPress gagnagrunnsWORDPRESS_ADMIN_USER- WordPress admin notandanafnWORDPRESS_ADMIN_PASSWORD- WordPress stjórnanda lykilorðWORDPRESS_ADMIN_EMAIL- WordPress stjórnanda tölvupósturWORDPRESS_URL– öll vefslóð WordPress síðunnar, byrjar áhttps://.LETS_ENCRYPT_STAGING— tómt sjálfgefið, en með því að stilla gildið á 1 muntu nota sviðsetningarþjóna Let's Encrypt, sem eru nauðsynlegir til að biðja oft um vottorð þegar stillingarnar þínar eru prófaðar, annars gæti Let's Encrypt lokað IP tölu þinni tímabundið vegna fjölda beiðna.
Handritið athugar að þessar WordPress tengdar breytur séu stilltar og hættir ef þær eru það ekki.
Forskriftarlínur 572-576 athuga gildið LETS_ENCRYPT_STAGING.
Stilla afleiddar umhverfisbreytur
Handritið á línum 55-61 setur eftirfarandi umhverfisbreytur, annað hvort á einhver harðkóðuð gildi eða notar gildi sem er dregið af breytunum sem settar voru í fyrri hlutanum:
DEBIAN_FRONTEND="noninteractive"— segir forritum að þau séu í gangi í handriti og að það sé enginn möguleiki á notendasamskiptum.WORDPRESS_CLI_VERSION="2.4.0"- WordPress CLI útgáfa af forritinu.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"— athugunarsumma á WordPress CLI 2.4.0 keyrsluskránni (útgáfan er tilgreind í breytunniWORDPRESS_CLI_VERSION). Handritið á línu 162 notar þetta gildi til að sannreyna að rétta WordPress CLI skráin hafi verið hlaðið niður.UPLOAD_MAX_FILESIZE="16M"— hámarksskráarstærð sem hægt er að hlaða upp á WordPress. Þessi stilling er notuð á nokkrum stöðum, svo það er auðveldara að setja hana á einn stað.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"— hýsingarheiti kerfisins, dregið úr WORDPRESS_URL breytunni. Notað til að fá viðeigandi TLS/SSL vottorð frá Let's Encrypt, sem og fyrir innri WordPress sannprófun.NGINX_CONF_DIR="/etc/nginx"— slóð að möppunni með NGINX stillingum, þar á meðal aðalskránninginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"— slóð að Let's Encrypt vottorð fyrir WordPress síðuna, fengin úr breytunniTLS_HOSTNAME.
Úthlutar hýsingarnafni til WordPress netþjóns
Handritið stillir hýsingarheiti þjónsins þannig að gildið passi við lén síðunnar. Þetta er ekki nauðsynlegt, en það er þægilegra að senda sendan póst í gegnum SMTP þegar settur er upp einn netþjón, eins og hann er stilltur af handritinu.
handritskóði
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiBætir hýsingarheiti við /etc/hosts
Viðbót notað til að keyra reglubundin verkefni, krefst þess að WordPress geti fengið aðgang að sjálfu sér í gegnum HTTP. Til að ganga úr skugga um að WP-Cron virki rétt í öllum umhverfi, bætir handritið línu við skrána / Etc / vélarsvo að WordPress hafi aðgang að sjálfu sér í gegnum loopback viðmótið:
handritskóði
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiAð setja upp verkfærin sem þarf fyrir síðari skref
Restin af handritinu krefst nokkurra forrita og gerir ráð fyrir að geymslurnar séu uppfærðar. Við uppfærum listann yfir geymslur og setjum síðan upp nauðsynleg verkfæri:
handritskóði
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseBætir við NGINX einingunni og NGINX geymslunum
Handritið setur upp NGINX Unit og open source NGINX frá opinberum NGINX geymslum til að tryggja að útgáfur með nýjustu öryggisuppfærslum og villuleiðréttingum séu notaðar.
Handritið bætir við NGINX Unit geymslunni og síðan NGINX geymslunni, bætir við geymslulyklinum og stillingaskrám apt, skilgreina aðgang að geymslum í gegnum internetið.
Raunveruleg uppsetning á NGINX einingunni og NGINX á sér stað í næsta kafla. Við bætum við geymslum fyrirfram til að forðast að uppfæra lýsigögn mörgum sinnum, sem gerir uppsetningu hraðari.
handritskóði
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiUppsetning NGINX, NGINX Unit, PHP MariaDB, Certbot (Við skulum dulkóða) og ósjálfstæði þeirra
Þegar öllum geymslum hefur verið bætt við uppfærum við lýsigögnin og setjum upp forritin. Pakkarnir sem handritið setur upp innihalda einnig PHP viðbætur sem mælt er með þegar WordPress.org er keyrt
handritskóði
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverUppsetning PHP til notkunar með NGINX Unit og WordPress
Handritið býr til stillingaskrá í möppunni conf.d. Þetta stillir hámarksupphleðslustærð fyrir PHP, gerir PHP villum kleift að senda til STDERR svo þær verði skráðar á NGINX eininguna og endurræsir NGINX eininguna.
handritskóði
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartStilla MariaDB gagnagrunnsstillingar fyrir WordPress
Við völdum MariaDB fram yfir MySQL vegna þess að það hefur meiri samfélagsvirkni og getur líka (Sennilega er allt einfaldara hér: til að setja upp MySQL þarftu að bæta við annarri geymslu, ca. þýðandi).
Handritið býr til nýjan gagnagrunn og býr til WordPress aðgangsskilríki í gegnum loopback viðmótið:
handritskóði
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"Að setja upp WordPress CLI forritið
Í þessu skrefi setur handritið upp forritið . Með því geturðu sett upp og stjórnað WordPress stillingum án þess að þurfa að breyta skrám handvirkt, uppfæra gagnagrunninn eða skrá þig inn á stjórnborðið. Það er líka hægt að nota til að setja upp þemu og viðbætur og uppfæra WordPress.
handritskóði
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiUppsetning og uppsetning WordPress
Handritið setur upp nýjustu útgáfuna af WordPress í möppuna /var/www/wordpress, og breytir einnig stillingunum:
- Gagnagrunnstengingin virkar yfir unix lénstengi í stað TCP á loopback til að draga úr TCP umferð.
- WordPress bætir við forskeyti https:// á vefslóðina ef viðskiptavinir tengjast NGINX í gegnum HTTPS, og sendir einnig ytri hýsilheitið (eins og NGINX gefur upp) til PHP. Við notum kóða til að setja þetta upp.
- WordPress þarf HTTPS til að skrá þig inn
- Uppbygging vefslóða byggist á auðlindum hljóðlaust
- Rétt skráarkerfisheimildir eru stilltar fyrir WordPress möppuna.
handritskóði
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiSetja upp NGINX eining
Handritið stillir NGINX Unit til að keyra PHP og meðhöndla WordPress slóðir, einangra nafnrými PHP ferla og fínstilla frammistöðustillingar. Það eru þrír eiginleikar sem vert er að borga eftirtekt til:
- Stuðningur nafnarýmis ræðst af ástandi, byggt á því að athuga hvort forskriftin sé í gangi í ílátinu. Þetta er nauðsynlegt vegna þess að flestar gámauppsetningar styðja ekki hreiðraðan rekstur gáma.
- Ef það er stuðningur fyrir nafnarými er nafnarýmið óvirkt net. Þetta er nauðsynlegt til að gera WordPress kleift að tengjast samtímis endapunktum og vera aðgengilegt á internetinu.
- Hámarksfjöldi ferla er ákvarðaður sem hér segir: (Minni í boði til að keyra MariaDB og NGINX Uniy)/(RAM takmörk í PHP + 5)
Þetta gildi er stillt í stillingum NGINX Unit.
Þetta gildi gefur einnig til kynna að það séu alltaf að minnsta kosti tvö PHP ferli í gangi, sem er mikilvægt vegna þess að WordPress gerir mikið af ósamstilltum beiðnum til sjálfs sín, og án viðbótarferla í gangi, til dæmis, mun WP-Cron bila. Þú gætir viljað hækka eða lækka þessi mörk miðað við staðbundnar stillingar þínar, vegna þess að stillingarnar sem eru búnar til hér eru íhaldssamar. Á flestum framleiðslukerfum eru stillingarnar á milli 10 og 100.
handritskóði
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configUppsetning NGINX
Stilla grunnstillingar NGINX
Handritið býr til möppu fyrir NGINX skyndiminni og býr síðan til aðalstillingarskrána nginx.conf. Gefðu gaum að fjölda meðferðarferla og hámarksskráarstærðarstillingu fyrir niðurhal. Það er líka lína þar sem þjöppunarstillingaskráin, sem er skilgreind í næsta kafla, er tengd, fylgt eftir með stillingum í skyndiminni.
handritskóði
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMAð setja upp NGINX þjöppun
Að þjappa efni á flugi áður en það er sent til viðskiptavina er frábær leið til að bæta árangur vefsvæðisins, en aðeins ef þjöppun er rétt stillt. Þessi hluti handritsins er byggður á stillingunum .
handritskóði
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMSetja upp NGINX fyrir WordPress
Næst býr handritið til stillingarskrá fyrir WordPress default.conf í vörulistanum conf.d. Hér er það stillt:
- Virkjun TLS vottorða sem berast frá Let's Encrypt í gegnum Certbot (stilla það verður í næsta hluta)
- Stilltu TLS öryggisstillingar byggðar á ráðleggingum frá Let's Encrypt
- Virkja sjálfgefið skyndiminni sem sleppt var beiðni í 1 klukkustund
- Slökktu á aðgangsskráningu, sem og villuskráningu ef skráin finnst ekki, fyrir tvær algengar umbeðnar skrár: favicon.ico og robots.txt
- Neita aðgang að földum skrám og sumum skrám .phptil að koma í veg fyrir ólöglegan aðgang eða óviljandi sjósetningu
- Slökktu á aðgangsskráningu fyrir truflanir og leturskrár
- Að setja titilinn fyrir leturgerðir
- Bætir við vegvísun fyrir index.php og aðra truflanir.
handritskóði
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMStilla Certbot fyrir Let's Encrypt vottorð og endurnýja þau sjálfkrafa
er ókeypis tól frá Electronic Frontier Foundation (EFF) sem gerir þér kleift að fá og endurnýja TLS vottorð sjálfkrafa frá Let's Encrypt. Handritið framkvæmir eftirfarandi skref til að stilla Certbot til að vinna úr vottorðum frá Let's Encrypt in NGINX:
- Stöðvar NGINX
- Hleður niður ráðlögðum TLS stillingum
- Keyrir Certbot til að fá vottorð fyrir síðuna
- Endurræsir NGINX til að nota vottorð
- Stillir Certbot til að keyra daglega klukkan 3:24 að morgni til að athuga hvort skírteini séu endurnýjuð og, ef nauðsyn krefur, hlaða niður nýjum vottorðum og endurræsa NGINX.
handritskóði
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiViðbótarsérstilling á síðunni þinni
Við ræddum hér að ofan um hvernig handritið okkar stillir NGINX og NGINX Unit til að þjóna framleiðslutilbúinni vefsíðu með TLSSSL virkt. Þú gætir líka, allt eftir þörfum þínum, bætt við í framtíðinni:
- Stuðningur , bætt þjöppun á flugi yfir HTTPS
- с til að koma í veg fyrir sjálfvirkar árásir á síðuna þína
- fyrir WordPress, hentugur fyrir þig
- með hjálpinni (á Ubuntu)
- Postfix eða msmtp svo WordPress geti sent póst
- Athugaðu síðuna þína svo þú skiljir hversu mikla umferð hún þolir
Fyrir enn betri afköst vefsvæðisins mælum við með að uppfæra í , verslunarvara okkar sem byggir á opnum uppsprettu NGINX. Áskrifendur þess munu fá kraftmikið hlaðna Brotli mát, sem og (gegn aukagjaldi) . Við bjóðum einnig upp á , WAF eining fyrir NGINX Plus byggt á leiðandi öryggistækni frá F5.
NB Fyrir stuðning við mikið álag vefsíðu geturðu haft samband við sérfræðinga . Við munum tryggja hraðan og áreiðanlegan rekstur vefsíðu þinnar eða þjónustu undir hvaða álagi sem er.
Heimild: www.habr.com