אוטומציה של התקנת וורדפרס עם NGINX Unit ואובונטו

יש הרבה מדריכים כיצד להתקין וורדפרס, חיפוש בגוגל של "התקנת וורדפרס" יביא כחצי מיליון תוצאות. עם זאת, למעשה, יש ביניהם מעט מאוד מדריכים טובים, לפיהם ניתן להתקין ולהגדיר את וורדפרס ואת מערכת ההפעלה הבסיסית כך שיהיו מסוגלים לתמוך לאורך זמן. אולי ההגדרות הנכונות תלויות מאוד בצרכים ספציפיים, או שזה נובע מהעובדה שהסבר מפורט מקשה על הקריאה של המאמר.

במאמר זה, ננסה לשלב את הטוב משני העולמות על ידי אספקת סקריפט bash להתקנה אוטומטית של וורדפרס על אובונטו, כמו גם לעבור עליו, להסביר מה כל חלק עושה, כמו גם את הפשרות שעשינו בפיתוחו . אם אתה משתמש מתקדם, אתה יכול לדלג על טקסט המאמר ופשוט לקחת את התסריט לשינוי ושימוש בסביבות שלך. הפלט של הסקריפט הוא התקנת וורדפרס מותאמת אישית עם תמיכה של Lets Encrypt, הפועלת על NGINX Unit ומתאימה לשימוש תעשייתי.

הארכיטקטורה שפותחה לפריסת וורדפרס באמצעות יחידת NGINX מתוארת ב מאמר ישן יותר, כעת אנו גם נגדיר עוד דברים שלא כוסו שם (כמו במדריכים רבים אחרים):

• וורדפרס CLI
• בואו להצפין אישורי TLSSSL
• חידוש אוטומטי של תעודות
• מטמון NGINX
• דחיסה של NGINX
• תמיכה ב-HTTPS ו-HTTP/2
• אוטומציה של תהליכים

המאמר יתאר התקנה בשרת אחד, שיארח בו זמנית שרת עיבוד סטטי, שרת עיבוד PHP ומסד נתונים. התקנה עם תמיכה במספר מארחים ושירותים וירטואליים היא נושא פוטנציאלי לעתיד. אם אתה רוצה שנכתוב על משהו שלא מופיע במאמרים האלה, כתוב בתגובות.

דרישות

• מיכל שרת (LXC או Lxd), מכונה וירטואלית, או שרת חומרה רגיל, עם לפחות 512MB של זיכרון RAM ו-Ubuntu 18.04 או יותר מותקן.
• יציאות 80 ו-443 נגישות לאינטרנט
• שם דומיין המשויך לכתובת ה-IP הציבורית של שרת זה
• גישה עם זכויות שורש (sudo).

סקירה כללית של אדריכלות

הארכיטקטורה זהה לתיאור מוקדם יותר, אפליקציית אינטרנט תלת-שכבתית. הוא מורכב מסקריפטים של PHP המבוצעים במנוע PHP וקבצים סטטיים המעובדים על ידי שרת האינטרנט.

עקרונות כלליים

• פקודות תצורה רבות בסקריפט עטופים בתנאים לאימפוטנטיות: ניתן להריץ את הסקריפט מספר פעמים ללא סיכון של שינוי הגדרות שכבר קיימות.
• הסקריפט מנסה להתקין תוכנה ממאגרים, כך שתוכל להחיל עדכוני מערכת בפקודה אחת (apt upgrade עבור אובונטו).
• צוותים מנסים לזהות שהם פועלים בקונטיינר כדי שיוכלו לשנות את ההגדרות שלהם בהתאם.
• על מנת להגדיר את מספר תהליכי השרשור להתחיל בהגדרות, הסקריפט מנסה לנחש את ההגדרות האוטומטיות לעבודה בקונטיינרים, מכונות וירטואליות ושרתי חומרה.
• כאשר אנו מתארים הגדרות, אנו תמיד חושבים קודם כל על אוטומציה, שאנו מקווים שתהפוך לבסיס ליצירת תשתית משלך כקוד.
• כל הפקודות מופעלות כמשתמש שורש, כי הם משנים את הגדרות המערכת הבסיסיות, אבל ישירות וורדפרס פועלת כמשתמש רגיל.

הגדרת משתני סביבה

הגדר את משתני הסביבה הבאים לפני הפעלת הסקריפט:

• WORDPRESS_DB_PASSWORD - סיסמת מסד הנתונים של וורדפרס
• WORDPRESS_ADMIN_USER - שם משתמש של אדמין וורדפרס
• WORDPRESS_ADMIN_PASSWORD - סיסמת מנהל וורדפרס
• WORDPRESS_ADMIN_EMAIL - דוא"ל לניהול וורדפרס
• WORDPRESS_URL הוא כתובת האתר המלאה של אתר וורדפרס, החל מ- https://.
• LETS_ENCRYPT_STAGING — ריק כברירת מחדל, אך על ידי הגדרת הערך ל-1, תשתמש בשרתי ה-Staging של Let's Encrypt, הנחוצים כדי לבקש תעודות תכופות בעת בדיקת ההגדרות שלך, אחרת Let's Encrypt עשויה לחסום זמנית את כתובת ה-IP שלך בגלל מספר הבקשות הגדול.

הסקריפט בודק שהמשתנים הקשורים לוורדפרס מוגדרים ויוצא אם לא.
שורות סקריפט 572-576 בודקות את הערך LETS_ENCRYPT_STAGING.

הגדרת משתני סביבה נגזרים

הסקריפט בשורות 55-61 מגדיר את משתני הסביבה הבאים, או לערך מקודד כלשהו או באמצעות ערך המתקבל מהמשתנים שהוגדרו בסעיף הקודם:

• DEBIAN_FRONTEND="noninteractive" - אומר לאפליקציות שהן פועלות בסקריפט ושאין אפשרות לאינטראקציה עם המשתמש.
• WORDPRESS_CLI_VERSION="2.4.0" היא הגרסה של אפליקציית וורדפרס CLI.
• WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — סכום בדיקה של קובץ ההפעלה של WordPress CLI 2.4.0 (הגרסה מצוינת במשתנה WORDPRESS_CLI_VERSION). הסקריפט בשורה 162 משתמש בערך זה כדי לבדוק שהורדה הקובץ הנכון של WordPress CLI.
• UPLOAD_MAX_FILESIZE="16M" - גודל הקובץ המרבי שניתן להעלות לוורדפרס. הגדרה זו משמשת במספר מקומות, כך שקל יותר להגדיר אותה במקום אחד.
• TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — שם מארח מערכת, חולץ מהמשתנה WORDPRESS_URL. משמש להשגת תעודות TLS/SSL מתאימות מ-Let's Encrypt, כמו גם לאימות וורדפרס פנימי.
• NGINX_CONF_DIR="/etc/nginx" - נתיב לספרייה עם הגדרות NGINX, כולל הקובץ הראשי nginx.conf.
• CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — נתיב לאישורי Let's Encrypt עבור אתר וורדפרס, המתקבל מהמשתנה TLS_HOSTNAME.

הקצאת שם מארח לשרת וורדפרס

הסקריפט מגדיר את שם המארח של השרת כך שהערך יתאים לשם הדומיין של האתר. זה לא הכרחי, אבל זה יותר נוח לשלוח דואר יוצא דרך SMTP בעת הגדרת שרת בודד, כפי שהוגדר על ידי הסקריפט.

קוד סקריפט

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

הוספת שם מארח ל-/etc/hosts

תוספת WP-Cron משמש להפעלת משימות תקופתיות, דורש ש-WordPress תהיה מסוגלת לגשת לעצמה באמצעות HTTP. כדי לוודא ש-WP-Cron פועל כהלכה בכל הסביבות, הסקריפט מוסיף שורה לקובץ / Etc / hostsכך ש-WordPress יכולה לגשת לעצמה דרך ממשק הלולאה:

קוד סקריפט

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

התקנת הכלים הדרושים לשלבים הבאים

שאר התסריט צריך כמה תוכניות ומניח שהמאגרים מעודכנים. אנו מעדכנים את רשימת המאגרים, ולאחר מכן אנו מתקינים את הכלים הדרושים:

קוד סקריפט

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

הוספת יחידת NGINX ומאגרי NGINX

הסקריפט מתקין את NGINX Unit ו-NGINX בקוד פתוח ממאגרי NGINX הרשמיים כדי לוודא שהגירסאות עם תיקוני האבטחה ותיקוני הבאגים העדכניים ביותר נמצאות בשימוש.

הסקריפט מוסיף את מאגר NGINX Unit ולאחר מכן את מאגר NGINX, מוסיף את מפתח המאגרים וקובצי התצורה apt, הגדרת גישה למאגרים דרך האינטרנט.

ההתקנה בפועל של NGINX Unit ו-NGINX מתרחשת בסעיף הבא. אנו מוסיפים מראש את המאגרים כדי שלא נצטרך לעדכן את המטא נתונים מספר פעמים, מה שהופך את ההתקנה למהירה יותר.

קוד סקריפט

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

התקנת NGINX, NGINX Unit, PHP MariaDB, Certbot (בואו נצפין) והתלות שלהם

לאחר הוספת כל המאגרים, עדכן את המטא נתונים והתקן את היישומים. החבילות המותקנות על ידי הסקריפט כוללות גם את הרחבות PHP המומלצות בעת הפעלת WordPress.org

קוד סקריפט

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

הגדרת PHP לשימוש עם יחידת NGINX ו-WordPress

הסקריפט יוצר קובץ הגדרות בספרייה conf.d. זה מגדיר את גודל העלאת הקבצים המקסימלי עבור PHP, מאפשר פלט של שגיאות PHP ל-STDERR כך שהן יירשמו ליחידת NGINX, ומפעיל מחדש את יחידת NGINX.

קוד סקריפט

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

ציון הגדרות מסד הנתונים של MariaDB עבור WordPress

בחרנו ב-MariaDB על פני MySQL מכיוון שיש לו יותר פעילות קהילתית וסביר להניח שגם כן מספק ביצועים טובים יותר כברירת מחדל (כנראה, הכל פשוט יותר כאן: כדי להתקין MySQL, אתה צריך להוסיף מאגר נוסף, משוער. מְתוּרגְמָן).

הסקריפט יוצר מסד נתונים חדש ויוצר אישורי גישה ל-WordPress דרך ממשק ה-loopback:

קוד סקריפט

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

התקנת תוכנית וורדפרס CLI

בשלב זה הסקריפט מתקין את התוכנית WP-CLI. בעזרתו תוכלו להתקין ולנהל את הגדרות וורדפרס ללא צורך לערוך קבצים באופן ידני, לעדכן את מסד הנתונים או להיכנס ללוח הבקרה. ניתן להשתמש בו גם להתקנת ערכות נושא ותוספות ולעדכון וורדפרס.

קוד סקריפט

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

התקנה והגדרה של וורדפרס

הסקריפט מתקין את הגרסה האחרונה של וורדפרס בספרייה /var/www/wordpressוגם משנה את ההגדרות:

• חיבור מסד הנתונים עובד על שקע תחום של יוניקס במקום TCP ב-loopback כדי לצמצם את תעבורת TCP.
• וורדפרס מוסיפה קידומת https:// לכתובת ה-URL אם לקוחות מתחברים ל-NGINX דרך HTTPS, וכן שולחים את שם המארח המרוחק (כפי שסופק על ידי NGINX) ל-PHP. אנו משתמשים בקטע קוד כדי להגדיר זאת.
• וורדפרס זקוקה ל-HTTPS כדי להתחבר
• מבנה כתובת האתר המוגדר כברירת מחדל מבוסס על משאבים
• מגדיר את ההרשאות הנכונות במערכת הקבצים עבור ספריית וורדפרס.

קוד סקריפט

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

הגדרת יחידת NGINX

הסקריפט מגדיר את יחידת NGINX להריץ PHP ולעבד נתיבי וורדפרס, מבודד את מרחב השמות של תהליך PHP ואופטימיזציה של הגדרות הביצועים. ישנן שלוש תכונות שכדאי להקפיד עליהן כאן:

• התמיכה במרחבי שמות נקבעת לפי תנאי, על סמך בדיקה שהסקריפט פועל במיכל. זה הכרחי מכיוון שרוב הגדרות המכולה אינן תומכות בהשקה מקוננת של קונטיינרים.
• אם יש תמיכה במרחבי שמות, השבת את מרחב השמות רשת. זאת כדי לאפשר לוורדפרס להתחבר לשתי נקודות הקצה ולהיות זמינה באינטרנט בו זמנית.
• המספר המרבי של תהליכים נקבע באופן הבא: (זיכרון זמין להפעלת MariaDB ו-NGINX Uniy)/(הגבלת RAM ב-PHP + 5)
  ערך זה מוגדר בהגדרות יחידת NGINX.

הערך הזה גם מרמז שתמיד פועלים לפחות שני תהליכי PHP, וזה חשוב כי וורדפרס עושה הרבה בקשות אסינכרוניות לעצמה, וללא תהליכים נוספים שרצים, למשל, WP-Cron יישבר. ייתכן שתרצה להגדיל או להקטין מגבלות אלה על סמך ההגדרות המקומיות שלך, מכיוון שההגדרות שנוצרו כאן הן שמרניות. ברוב מערכות הייצור ההגדרות הן בין 10 ל-100.

קוד סקריפט

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

הגדרת NGINX

הגדרת הגדרות NGINX בסיסיות

הסקריפט יוצר ספרייה עבור מטמון NGINX ולאחר מכן יוצר את קובץ התצורה הראשי nginx.conf. שימו לב למספר תהליכי המטפל ולהגדרת גודל הקובץ המרבי להעלאה. ישנה גם שורה הכוללת את קובץ הגדרות הדחיסה שהוגדר בסעיף הבא, ואחריו את הגדרות המטמון.

קוד סקריפט

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

הגדרת דחיסת NGINX

דחיסת תוכן תוך כדי תנועה לפני שליחתו ללקוחות היא דרך מצוינת לשפר את ביצועי האתר, אך רק אם הדחיסה מוגדרת כהלכה. חלק זה של הסקריפט מבוסס על הגדרות מכאן.

קוד סקריפט

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

הגדרת NGINX עבור וורדפרס

לאחר מכן, הסקריפט יוצר קובץ תצורה עבור וורדפרס default.conf בקטלוג conf.d. זה מוגדר כאן:

• הפעלת תעודות TLS שהתקבלו מ-Let's Encrypt באמצעות Certbot (הגדרת התצורה תהיה בסעיף הבא)
• הגדרת הגדרות אבטחה של TLS על סמך המלצות של Let's Encrypt
• אפשר כברירת מחדל בקשות דילוג לאחסון במטמון למשך שעה אחת
• השבת את רישום הגישה, כמו גם רישום שגיאות אם הקובץ לא נמצא, עבור שני קבצים מבוקשים נפוצים: favicon.ico ו-robots.txt
• דחיית גישה לקבצים מוסתרים ולחלק מהקבצים . Phpכדי למנוע גישה לא חוקית או התחלה לא מכוונת
• השבת את רישום הגישה עבור קבצי סטטי וגופן
• הגדרת כותרת בקרת גישה-אפשר-מקור עבור קבצי גופנים
• הוספת ניתוב עבור index.php וסטטים אחרים.

קוד סקריפט

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

הגדרת Certbot לאישורים מ-Let's Encrypt וחידוש אוטומטי שלהם

סרבוט הוא כלי חינמי של Electronic Frontier Foundation (EFF) המאפשר לך להשיג ולחדש אוטומטית תעודות TLS מ-Let's Encrypt. הסקריפט עושה את הפעולות הבאות כדי להגדיר את Certbot לעבד אישורים מ-Let's Encrypt ב-NGINX:

• עוצר את NGINX
• הורדה של הגדרות TLS מומלצות
• מפעיל את Certbot כדי לקבל אישורים לאתר
• מפעיל מחדש את NGINX כדי להשתמש באישורים
• מגדיר את Certbot לפעול מדי יום בשעה 3:24 לפנות בוקר כדי לבדוק אם יש חידושי אישורים ובמידת הצורך, להוריד אישורים חדשים ולהפעיל מחדש את NGINX.

קוד סקריפט

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

התאמה אישית נוספת של האתר שלך

דיברנו למעלה על האופן שבו הסקריפט שלנו מגדיר את NGINX ו-NGINX Unit לשרת אתר מוכן לייצור עם TLSSSL מופעל. תוכל גם, בהתאם לצרכים שלך, להוסיף בעתיד:

• תמיכה ברוטלי, דחיסה משופרת תוך כדי תנועה באמצעות HTTPS
• הסרה והתקנה с כללים עבור וורדפרסכדי למנוע התקפות אוטומטיות באתר שלך
• לגבות לוורדפרס שמתאים לך
• הֲגָנָה באמצעות AppArmor (באובנטו)
• Postfix או msmtp כדי ש-WordPress תוכל לשלוח דואר
• בודק את האתר שלך כדי להבין כמה תנועה הוא יכול להתמודד

לביצועי האתר טובים עוד יותר, אנו ממליצים לשדרג ל NGINX Plus, המוצר המסחרי שלנו ברמה הארגונית המבוסס על קוד פתוח NGINX. המנויים שלו יקבלו מודול Brotli נטען באופן דינמי, וכן (בתשלום נוסף) NGINX ModSecurity WAF. אנחנו מציעים גם NGINX App Protect, מודול WAF עבור NGINX Plus המבוסס על טכנולוגיית אבטחה מובילה בתעשייה מבית F5.

נ.ב. לתמיכה באתר טעון מאוד, אתה יכול ליצור קשר עם המומחים סאות'ברידג '. אנו נבטיח תפעול מהיר ואמין של האתר או השירות שלך בכל עומס.

מקור: www.habr.com