ישנם חומרי התקנה רבים זמינים. WordPressחיפוש בגוגל אחר מילות מפתח "WordPress "install" יחזיר כחצי מיליון תוצאות. עם זאת, ביניהן, ישנם למעשה מעט מאוד מדריכים שימושיים להתקנה וקביעת תצורה. WordPress ואת מערכת ההפעלה הבסיסית כך שניתן יהיה לתמוך בהם לאורך זמן. ייתכן שההגדרות הנכונות תלויות במידה רבה בצרכים ספציפיים, או שאולי הסיבה לכך היא שההסבר המפורט מקשה על קריאת המאמר.
במאמר זה, ננסה לשלב את הטוב משתי הגישות על ידי מתן סקריפט bash להתקנה אוטומטית. WordPress על Ubuntuנעבור גם על זה, נסביר מה כל חלק עושה ואת הפשרות שעשינו בפיתוחו. אם אתם משתמשים מנוסים, תוכלו לדלג על הטקסט ופשוט... לשינוי ושימוש בסביבות שלך. פלט הסקריפט הוא התקנה מותאמת אישית. WordPress עם תמיכה ב-Let's Encrypt, פועל על יחידת NGINX ומתאים לשימוש בייצור.
ארכיטקטורה שפותחה לפריסה WordPress השימוש ביחידת NGINX מתואר ב , כעת אנו גם נגדיר עוד דברים שלא כוסו שם (כמו במדריכים רבים אחרים):
- WordPress CLI
- בואו להצפין אישורי TLSSSL
- חידוש אוטומטי של תעודות
- מטמון NGINX
- דחיסה של NGINX
- תמיכה ב-HTTPS ו-HTTP/2
- אוטומציה של תהליכים
המאמר יתאר התקנה בשרת אחד, שיארח בו זמנית שרת עיבוד סטטי, שרת עיבוד PHP ומסד נתונים. התקנה עם תמיכה במספר מארחים ושירותים וירטואליים היא נושא פוטנציאלי לעתיד. אם אתה רוצה שנכתוב על משהו שלא מופיע במאמרים האלה, כתוב בתגובות.
דרישות
- מיכל שרת ( או ), מכונה וירטואלית, או שרת חומרה רגיל, עם לפחות 512 מגה-בייט של זיכרון RAM ומותקן Ubuntu 18.04 או מאוחר יותר.
- יציאות 80 ו-443 נגישות לאינטרנט
- שם דומיין המשויך לכתובת ה-IP הציבורית של שרת זה
- גישה עם זכויות שורש (sudo).
סקירה כללית של אדריכלות
הארכיטקטורה זהה לתיאור , אפליקציית אינטרנט תלת-שכבתית. הוא מורכב מסקריפטים של PHP המבוצעים במנוע PHP וקבצים סטטיים המעובדים על ידי שרת האינטרנט.
עקרונות כלליים
- פקודות תצורה רבות בסקריפט עטופים בתנאים לאימפוטנטיות: ניתן להריץ את הסקריפט מספר פעמים ללא סיכון של שינוי הגדרות שכבר קיימות.
- הסקריפט מנסה להתקין תוכנה ממאגרים, כך שתוכל להחיל עדכוני מערכת בפקודה אחת (
apt upgradeעבור Ubuntu). - צוותים מנסים לזהות שהם פועלים בקונטיינר כדי שיוכלו לשנות את ההגדרות שלהם בהתאם.
- על מנת להגדיר את מספר תהליכי השרשור להתחיל בהגדרות, הסקריפט מנסה לנחש את ההגדרות האוטומטיות לעבודה בקונטיינרים, מכונות וירטואליות ושרתי חומרה.
- כאשר אנו מתארים הגדרות, אנו תמיד חושבים קודם כל על אוטומציה, שאנו מקווים שתהפוך לבסיס ליצירת תשתית משלך כקוד.
- כל הפקודות מופעלות כמשתמש שורש, כי הם משנים את הגדרות המערכת העיקריות, אבל באופן ישיר WordPress עובד ממשתמש רגיל.
הגדרת משתני סביבה
הגדר את משתני הסביבה הבאים לפני הפעלת הסקריפט:
WORDPRESS_DB_PASSWORD— סיסמה למסד הנתונים WordPressWORDPRESS_ADMIN_USER— שם מנהל המערכת WordPressWORDPRESS_ADMIN_PASSWORD— סיסמת מנהל WordPressWORDPRESS_ADMIN_EMAIL— דוא"ל של מנהל המערכת WordPressWORDPRESS_URL— כתובת אתר מלאה WordPress, החל מhttps://.LETS_ENCRYPT_STAGING— ריק כברירת מחדל, אך על ידי הגדרת הערך ל-1, תשתמש בשרתי ה-Staging של Let's Encrypt, הנחוצים כדי לבקש תעודות תכופות בעת בדיקת ההגדרות שלך, אחרת Let's Encrypt עשויה לחסום זמנית את כתובת ה-IP שלך בגלל מספר הבקשות הגדול.
הסקריפט בודק את הקשר הזה WordPress משתנים מוגדרים, ויוצא אם לא.
שורות סקריפט 572-576 בודקות את הערך LETS_ENCRYPT_STAGING.
הגדרת משתני סביבה נגזרים
הסקריפט בשורות 55-61 מגדיר את משתני הסביבה הבאים, או לערך מקודד כלשהו או באמצעות ערך המתקבל מהמשתנים שהוגדרו בסעיף הקודם:
DEBIAN_FRONTEND="noninteractive"- אומר לאפליקציות שהן פועלות בסקריפט ושאין אפשרות לאינטראקציה עם המשתמש.WORDPRESS_CLI_VERSION="2.4.0"— גרסת אפליקציה WordPress CLI.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"— סכום בדיקה של קובץ ההפעלה WordPress ממשק שורת פקודה (CLI 2.4.0) (הגרסה מצוינת במשתנה)WORDPRESS_CLI_VERSIONהסקריפט בשורה 162 משתמש בערך זה כדי לבדוק שהקובץ הנכון הורד. WordPress CLI.UPLOAD_MAX_FILESIZE="16M"— גודל הקובץ המקסימלי שניתן להעלות WordPressהגדרה זו משמשת במספר מקומות, כך שקל יותר להגדיר אותה במקום אחד.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"— שם המארח של המערכת, שנאסף ממשתנה WORDPRESS_URL. משמש להשגת אישורי TLS/SSL מתאימים מ-Let's Encrypt, וכן לאימות פנימי. WordPress.NGINX_CONF_DIR="/etc/nginx"- נתיב לספרייה עם הגדרות NGINX, כולל הקובץ הראשיnginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"— נתיב לתעודות Let's Encrypt עבור האתר WordPress, המתקבל ממשתנהTLS_HOSTNAME.
הקצאת שם מארח WordPress שרת
הסקריפט מגדיר את שם המארח של השרת כך שהערך יתאים לשם הדומיין של האתר. זה לא הכרחי, אבל זה יותר נוח לשלוח דואר יוצא דרך SMTP בעת הגדרת שרת בודד, כפי שהוגדר על ידי הסקריפט.
קוד סקריפט
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiהוספת שם מארח ל-/etc/hosts
תוספת משמש להפעלת משימות תקופתיות, דורש ש WordPress יכול היה לגשת לעצמו דרך HTTP. כדי להבטיח ש-WP-Cron יפעל כהלכה בכל הסביבות, הסקריפט מוסיף שורה לקובץ / Etc / hostsאז זה WordPress יכול לגשת לעצמו דרך ממשק הלולאה החוזרת:
קוד סקריפט
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiהתקנת הכלים הדרושים לשלבים הבאים
שאר התסריט צריך כמה תוכניות ומניח שהמאגרים מעודכנים. אנו מעדכנים את רשימת המאגרים, ולאחר מכן אנו מתקינים את הכלים הדרושים:
קוד סקריפט
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseהוספת יחידת NGINX ומאגרי NGINX
הסקריפט מתקין את NGINX Unit ו-NGINX בקוד פתוח ממאגרי NGINX הרשמיים כדי לוודא שהגירסאות עם תיקוני האבטחה ותיקוני הבאגים העדכניים ביותר נמצאות בשימוש.
הסקריפט מוסיף את מאגר NGINX Unit ולאחר מכן את מאגר NGINX, מוסיף את מפתח המאגרים וקובצי התצורה apt, הגדרת גישה למאגרים דרך האינטרנט.
ההתקנה בפועל של NGINX Unit ו-NGINX מתרחשת בסעיף הבא. אנו מוסיפים מראש את המאגרים כדי שלא נצטרך לעדכן את המטא נתונים מספר פעמים, מה שהופך את ההתקנה למהירה יותר.
קוד סקריפט
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiהתקנת NGINX, NGINX Unit, PHP MariaDB, Certbot (בואו נצפין) והתלות שלהם
לאחר הוספת כל המאגרים, אנו מעדכנים את המטא-דאטה ומתקינים את היישומים. החבילות המותקנות על ידי הסקריפט כוללות גם הרחבות PHP המומלצות בעת ההפעלה. WordPress. אירגונים
קוד סקריפט
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverהגדרת PHP לשימוש עם יחידת NGINX ו- WordPress
הסקריפט יוצר קובץ הגדרות בספרייה conf.d. זה מגדיר את גודל העלאת הקבצים המקסימלי עבור PHP, מאפשר פלט של שגיאות PHP ל-STDERR כך שהן יירשמו ליחידת NGINX, ומפעיל מחדש את יחידת NGINX.
קוד סקריפט
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartהגדרת הגדרות מסד נתונים של MariaDB עבור WordPress
בחרנו ב-MariaDB על פני MySQL מכיוון שיש לו יותר פעילות קהילתית וסביר להניח שגם כן (כנראה, הכל פשוט יותר כאן: כדי להתקין MySQL, אתה צריך להוסיף מאגר נוסף, משוער. מְתוּרגְמָן).
הסקריפט יוצר מסד נתונים חדש ויוצר אישורי גישה. WordPress דרך ממשק הלולאה:
קוד סקריפט
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"התקנת התוכנית WordPress CLI
בשלב זה הסקריפט מתקין את התוכנית בעזרתו ניתן להגדיר ולנהל הגדרות WordPress מבלי שיהיה צורך לערוך קבצים ידנית, לעדכן את מסד הנתונים או להיכנס ללוח הבקרה. ניתן להשתמש בו גם להתקנת ערכות נושא ותוספים ולבצע עדכונים. WordPress.
קוד סקריפט
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiהתקנה ותצורה WordPress
הסקריפט מתקין את הגרסה האחרונה WordPress לקטלוג /var/www/wordpressוגם משנה את ההגדרות:
- חיבור מסד הנתונים עובד על שקע תחום של יוניקס במקום TCP ב-loopback כדי לצמצם את תעבורת TCP.
- WordPress מוסיף קידומת https:// לכתובת ה-URL אם לקוחות מתחברים ל-NGINX דרך HTTPS, וכן שולחים את שם המארח המרוחק (כפי שסופק על ידי NGINX) ל-PHP. אנו משתמשים בקטע קוד כדי להגדיר זאת.
- WordPress נדרש HTTPS כדי להתחבר
- מבנה כתובת האתר המוגדר כברירת מחדל מבוסס על משאבים
- הרשאות מערכת הקבצים הנכונות מוגדרות עבור הספרייה. WordPress.
קוד סקריפט
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --data-gt-translate-attributes='["title"]' title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiהגדרת יחידת NGINX
הסקריפט מגדיר את יחידת NGINX להריץ PHP ולטפל בנתיבים. WordPress, בידוד מרחב השמות של תהליך ה-PHP ואופטימיזציה של הגדרות הביצועים. ישנם שלושה מאפיינים שכדאי לציין:
- התמיכה במרחבי שמות נקבעת לפי תנאי, על סמך בדיקה שהסקריפט פועל במיכל. זה הכרחי מכיוון שרוב הגדרות המכולה אינן תומכות בהשקה מקוננת של קונטיינרים.
- אם יש תמיכה במרחבי שמות, השבת את מרחב השמות רשתזה הכרחי כדי לאפשר WordPress להתחבר בו זמנית לנקודות קצה ולהיות נגיש באינטרנט.
- המספר המרבי של תהליכים נקבע באופן הבא: (זיכרון זמין להפעלת MariaDB ו-NGINX Uniy)/(הגבלת RAM ב-PHP + 5)
ערך זה מוגדר בהגדרות יחידת NGINX.
ערך זה מרמז גם שתמיד פועלים לפחות שני תהליכי PHP, וזה חשוב מכיוון WordPress מבצע הרבה בקשות אסינכרוניות לעצמו, וללא תהליכים נוספים, הפעלת, למשל, WP-Cron, תיכשל. ייתכן שתרצה להגדיל או להקטין את המגבלות הללו בהתבסס על ההגדרות המקומיות שלך, מכיוון שההגדרות שנוצרות כאן הן שמרניות. ברוב מערכות הייצור, ההגדרות הן בין 10 ל-100.
קוד סקריפט
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d ' ')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configהגדרת NGINX
הגדרת הגדרות NGINX בסיסיות
הסקריפט יוצר ספרייה עבור מטמון NGINX ולאחר מכן יוצר את קובץ התצורה הראשי nginx.conf. שימו לב למספר תהליכי המטפל ולהגדרת גודל הקובץ המרבי להעלאה. ישנה גם שורה הכוללת את קובץ הגדרות הדחיסה שהוגדר בסעיף הבא, ואחריו את הגדרות המטמון.
קוד סקריפט
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMהגדרת דחיסת NGINX
דחיסת תוכן תוך כדי תנועה לפני שליחתו ללקוחות היא דרך מצוינת לשפר את ביצועי האתר, אך רק אם הדחיסה מוגדרת כהלכה. חלק זה של הסקריפט מבוסס על הגדרות .
קוד סקריפט
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMהגדרת NGINX עבור WordPress
לאחר מכן, הסקריפט יוצר קובץ תצורה עבור WordPress default.conf בקטלוג conf.d. זה מוגדר כאן:
- הפעלת תעודות TLS שהתקבלו מ-Let's Encrypt באמצעות Certbot (הגדרת התצורה תהיה בסעיף הבא)
- הגדרת הגדרות אבטחה של TLS על סמך המלצות של Let's Encrypt
- אפשר כברירת מחדל בקשות דילוג לאחסון במטמון למשך שעה אחת
- השבת את רישום הגישה, כמו גם רישום שגיאות אם הקובץ לא נמצא, עבור שני קבצים מבוקשים נפוצים: favicon.ico ו-robots.txt
- דחיית גישה לקבצים מוסתרים ולחלק מהקבצים . Phpכדי למנוע גישה לא חוקית או התחלה לא מכוונת
- השבת את רישום הגישה עבור קבצי סטטי וגופן
- הגדרת כותרת עבור קבצי גופנים
- הוספת ניתוב עבור index.php וסטטים אחרים.
קוד סקריפט
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMהגדרת Certbot לאישורים מ-Let's Encrypt וחידוש אוטומטי שלהם
הוא כלי חינמי של Electronic Frontier Foundation (EFF) המאפשר לך להשיג ולחדש אוטומטית תעודות TLS מ-Let's Encrypt. הסקריפט עושה את הפעולות הבאות כדי להגדיר את Certbot לעבד אישורים מ-Let's Encrypt ב-NGINX:
- עוצר את NGINX
- הורדה של הגדרות TLS מומלצות
- מפעיל את Certbot כדי לקבל אישורים לאתר
- מפעיל מחדש את NGINX כדי להשתמש באישורים
- מגדיר את Certbot לפעול מדי יום בשעה 3:24 לפנות בוקר כדי לבדוק אם יש חידושי אישורים ובמידת הצורך, להוריד אישורים חדשים ולהפעיל מחדש את NGINX.
קוד סקריפט
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiהתאמה אישית נוספת של האתר שלך
דיברנו למעלה על האופן שבו הסקריפט שלנו מגדיר את NGINX ו-NGINX Unit לשרת אתר מוכן לייצור עם TLSSSL מופעל. תוכל גם, בהתאם לצרכים שלך, להוסיף בעתיד:
- תמיכה , דחיסה משופרת תוך כדי תנועה באמצעות HTTPS
- с כדי למנוע התקפות אוטומטיות באתר שלך
- עבור WordPress, מתאים לך
- באמצעות (על Ubuntu)
- תיקון פוסט או msmtp אל WordPress יכול לשלוח דואר
- בודק את האתר שלך כדי להבין כמה תנועה הוא יכול להתמודד
לביצועי האתר טובים עוד יותר, אנו ממליצים לשדרג ל , המוצר המסחרי שלנו ברמה הארגונית המבוסס על קוד פתוח NGINX. המנויים שלו יקבלו מודול Brotli נטען באופן דינמי, וכן (בתשלום נוסף) . אנחנו מציעים גם , מודול WAF עבור NGINX Plus המבוסס על טכנולוגיית אבטחה מובילה בתעשייה מבית F5.
נ.ב. לתמיכה באתר טעון מאוד, אתה יכול ליצור קשר עם המומחים . אנו נבטיח תפעול מהיר ואמין של האתר או השירות שלך בכל עומס.
מקור: www.habr.com
