ProHoster > Blog > Rêveberî > Xweserkirina sazkirina WordPress-ê bi Yekîneya NGINX û Ubuntu re
Xweserkirina sazkirina WordPress-ê bi Yekîneya NGINX û Ubuntu re
Li ser sazkirina WordPress-ê gelek materyal hene; lêgerînek Google ji bo "WordPress install" dê bi qasî nîv mîlyon encaman vegerîne. Lêbelê, bi rastî pir hindik rêberên kêrhatî li wir hene ku dikarin ji we re bibin alîkar ku hûn WordPress û pergala xebitandina bingehîn saz bikin û mîheng bikin da ku ew di demek dirêj de werin piştgirî kirin. Dibe ku mîhengên rast bi giranî bi hewcedariyên weyên taybetî ve girêdayî be, an jî dibe ku ji ber ku ravekirina berfireh xwendina gotarê dijwar dike.
Di vê gotarê de, em ê hewl bidin ku bi pêşkêşkirina skrîptek bash ku bixweber WordPress-ê li Ubuntu saz bike, çêtirîn her du cîhan berhev bikin, û em ê tê de bimeşin, rave bikin ka her perçe çi dike û bazirganiya ku me di sêwiranê de çêkiriye. ew. Heke hûn bikarhênerek bi tecrûbe ne, hûn dikarin nivîsa gotarê û tenê bişopînin senaryoyê bigirin ji bo guhertin û karanîna di hawîrdorên we de. Derketina skrîptê sazkirinek WordPress-ê ya xwerû ye bi piştgiriya Lets Encrypt, ku li ser Yekîneya NGINX-ê dixebite û ji bo karanîna pîşesaziyê maqûl e.
Mîmariya pêşkeftî ya ji bo bicîhkirina WordPress-ê bi karanîna Yekîneya NGINX-ê tête diyar kirin gotara kevntir, em ê naha jî tiştên ku li wir nehatine nixumandin (wek gelek dersên din) mîheng bikin:
WordPress CLI
Ka em sertîfîkayên TLSSSL û şîfre bikin
Nûvekirina sertîfîkayê otomatîk
NGINX Caching
NGINX compression
Piştgiriya HTTPS û HTTP/2
Xweseriya pêvajoyê
Gotar dê sazkirinê li ser yek serverek diyar bike, ku dê di heman demê de serverek pêvajoyek statîk, serverek pêvajoyê ya PHP, û databasek mêvandar bike. Sazkirina bi piştgirî ji bo gelek mêvandar û karûbarên virtual ji bo pêşerojê mijarek potansiyel e. Heke hûn dixwazin ku em li ser tiştek ku di van gotaran de ne binivîsin, di şîroveyan de binivîsin.
daxwazên
Konteynera serverê (LXC an LXD), makîneyek virtual, an serverek hardware ya birêkûpêk, ku bi kêmî ve 512 MB RAM û Ubuntu 18.04 an nûtir hatî saz kirin.
Portên gihîştî yên Înternetê 80 û 443
Navê domainê bi navnîşana IP-ya giştî ya vê serverê re têkildar e
Gihîştina bi mafên root (sudo).
Çavdêriya mîmarî
Mîmarî wekî ku tê gotin e berê, serîlêdana malperê ya sê-ast. Ew ji nivîsarên PHP-ê yên ku li ser motora PHP-ê têne darve kirin û pelên statîk ên ku ji hêla servera malperê ve têne hilberandin pêk tê.
Prensîpên giştî
Gelek fermanên vesazkirinê yên di skrîptekê de di şert û mercên bêhêziyê de têne pêçan: Skrîpt dikare gelek caran were xebitandin bêyî ku xetera guheztina mîhengên ku jixwe amade ne were xebitandin.
Nivîsar hewl dide ku nermalava ji depoyan saz bike, ji ber vê yekê hûn dikarin nûvekirinên pergalê di yek fermanê de bicîh bikin (apt upgrade ji bo Ubuntu).
Tîm hewl didin ku tespît bikin ku ew di konteynerê de dimeşin da ku ew li gorî wan mîhengên xwe biguhezînin.
Ji bo ku di mîhengan de hejmara pêvajoyên tîrêjê were destpêkirin, skrîpt hewl dide ku mîhengên otomatîkî yên ji bo xebatê di konteyneran, makîneyên virtual, û pêşkêşkerên hardware texmîn bike.
Dema ku mîhengan vedibêjin, em her gav pêşî li ser otomatê difikirin, ku em hêvî dikin ku dê bibe bingehek ji bo afirandina binesaziya we wekî kod.
Hemî ferman ji bikarhêner têne rêve kirin reh, ji ber ku ew mîhengên pergalê yên bingehîn diguhezînin, lê WordPress bixwe wekî bikarhênerek birêkûpêk dimeşe.
Sazkirina guherbarên jîngehê
Berî ku skrîptê bimeşînin guhêrbarên jîngehê yên jêrîn bicîh bikin:
WORDPRESS_URL - URL-ya tevahî ya malpera WordPress-ê, dest pê dike https://.
LETS_ENCRYPT_STAGING - ji hêla xwerû ve vala ye, lê bi danîna nirxê 1-ê, hûn ê serverên qonaxa Let's Encrypt bikar bînin, yên ku hewce ne ku pir caran dema ceribandina mîhengên xwe sertîfîkayan bixwazin, wekî din Let's Encrypt dibe ku ji ber hejmareke mezin a daxwazan navnîşana IP-ya we bi demkî asteng bike.
Skrîpt kontrol dike ku van guhêrbarên têkildar ên WordPress-ê hatine danîn û heke nebin, derdikevin.
Rêzikên nivîsarê 572-576 nirxê kontrol bikin LETS_ENCRYPT_STAGING.
Sazkirina guhêrbarên jîngehê yên derkirî
Nivîsara li ser rêzikên 55-61 guhêrbarên jîngehê yên jêrîn destnîşan dike, an li gorî hin nirxek hişk-kodkirî an jî nirxek ku ji guhêrbarên ku di beşa berê de hatine destnîşan kirin bikar tîne:
DEBIAN_FRONTEND="noninteractive" - ji sepanan re dibêje ku ew di skrîptekê de dixebitin û îmkana danûstendina bikarhêner tune.
WORDPRESS_CLI_VERSION="2.4.0" - Guhertoya serîlêdanê ya WordPress CLI.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" - Kontrola pelê pelê îcrakar a WordPress CLI 2.4.0 (guherto di guherbarê de tê destnîşan kirin WORDPRESS_CLI_VERSION). Nivîsara li ser xeta 162 vê nirxê bikar tîne da ku verast bike ku pelê WordPress CLI-ya rast hatî dakêşandin.
UPLOAD_MAX_FILESIZE="16M" - Mezinahiya pelê ya herî zêde ku dikare li WordPress were barkirin. Ev mîheng li çend cihan tê bikar anîn, ji ber vê yekê sazkirina wê li yek cîhek hêsantir e.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - Navê mêvandarê pergalê, ji guherbara WORDPRESS_URL hatî derxistin. Ji bo bidestxistina sertîfîkayên guncan ên TLS/SSL ji Let's Encrypt, û her weha ji bo verastkirina WordPress ya hundurîn tê bikar anîn.
NGINX_CONF_DIR="/etc/nginx" - riya pelrêça bi mîhengên NGINX, tevî pelê sereke nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" - rêça berbi Sertîfîkayên Let's Encrypt ji bo malpera WordPress-ê, ku ji guhêrbar hatîye wergirtin TLS_HOSTNAME.
Ji bo servera WordPress-ê navê mêvandar destnîşan dike
Skrîpta navê mêvandarê serverê datîne da ku nirx bi navê domaina malperê re têkildar be. Ev ne hewce ye, lê hêsantir e ku meriv e-nameya derketinê bi riya SMTP-ê dema ku serverek yekane saz dike, wekî ku ji hêla skrîptê ve hatî mîheng kirin, bişîne.
koda nivîsê
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Navê mêvandar li /etc/hosts zêde dike
Supplement WP‑Cron ji bo meşandina karên periyodîk tê bikar anîn, hewce dike ku WordPress bikaribe xwe bi riya HTTP-ê bigihîne. Ji bo ku pê ewle bibin ku WP-Cron di hemî hawîrdoran de rast dixebite, skrîpt rêzek li pelê zêde dike / etc / hostsda ku WordPress bikaribe xwe bi navgîniya loopback ve bigihîne:
koda nivîsê
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Sazkirina amûrên ku ji bo gavên paşîn hewce ne
Ya mayî ya nivîsarê hin bernameyan hewce dike û texmîn dike ku depo nûve ne. Em navnîşa depoyan nûve dikin, û dûv re amûrên pêwîst saz dikin:
koda nivîsê
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Zêdekirina yekîneya NGINX û depoyên NGINX
Skrîpt Yekîneya NGINX û çavkaniya vekirî NGINX ji depoyên fermî yên NGINX saz dike da ku pê ewle bibe ku guhertoyên bi nûvekirinên ewlehiyê yên herî dawî û rastkirinên xeletiyan têne bikar anîn.
Nivîsar depoya Yekîneya NGINX û dûv re jî depoya NGINX zêde dike, mifteya depoyan û pelên mîhengan zêde dike. apt, danasîna gihîştina depoyan bi riya Înternetê.
Sazkirina rastîn a Yekîneya NGINX û NGINX di beşa paşîn de pêk tê. Em berê depoyan lê zêde dikin da ku ji nûvekirina metadata gelek caran dûr bisekinin, sazkirinê zûtir bikin.
koda nivîsê
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Sazkirina NGINX, Yekîneya NGINX, PHP MariaDB, Certbot (Werin em Şîfre bikin) û girêdayîbûna wan
Dema ku hemî depo hatin zêdekirin, em metadata nûve dikin û sepanan saz dikin. Pakêtên ku ji hêla skrîptê ve hatine saz kirin di heman demê de pêvekên PHP-ê yên ku dema WordPress.org dimeşînin tê pêşniyar kirin
koda nivîsê
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Sazkirina PHP-ê ji bo karanîna bi Yekîneya NGINX û WordPress re
Skrîpt di pelrêça mîhengan de diafirîne conf.d. Ev mezinahiya barkirina pelê ya herî zêde ji bo PHP-ê destnîşan dike, dihêle ku xeletiyên PHP-ê ji STDERR re werin derxistin da ku ew ê li Yekîneya NGINX-ê werin tomarkirin, û Yekîneya NGINX ji nû ve dest pê dike.
koda nivîsê
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Sazkirina Mîhengên Database MariaDB ji bo WordPress
Me MariaDB li ser MySQL hilbijart ji ber ku ew bêtir çalakiya civakê heye û dikare jî ji hêla xwerû ve performansa çêtir peyda dike (Belkî, her tişt li vir hêsan e: ji bo sazkirina MySQL, hûn hewce ne ku depoyek din lê zêde bikin, nêzîkî. wergêr).
Skrîpt databasek nû diafirîne û pêbaweriyên gihîştina WordPress-ê bi navbeynkariya loopback diafirîne:
koda nivîsê
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Sazkirina bernameya WordPress CLI
Di vê gavê de skrîpt bernameyê saz dike WP-CLI. Bi wê re, hûn dikarin mîhengên WordPress-ê saz bikin û birêve bibin bêyî ku hûn bi destan pelan biguherînin, databasê nûve bikin, an têkevin panela kontrolê. Ew dikare ji bo sazkirina mijar û pêvekan û nûvekirina WordPress-ê jî were bikar anîn.
koda nivîsê
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Sazkirin û Sazkirina WordPress
Skrîpt guhertoya herî dawî ya WordPress-ê di pelrêçê de saz dike /var/www/wordpress, û her weha mîhengan diguherîne:
Têkiliya databasê li şûna TCP-ê li ser loopback-ê li ser soketek domaina unix-ê dixebite da ku seyrûsefera TCP-ê kêm bike.
WordPress pêşgirek lê zêde dike https:// heke xerîdar bi HTTPS ve bi NGINX-ê ve girêdidin URL-ê, û di heman demê de navê mêvandarê dûr (wek ku ji hêla NGINX ve hatî peyda kirin) ji PHP-ê re dişîne. Em perçeyek kodê bikar tînin ku vê saz bikin.
WordPress ji bo têketinê hewceyê HTTPS ye
Struktura URL bi bêdengî li ser çavkaniyê ye
Destûrên pergala pelê ya rast ji bo pelrêça WordPress têne danîn.
koda nivîsê
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Sazkirina Yekîneya NGINX
Nivîsar Yekîneya NGINX mîheng dike ku PHP-ê bimeşîne û rêyên WordPress-ê bi rê ve bibe, cîhê navên pêvajoyên PHP-ê veqetîne û mîhengên performansê xweşbîn bike. Sê taybetmendiyên hêja hene ku bala xwe bidin wan:
Piştgiriya cîhê navan ji hêla şertê ve tê destnîşankirin, li ser bingeha kontrolkirina ku nivîsar di konteynerê de dimeşe. Ev pêdivî ye ji ber ku piraniya sazûmanên konteyneran piştgirî nadin xebitandina hêlînên konteyneran.
Ger piştgirî ji bo cîhên navan hebe, cîhê navan tê neçalak kirin tora. Ev pêdivî ye ku bihêle WordPress bi hevdemî bi xalên dawîn ve were girêdan û li ser Înternetê bigihîje.
Hejmara herî zêde ya pêvajoyên jêrîn têne destnîşankirin: (Hîreya berdest ji bo xebitandina MariaDB û NGINX Uniy)/(sînorê RAM-ê di PHP + 5 de)
Ev nirx di mîhengên Yekîneya NGINX de tête danîn.
Ev nirx di heman demê de tê vê wateyê ku her gav bi kêmî ve du pêvajoyên PHP-ê têne xebitandin, ku ev girîng e ji ber ku WordPress ji xwe re gelek daxwazên asynchronous dike, û bêyî ku pêvajoyên zêde dimeşînin, mînakî, WP-Cron dê bişkîne. Dibe ku hûn bixwazin van sînoran li gorî mîhengên xweya herêmî zêde bikin an kêm bikin, ji ber ku mîhengên ku li vir hatine afirandin muhafezekar in. Di piraniya pergalên hilberînê de mîheng di navbera 10 û 100 de ne.
koda nivîsê
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Sazkirina NGINX
Veavakirina Mîhengên Bingehîn ên NGINX
Skrîpt ji bo cache NGINX pelrêçek diafirîne û dûv re pelê veavakirina sereke diafirîne nginx.conf. Bala xwe bidin hejmara pêvajoyên hilber û mîhenga mezinahiya pelê ya herî zêde ji bo dakêşanê. Di heman demê de xêzek heye ku pelê mîhengên berhevkirinê, ku di beşa paşîn de hatî destnîşan kirin, pê ve girêdayî ye, li dûv mîhengên cachkirinê.
Berê şandina wê ji xerîdaran re berhevkirina naverokê rêyek girîng e ku meriv performansa malperê baştir bike, lê tenê ger ku berhevkirin rast were mîheng kirin. Ev beşa skrîptê li ser bingeha mîhengan e ji vir.
koda nivîsê
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Sazkirina NGINX ji bo WordPress
Dûv re, skrîpt ji bo WordPress pelek vesazkirinê diafirîne default.conf di katalogê de conf.d. Li vir ew hatî mîheng kirin:
Çalakkirina sertîfîkayên TLS yên ku ji Let's Encrypt bi rêya Certbot hatine wergirtin (veavakirina wê dê di beşa pêş de be)
Mîhengên ewlehiyê yên TLS-ê li ser bingeha pêşniyarên Let's Encrypt veava bikin
Ji hêla xwerû ve 1 saetê de cachkirina daxwaza paşketî çalak bike
Ji bo du pelên hevpar ên daxwazkirî: favicon.ico û robots.txt, têketina gihîştinê neçalak bike, û hem jî têketina xeletiyê heke pel neyê dîtin.
Gihîştina pelên veşartî û hin pelan red bikin .phpji bo pêşîgirtina li gihîştina neqanûnî an destpêkirina bê mebest
Ji bo pelên statîk û fontê têketina gihîştinê neçalak bike
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Veavakirina Certbot ji bo Sertîfîkayên Let's Encrypt û bixweber nûkirina wan
certbot Amûrek belaş e ji Weqfa Sînorê Elektronîkî (EFF) ku dihêle hûn sertîfîkayên TLS-ê ji Let's Encrypt bistînin û bixweber nû bikin. Skrîpt gavên jêrîn pêk tîne da ku Certbot mîheng bike da ku sertîfîkayên ji Let's Encrypt di NGINX de bişopîne:
NGINX radiweste
Mîhengên TLS-ê pêşniyar dikin dakêşin
Certbot dimeşîne da ku ji bo malperê sertîfîkayan bistîne
NGINX ji nû ve dest pê dike ku sertîfîkayan bikar bîne
Certbot mîheng dike ku rojane di 3:24 danê sibê de bixebite da ku nûvekirina sertîfîkayê kontrol bike û, ger hewce bike, sertîfîkayên nû dakêşîne û NGINX ji nû ve bide destpêkirin.
koda nivîsê
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Xweseriya zêde ya malpera we
Me li jor behsa wê yekê kir ku nivîsara me NGINX û Yekîneya NGINX çawa mîheng dike da ku malperek amade-hilberînê ya bi TLSSSL-ya çalakkirî re xizmet bike. Her weha hûn dikarin, li gorî hewcedariyên xwe, di pêşerojê de zêde bikin:
Alîkarî Brotli, li ser HTTPS-ê lihevhatina li ser-firînê çêtir kir
Postfix an msmtp da ku WordPress dikare e-nameyê bişîne
Malpera xwe kontrol bikin da ku hûn fêm bikin ka ew çiqas seyrûsefer dikare bi rê ve bibe
Ji bo performansa malperê hîn çêtir, em pêşniyar dikin ku hûn nûve bikin NGINX Plus, hilbera meya bazirganî ya pola pargîdanî ya li ser bingeha çavkaniya vekirî NGINX. Aboneyên wê dê modulek Brotli ya bi dînamîk barkirî bistînin, û hem jî (ji bo xercek zêde) NGINX ModSecurity WAF. Em jî pêşkêş dikin NGINX App Protect, modulek WAF ji bo NGINX Plus li ser bingeha teknolojiya ewlehiyê ya pêşeng a pîşesaziyê ji F5.
NB Ji bo piştgiriya malperek bargiraniya bilind, hûn dikarin bi pisporan re têkilî daynin Southbridge. Em ê di bin her bargiraniyê de xebata bilez û pêbawer a malper an karûbarê we piştrast bikin.