ການຕິດຕັ້ງ WordPress ອັດຕະໂນມັດກັບ NGINX Unit ແລະ Ubuntu

ມີອຸປະກອນຫຼາຍຢ່າງກ່ຽວກັບການຕິດຕັ້ງ WordPress; ການຄົ້ນຫາ Google ສໍາລັບ "WordPress install" ຈະກັບຄືນມາປະມານເຄິ່ງຫນຶ່ງລ້ານຜົນໄດ້ຮັບ. ຢ່າງໃດກໍຕາມ, ຕົວຈິງແລ້ວມີຄໍາແນະນໍາທີ່ເປັນປະໂຫຍດຫນ້ອຍທີ່ສຸດທີ່ສາມາດຊ່ວຍໃຫ້ທ່ານຕິດຕັ້ງແລະຕັ້ງຄ່າ WordPress ແລະລະບົບປະຕິບັດການທີ່ຕິດພັນເພື່ອໃຫ້ພວກເຂົາສາມາດສະຫນັບສະຫນູນໃນໄລຍະຍາວ. ບາງທີການຕັ້ງຄ່າທີ່ຖືກຕ້ອງແມ່ນຂຶ້ນກັບຄວາມຕ້ອງການສະເພາະຂອງທ່ານ, ຫຼືມັນອາດຈະເປັນຍ້ອນວ່າຄໍາອະທິບາຍຢ່າງລະອຽດເຮັດໃຫ້ບົດຄວາມຍາກທີ່ຈະອ່ານ.

ໃນບົດຄວາມນີ້, ພວກເຮົາຈະພະຍາຍາມລວມເອົາສິ່ງທີ່ດີທີ່ສຸດຂອງທັງສອງໂລກໂດຍການສະຫນອງ bash script ເພື່ອຕິດຕັ້ງ WordPress ໂດຍອັດຕະໂນມັດໃນ Ubuntu, ແລະພວກເຮົາຈະຍ່າງຜ່ານມັນ, ອະທິບາຍວ່າແຕ່ລະຊິ້ນເຮັດແລະການຄ້າທີ່ພວກເຮົາເຮັດໃນການອອກແບບ. ມັນ. ຖ້າທ່ານເປັນຜູ້ໃຊ້ທີ່ມີປະສົບການ, ທ່ານສາມາດຂ້າມຂໍ້ຄວາມຂອງບົດຄວາມແລະພຽງແຕ່ ເອົາ script ສໍາລັບການດັດແກ້ແລະການນໍາໃຊ້ໃນສະພາບແວດລ້ອມຂອງທ່ານ. ຜົນໄດ້ຮັບຂອງສະຄິບແມ່ນການຕິດຕັ້ງ WordPress ແບບກໍານົດເອງທີ່ມີການສະຫນັບສະຫນູນ Lets Encrypt, ແລ່ນຢູ່ໃນຫນ່ວຍ NGINX ແລະເຫມາະສົມສໍາລັບການນໍາໃຊ້ອຸດສາຫະກໍາ.

ສະຖາປັດຕະຍະກໍາທີ່ພັດທະນາສໍາລັບການນໍາໃຊ້ WordPress ໂດຍໃຊ້ NGINX Unit ໄດ້ຖືກອະທິບາຍໄວ້ໃນ ບົດຄວາມເກົ່າ, ພວກເຮົາຍັງຈະ configure ເພີ່ມເຕີມສິ່ງທີ່ບໍ່ໄດ້ກວມເອົາຢູ່ທີ່ນັ້ນ (ເຊັ່ນດຽວກັນກັບໃນ tutorials ອື່ນໆຈໍານວນຫຼາຍ):

• WordPress CLI
• ໃຫ້ເຂົ້າລະຫັດ ແລະໃບຢັ້ງຢືນ TLSSSL
• ການຕໍ່ອາຍຸໃບຢັ້ງຢືນອັດຕະໂນມັດ
• NGINX Caching
• ການບີບອັດ NGINX
• HTTPS ແລະ HTTP/2 ຮອງຮັບ
• ອັດຕະໂນມັດຂະບວນການ

ບົດຄວາມຈະອະທິບາຍການຕິດຕັ້ງຢູ່ໃນເຄື່ອງແມ່ຂ່າຍຫນຶ່ງ, ເຊິ່ງພ້ອມໆກັນຈະເປັນເຈົ້າພາບເຊີຟເວີການປຸງແຕ່ງສະຖິດ, ເຄື່ອງແມ່ຂ່າຍການປຸງແຕ່ງ PHP, ແລະຖານຂໍ້ມູນ. ການຕິດຕັ້ງທີ່ມີການສະຫນັບສະຫນູນສໍາລັບເຈົ້າພາບ virtual ຫຼາຍແລະການບໍລິການແມ່ນຫົວຂໍ້ທີ່ມີທ່າແຮງສໍາລັບອະນາຄົດ. ຖ້າທ່ານຕ້ອງການໃຫ້ພວກເຮົາຂຽນກ່ຽວກັບບາງສິ່ງບາງຢ່າງທີ່ບໍ່ມີຢູ່ໃນບົດຄວາມເຫຼົ່ານີ້, ຂຽນໃນຄໍາເຫັນ.

ຄວາມຕ້ອງການ

• ເຄື່ອງບັນຈຸເຊີບເວີ (LXC ຫຼື LXD), ເຄື່ອງ virtual, ຫຼືເຄື່ອງແມ່ຂ່າຍຂອງຮາດແວປົກກະຕິ, ມີຢ່າງຫນ້ອຍ 512MB ຂອງ RAM ແລະ Ubuntu 18.04 ຫຼືຫຼາຍກວ່ານັ້ນຕິດຕັ້ງຫຼ້າສຸດ.
• ທ່າເຮືອທີ່ສາມາດເຂົ້າເຖິງອິນເຕີເນັດໄດ້ 80 ແລະ 443
• ຊື່ໂດເມນທີ່ກ່ຽວຂ້ອງກັບທີ່ຢູ່ IP ສາທາລະນະຂອງເຄື່ອງແມ່ຂ່າຍນີ້
• ການເຂົ້າເຖິງດ້ວຍສິດທິຮາກ (sudo).

ພາບລວມສະຖາປັດຕະຍະກໍາ

ສະຖາປັດຕະຍະກໍາແມ່ນຄືກັນກັບທີ່ໄດ້ອະທິບາຍ ກ່ອນຫນ້ານີ້, ຄໍາຮ້ອງສະຫມັກເວັບໄຊຕ໌ສາມຊັ້ນ. ມັນປະກອບດ້ວຍສະຄິບ PHP ທີ່ຖືກປະຕິບັດຢູ່ໃນເຄື່ອງຈັກ PHP ແລະໄຟລ໌ຄົງທີ່ທີ່ຖືກປຸງແຕ່ງໂດຍເຄື່ອງແມ່ຂ່າຍເວັບ.

ຫຼັກການທົ່ວໄປ

• ຄໍາສັ່ງການຕັ້ງຄ່າຈໍານວນຫຼາຍໃນສະຄິບຖືກຫໍ່ຢູ່ໃນເງື່ອນໄຂສໍາລັບ idempotency: script ສາມາດດໍາເນີນການຫຼາຍຄັ້ງໂດຍບໍ່ມີຄວາມສ່ຽງຕໍ່ການປ່ຽນແປງການຕັ້ງຄ່າທີ່ກຽມພ້ອມແລ້ວ.
• script ພະຍາຍາມຕິດຕັ້ງຊອບແວຈາກ repositories, ດັ່ງນັ້ນທ່ານສາມາດສະຫມັກຂໍເອົາການປັບປຸງລະບົບໃນຫນຶ່ງຄໍາສັ່ງ (apt upgrade ສໍາລັບ Ubuntu).
• ທີມງານພະຍາຍາມກວດພົບວ່າພວກເຂົາກໍາລັງແລ່ນຢູ່ໃນຖັງເພື່ອໃຫ້ພວກເຂົາສາມາດປ່ຽນການຕັ້ງຄ່າຂອງພວກເຂົາຕາມຄວາມເຫມາະສົມ.
• ເພື່ອກໍານົດຈໍານວນຂອງຂະບວນການກະທູ້ທີ່ຈະເປີດຕົວໃນການຕັ້ງຄ່າ, script ພະຍາຍາມເດົາການຕັ້ງຄ່າອັດຕະໂນມັດສໍາລັບການເຮັດວຽກໃນບັນຈຸ, ເຄື່ອງ virtual, ແລະເຄື່ອງແມ່ຂ່າຍຂອງຮາດແວ.
• ໃນເວລາທີ່ອະທິບາຍການຕັ້ງຄ່າ, ພວກເຮົາສະເຫມີຄິດທໍາອິດກ່ຽວກັບອັດຕະໂນມັດ, ເຊິ່ງພວກເຮົາຫວັງວ່າຈະກາຍເປັນພື້ນຖານສໍາລັບການສ້າງໂຄງສ້າງພື້ນຖານຂອງທ່ານເອງເປັນລະຫັດ.
• ຄໍາສັ່ງທັງຫມົດແມ່ນດໍາເນີນການຈາກຜູ້ໃຊ້ ຮາກ, ເພາະວ່າພວກເຂົາປ່ຽນການຕັ້ງຄ່າລະບົບພື້ນຖານ, ແຕ່ WordPress ຕົວມັນເອງແລ່ນເປັນຜູ້ໃຊ້ປົກກະຕິ.

ການຕັ້ງຄ່າຕົວແປສະພາບແວດລ້ອມ

ຕັ້ງຄ່າຕົວແປສະພາບແວດລ້ອມຕໍ່ໄປນີ້ກ່ອນທີ່ຈະແລ່ນສະຄຣິບ:

• WORDPRESS_DB_PASSWORD — ລະ​ຫັດ​ຜ່ານ​ຖານ​ຂໍ້​ມູນ WordPress
• WORDPRESS_ADMIN_USER - ຊື່ຜູ້ໃຊ້ WordPress admin
• WORDPRESS_ADMIN_PASSWORD - ລະຫັດຜ່ານ WordPress admin
• WORDPRESS_ADMIN_EMAIL — ອີເມວ admin WordPress
• WORDPRESS_URL - URL ເຕັມຂອງເວັບໄຊທ໌ WordPress, ເລີ່ມຕົ້ນດ້ວຍ https://.
• LETS_ENCRYPT_STAGING — ຫວ່າງເປົ່າໂດຍຄ່າເລີ່ມຕົ້ນ, ແຕ່ໂດຍການຕັ້ງຄ່າເປັນ 1, ທ່ານຈະໃຊ້ເຊີບເວີຂັ້ນຕອນຂອງ Let's Encrypt, ເຊິ່ງມີຄວາມຈໍາເປັນໃນການຮ້ອງຂໍໃບຢັ້ງຢືນເລື້ອຍໆໃນເວລາທົດສອບການຕັ້ງຄ່າຂອງທ່ານ, ຖ້າບໍ່ດັ່ງນັ້ນ Let's Encrypt ອາດຈະປິດກັ້ນທີ່ຢູ່ IP ຂອງທ່ານຊົ່ວຄາວເນື່ອງຈາກການຮ້ອງຂໍຈໍານວນຫລາຍ.

script ກວດເບິ່ງວ່າຕົວແປທີ່ກ່ຽວຂ້ອງກັບ WordPress ເຫຼົ່ານີ້ຖືກຕັ້ງແລະອອກຖ້າພວກເຂົາບໍ່ແມ່ນ.
Script ເສັ້ນ 572-576 ກວດເບິ່ງຄ່າ LETS_ENCRYPT_STAGING.

ການຕັ້ງຄ່າຕົວແປສະພາບແວດລ້ອມທີ່ມາຈາກ

script ໃນເສັ້ນ 55-61 ກໍານົດຕົວແປສະພາບແວດລ້ອມຕໍ່ໄປນີ້, ບໍ່ວ່າຈະເປັນບາງຄ່າ hard-coded ຫຼືການນໍາໃຊ້ຄ່າທີ່ໄດ້ມາຈາກຕົວແປທີ່ກໍານົດໄວ້ໃນພາກກ່ອນຫນ້າ:

• DEBIAN_FRONTEND="noninteractive" — ບອກແອັບພລິເຄຊັນວ່າພວກເຂົາແລ່ນຢູ່ໃນສະຄຣິບ ແລະບໍ່ມີຄວາມເປັນໄປໄດ້ໃນການໂຕ້ຕອບຂອງຜູ້ໃຊ້.
• WORDPRESS_CLI_VERSION="2.4.0" — WordPress CLI ເວີຊັ່ນຂອງແອັບພລິເຄຊັນ.
• WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — checksum ຂອງ WordPress CLI 2.4.0 executable file (ເວີ​ຊັນ​ແມ່ນ​ໄດ້​ລະ​ບຸ​ໄວ້​ໃນ​ຕົວ​ປ່ຽນ​ແປງ WORDPRESS_CLI_VERSION). script ໃນເສັ້ນ 162 ໃຊ້ຄ່ານີ້ເພື່ອກວດສອບວ່າໄຟລ໌ WordPress CLI ທີ່ຖືກຕ້ອງຖືກດາວໂຫລດແລ້ວ.
• UPLOAD_MAX_FILESIZE="16M" — ຂະໜາດໄຟລ໌ສູງສຸດທີ່ສາມາດອັບໂຫຼດໃສ່ WordPress. ການ​ຕັ້ງ​ຄ່າ​ນີ້​ແມ່ນ​ໄດ້​ຖືກ​ນໍາ​ໃຊ້​ໃນ​ຫຼາຍ​ບ່ອນ​, ສະ​ນັ້ນ​ມັນ​ງ່າຍ​ທີ່​ຈະ​ຕັ້ງ​ມັນ​ຢູ່​ໃນ​ບ່ອນ​ດຽວ​.
• TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — ຊື່ເຈົ້າພາບລະບົບ, ແຍກອອກຈາກຕົວແປ WORDPRESS_URL. ໃຊ້ເພື່ອໃຫ້ໄດ້ໃບຢັ້ງຢືນ TLS/SSL ທີ່ເຫມາະສົມຈາກ Let's Encrypt, ເຊັ່ນດຽວກັນກັບການຢັ້ງຢືນ WordPress ພາຍໃນ.
• NGINX_CONF_DIR="/etc/nginx" — ເສັ້ນທາງໄປຫາໄດເລກະທໍລີທີ່ມີການຕັ້ງຄ່າ NGINX, ລວມທັງໄຟລ໌ຕົ້ນຕໍ nginx.conf.
• CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — ເສັ້ນທາງໄປຫາ Let's Encrypt ໃບຢັ້ງຢືນສໍາລັບເວັບໄຊທ໌ WordPress, ໄດ້ມາຈາກຕົວແປ TLS_HOSTNAME.

ການມອບຊື່ໂຮດໃຫ້ກັບເຊີບເວີ WordPress

script ກໍານົດຊື່ໂຮດຂອງເຄື່ອງແມ່ຂ່າຍເພື່ອໃຫ້ຄ່າກົງກັບຊື່ໂດເມນຂອງເວັບໄຊທ໌. ນີ້ບໍ່ແມ່ນຄວາມຈໍາເປັນ, ແຕ່ມັນສະດວກກວ່າທີ່ຈະສົ່ງຈົດຫມາຍຂາອອກຜ່ານ SMTP ເມື່ອຕັ້ງເຄື່ອງແມ່ຂ່າຍດຽວ, ຕາມການກໍາຫນົດຄ່າໂດຍສະຄິບ.

ລະຫັດສະຄຣິບ

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

ການເພີ່ມຊື່ເຈົ້າພາບໃສ່ /etc/hosts

ເສີມ WP-Cron ໃຊ້ເພື່ອເຮັດວຽກເປັນໄລຍະ, ຮຽກຮ້ອງໃຫ້ WordPress ສາມາດເຂົ້າເຖິງຕົວເອງຜ່ານ HTTP. ເພື່ອໃຫ້ແນ່ໃຈວ່າ WP-Cron ເຮັດວຽກຢ່າງຖືກຕ້ອງໃນທຸກສະພາບແວດລ້ອມ, script ເພີ່ມເສັ້ນໃສ່ໄຟລ໌ / etc / hostsເພື່ອໃຫ້ WordPress ສາມາດເຂົ້າເຖິງຕົວມັນເອງຜ່ານການໂຕ້ຕອບ loopback:

ລະຫັດສະຄຣິບ

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

ການຕິດຕັ້ງເຄື່ອງມືທີ່ຈໍາເປັນສໍາລັບຂັ້ນຕອນຕໍ່ໄປ

ສ່ວນທີ່ເຫຼືອຂອງສະຄິບຕ້ອງການບາງໂຄງການແລະສົມມຸດວ່າ repositories ແມ່ນທັນສະໄຫມ. ພວກເຮົາປັບປຸງບັນຊີລາຍຊື່ຂອງ repositories, ແລະຫຼັງຈາກນັ້ນຕິດຕັ້ງເຄື່ອງມືທີ່ຈໍາເປັນ:

ລະຫັດສະຄຣິບ

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

ການເພີ່ມ NGINX Unit ແລະ NGINX repositories

ສະຄຣິບຕິດຕັ້ງ NGINX Unit ແລະ open source NGINX ຈາກບ່ອນເກັບມ້ຽນ NGINX ຢ່າງເປັນທາງການເພື່ອຮັບປະກັນວ່າລຸ້ນທີ່ມີການປັບປຸງຄວາມປອດໄພຫຼ້າສຸດແລະການແກ້ໄຂຂໍ້ບົກພ່ອງຖືກໃຊ້.

ສະຄຣິບເພີ່ມ NGINX Unit repository ແລະຫຼັງຈາກນັ້ນ NGINX repository, ເພີ່ມລະຫັດ repositories ແລະໄຟລ໌ການຕັ້ງຄ່າ. apt, ກໍານົດການເຂົ້າເຖິງ repositories ຜ່ານອິນເຕີເນັດ.

ການຕິດຕັ້ງຕົວຈິງຂອງຫນ່ວຍງານ NGINX ແລະ NGINX ເກີດຂື້ນໃນພາກຕໍ່ໄປ. ພວກເຮົາເພີ່ມ repositories ລ່ວງໜ້າເພື່ອຫຼີກເວັ້ນການອັບເດດ metadata ຫຼາຍຄັ້ງ, ເຮັດໃຫ້ການຕິດຕັ້ງໄວຂຶ້ນ.

ລະຫັດສະຄຣິບ

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

ການຕິດຕັ້ງ NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) ແລະຄວາມເພິ່ງພາອາໄສຂອງເຂົາເຈົ້າ

ເມື່ອ repositories ທັງຫມົດຖືກເພີ່ມ, ພວກເຮົາປັບປຸງ metadata ແລະຕິດຕັ້ງຄໍາຮ້ອງສະຫມັກ. ແພັກເກັດທີ່ຕິດຕັ້ງໂດຍສະຄິບຍັງປະກອບມີສ່ວນຂະຫຍາຍ PHP ທີ່ແນະນໍາໃນເວລາແລ່ນ WordPress.org

ລະຫັດສະຄຣິບ

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

ການຕັ້ງຄ່າ PHP ສໍາລັບການນໍາໃຊ້ກັບ NGINX Unit ແລະ WordPress

script ສ້າງໄຟລ໌ການຕັ້ງຄ່າໃນໄດເລກະທໍລີ conf.d. ນີ້ກໍານົດຂະຫນາດການອັບໂຫລດໄຟລ໌ສູງສຸດສໍາລັບ PHP, ເຮັດໃຫ້ຄວາມຜິດພາດຂອງ PHP ສາມາດຖືກສົ່ງອອກໄປຫາ STDERR ດັ່ງນັ້ນພວກມັນຈະຖືກບັນທຶກໄວ້ໃນຫນ່ວຍ NGINX, ແລະເປີດຫນ່ວຍ NGINX ຄືນໃໝ່.

ລະຫັດສະຄຣິບ

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

ການຕັ້ງຄ່າຖານຂໍ້ມູນ MariaDB ສໍາລັບ WordPress

ພວກເຮົາເລືອກ MariaDB ຫຼາຍກວ່າ MySQL ເພາະວ່າມັນມີກິດຈະກໍາຊຸມຊົນຫຼາຍຂຶ້ນແລະຍັງສາມາດ ສະຫນອງການປະຕິບັດທີ່ດີກວ່າໂດຍຄ່າເລີ່ມຕົ້ນ (ອາດຈະເປັນ, ທຸກສິ່ງທຸກຢ່າງແມ່ນງ່າຍດາຍກວ່ານີ້: ເພື່ອຕິດຕັ້ງ MySQL, ທ່ານຈໍາເປັນຕ້ອງເພີ່ມບ່ອນເກັບມ້ຽນອື່ນ, ປະມານ. ນັກແປ).

script ສ້າງຖານຂໍ້ມູນໃຫມ່ແລະສ້າງຂໍ້ມູນປະຈໍາການເຂົ້າເຖິງ WordPress ຜ່ານການໂຕ້ຕອບ loopback:

ລະຫັດສະຄຣິບ

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

ການຕິດຕັ້ງໂປຣແກຣມ WordPress CLI

ໃນຂັ້ນຕອນນີ້ script ຕິດຕັ້ງໂຄງການ WP-CLI. ດ້ວຍມັນ, ທ່ານສາມາດຕິດຕັ້ງແລະຈັດການການຕັ້ງຄ່າ WordPress ໂດຍບໍ່ຕ້ອງແກ້ໄຂໄຟລ໌ດ້ວຍຕົນເອງ, ປັບປຸງຖານຂໍ້ມູນ, ຫຼືເຂົ້າສູ່ລະບົບກະດານຄວບຄຸມ. ມັນຍັງສາມາດຖືກນໍາໃຊ້ເພື່ອຕິດຕັ້ງຫົວຂໍ້ແລະ add-ons ແລະປັບປຸງ WordPress.

ລະຫັດສະຄຣິບ

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

ການຕິດຕັ້ງແລະຕັ້ງຄ່າ WordPress

script ຕິດຕັ້ງ WordPress ຮຸ່ນຫຼ້າສຸດເຂົ້າໄປໃນໄດເລກະທໍລີ /var/www/wordpress, ແລະຍັງມີການປ່ຽນແປງການຕັ້ງຄ່າ:

• ການເຊື່ອມຕໍ່ຖານຂໍ້ມູນເຮັດວຽກຜ່ານຊັອກເກັດໂດເມນ unix ແທນ TCP ໃນ loopback ເພື່ອຫຼຸດຜ່ອນການຈະລາຈອນ TCP.
• WordPress ເພີ່ມຄໍານໍາຫນ້າ https:// ໄປຫາ URL ຖ້າລູກຄ້າເຊື່ອມຕໍ່ກັບ NGINX ຜ່ານ HTTPS, ແລະຍັງສົ່ງຊື່ໂຮດຫ່າງໄກສອກຫຼີກ (ຕາມທີ່ສະຫນອງໃຫ້ໂດຍ NGINX) ກັບ PHP. ພວກເຮົາໃຊ້ລະຫັດບາງອັນເພື່ອຕັ້ງຄ່າມັນ.
• WordPress ຕ້ອງການ HTTPS ເພື່ອເຂົ້າສູ່ລະບົບ
• ໂຄງສ້າງ URL ແມ່ນອີງໃສ່ຊັບພະຍາກອນຢ່າງງຽບໆ
• ການອະນຸຍາດລະບົບໄຟລ໌ທີ່ຖືກຕ້ອງຖືກຕັ້ງໄວ້ສໍາລັບໄດເລກະທໍລີ WordPress.

ລະຫັດສະຄຣິບ

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

ຕັ້ງຄ່າ NGINX Unit

ສະຄຣິບຕັ້ງຄ່າ NGINX Unit ເພື່ອແລ່ນ PHP ແລະຈັດການເສັ້ນທາງ WordPress, ແຍກ namespace ຂອງຂະບວນການ PHP ແລະເພີ່ມປະສິດທິພາບການຕັ້ງຄ່າ. ມີສາມລັກສະນະທີ່ຄວນເອົາໃຈໃສ່:

• ການສະຫນັບສະຫນູນ Namespace ຖືກກໍານົດໂດຍເງື່ອນໄຂ, ໂດຍອີງໃສ່ການກວດສອບວ່າ script ແລ່ນຢູ່ໃນ container. ອັນນີ້ເປັນສິ່ງຈໍາເປັນເພາະວ່າການຕິດຕັ້ງຕູ້ຄອນເທນເນີສ່ວນໃຫຍ່ບໍ່ຮອງຮັບການແລ່ນພາຊະນະທີ່ວາງໄວ້.
• ຖ້າມີການຮອງຮັບ namespaces, namespace ຈະຖືກປິດໃຊ້ງານ ເຄືອຂ່າຍ. ນີ້ແມ່ນສິ່ງຈໍາເປັນເພື່ອອະນຸຍາດໃຫ້ WordPress ເຊື່ອມຕໍ່ພ້ອມໆກັນກັບຈຸດສິ້ນສຸດແລະສາມາດເຂົ້າເຖິງໄດ້ໃນອິນເຕີເນັດ.
• ຈໍານວນສູງສຸດຂອງຂະບວນການຖືກກໍານົດດັ່ງຕໍ່ໄປນີ້: (ຫນ່ວຍຄວາມຈໍາທີ່ມີຢູ່ສໍາລັບການແລ່ນ MariaDB ແລະ NGINX Uniy)/(ຈໍາກັດ RAM ໃນ PHP + 5)
  ຄ່ານີ້ຖືກກໍານົດໄວ້ໃນການຕັ້ງຄ່າຫນ່ວຍງານ NGINX.

ມູນຄ່ານີ້ຍັງຫມາຍຄວາມວ່າມີຢ່າງຫນ້ອຍສອງຂະບວນການ PHP ເຮັດວຽກ, ເຊິ່ງເປັນສິ່ງສໍາຄັນເພາະວ່າ WordPress ເຮັດການຮ້ອງຂໍ asynchronous ຫຼາຍກັບຕົວມັນເອງ, ແລະບໍ່ມີຂະບວນການເພີ່ມເຕີມທີ່ເຮັດວຽກ, ຕົວຢ່າງ, WP-Cron ຈະແຕກ. ທ່ານອາດຈະຕ້ອງການເພີ່ມຫຼືຫຼຸດລົງຂໍ້ຈໍາກັດເຫຼົ່ານີ້ໂດຍອີງໃສ່ການຕັ້ງຄ່າທ້ອງຖິ່ນຂອງທ່ານ, ເພາະວ່າການຕັ້ງຄ່າທີ່ສ້າງຂຶ້ນນີ້ແມ່ນແບບອະນຸລັກ. ໃນລະບົບການຜະລິດສ່ວນໃຫຍ່, ການຕັ້ງຄ່າແມ່ນລະຫວ່າງ 10 ຫາ 100.

ລະຫັດສະຄຣິບ

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

ຕັ້ງຄ່າ NGINX

ຕັ້ງຄ່າການຕັ້ງຄ່າ NGINX ພື້ນຖານ

script ສ້າງໄດເລກະທໍລີສໍາລັບ cache NGINX ແລະຫຼັງຈາກນັ້ນສ້າງໄຟລ໌ການຕັ້ງຄ່າຕົ້ນຕໍ nginx.conf. ເອົາໃຈໃສ່ກັບຈໍານວນຂອງຂະບວນການ handler ແລະການຕັ້ງຄ່າຂະຫນາດໄຟລ໌ສູງສຸດສໍາລັບການດາວໂຫຼດ. ຍັງມີເສັ້ນທີ່ໄຟລ໌ການຕັ້ງຄ່າການບີບອັດ, ກໍານົດໄວ້ໃນພາກຕໍ່ໄປ, ເຊື່ອມຕໍ່, ຕິດຕາມດ້ວຍການຕັ້ງຄ່າຖານຄວາມຈໍາ.

ລະຫັດສະຄຣິບ

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

ຕັ້ງຄ່າການບີບອັດ NGINX

ການບີບອັດເນື້ອຫາໃນການບິນກ່ອນທີ່ຈະສົ່ງໃຫ້ລູກຄ້າເປັນວິທີທີ່ດີທີ່ຈະປັບປຸງການປະຕິບັດເວັບໄຊທ໌, ແຕ່ວ່າພຽງແຕ່ຖ້າການບີບອັດຖືກຕັ້ງຄ່າຢ່າງຖືກຕ້ອງ. ພາກສ່ວນຂອງສະຄຣິບນີ້ແມ່ນອີງໃສ່ການຕັ້ງຄ່າ ຈາກນີ້.

ລະຫັດສະຄຣິບ

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

ການຕັ້ງຄ່າ NGINX ສໍາລັບ WordPress

ຕໍ່ໄປ, script ສ້າງໄຟລ໌ການຕັ້ງຄ່າສໍາລັບ WordPress default.conf ໃນລາຍການ conf.d. ນີ້​ແມ່ນ​ການ​ຕັ້ງ​ຄ່າ​:

• ການເປີດໃຊ້ໃບຢັ້ງຢືນ TLS ທີ່ໄດ້ຮັບຈາກ Let's Encrypt ຜ່ານ Certbot (ການຕັ້ງຄ່າມັນຈະຢູ່ໃນພາກຕໍ່ໄປ)
• ຕັ້ງຄ່າການຕັ້ງຄ່າຄວາມປອດໄພ TLS ອີງຕາມຄໍາແນະນໍາຈາກ Let's Encrypt
• ເປີດໃຊ້ແຄດຄຳຮ້ອງຂໍຂ້າມເວລາ 1 ຊົ່ວໂມງຕາມຄ່າເລີ່ມຕົ້ນ
• ປິດການເຂົ້າໃຊ້ການບັນທຶກ, ເຊັ່ນດຽວກັນກັບການບັນທຶກຄວາມຜິດພາດຖ້າໄຟລ໌ບໍ່ພົບ, ສໍາລັບສອງໄຟລ໌ທີ່ຮ້ອງຂໍທົ່ວໄປ: favicon.ico ແລະ robots.txt
• ປະຕິເສດການເຂົ້າເຖິງໄຟລ໌ທີ່ເຊື່ອງໄວ້ ແລະບາງໄຟລ໌ phpເພື່ອປ້ອງກັນການເຂົ້າເຖິງທີ່ຜິດກົດຫມາຍຫຼືການເປີດຕົວໂດຍບໍ່ໄດ້ຕັ້ງໃຈ
• ປິດການເຂົ້າໃຊ້ການບັນທຶກສໍາລັບໄຟລ໌ຄົງທີ່ ແລະຟອນ
• ການ​ຕັ້ງ​ຄ່າ​ຫົວ​ຂໍ້​ Access-Control-Allow-Origin ສໍາລັບໄຟລ໌ font
• ເພີ່ມເສັ້ນທາງສໍາລັບ index.php ແລະ statics ອື່ນໆ.

ລະຫັດສະຄຣິບ

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

ການຕັ້ງຄ່າ Certbot ສໍາລັບ Let's Encrypt ໃບຢັ້ງຢືນແລະການຕໍ່ອາຍຸອັດຕະໂນມັດ

ໃບຢັ້ງຢືນ ເປັນເຄື່ອງມືຟຣີຈາກມູນນິທິ Electronic Frontier (EFF) ທີ່ອະນຸຍາດໃຫ້ທ່ານໄດ້ຮັບ ແລະຕໍ່ອາຍຸໃບຢັ້ງຢືນ TLS ໂດຍອັດຕະໂນມັດຈາກ Let's Encrypt. ສະຄຣິບປະຕິບັດຂັ້ນຕອນຕໍ່ໄປນີ້ເພື່ອຕັ້ງຄ່າ Certbot ເພື່ອປະມວນຜົນໃບຢັ້ງຢືນຈາກ Let's Encrypt ໃນ NGINX:

• ຢຸດ NGINX
• ດາວໂຫລດການຕັ້ງຄ່າ TLS ແນະນໍາ
• ແລ່ນ Certbot ເພື່ອໃຫ້ໄດ້ຮັບໃບຢັ້ງຢືນສໍາລັບເວັບໄຊທ໌
• ຣີສະຕາດ NGINX ເພື່ອໃຊ້ໃບຮັບຮອງ
• ຕັ້ງຄ່າ Certbot ເຮັດວຽກປະຈໍາວັນໃນເວລາ 3:24 ໂມງເຊົ້າເພື່ອກວດເບິ່ງການຕໍ່ອາຍຸໃບຢັ້ງຢືນແລະ, ຖ້າຈໍາເປັນ, ດາວໂຫລດໃບຢັ້ງຢືນໃຫມ່ແລະປິດ NGINX ຄືນໃໝ່.

ລະຫັດສະຄຣິບ

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

ການປັບແຕ່ງເພີ່ມເຕີມຂອງເວັບໄຊຂອງທ່ານ

ພວກເຮົາໄດ້ເວົ້າຂ້າງເທິງກ່ຽວກັບວິທີການສະຄຣິບຂອງພວກເຮົາກໍານົດ NGINX ແລະ NGINX Unit ເພື່ອໃຫ້ບໍລິການເວັບໄຊທ໌ທີ່ກຽມພ້ອມສໍາລັບການຜະລິດໂດຍເປີດໃຊ້ TLSSSL. ທ່ານອາດຈະ, ຂຶ້ນກັບຄວາມຕ້ອງການຂອງທ່ານ, ເພີ່ມໃນອະນາຄົດ:

• ສະຫນັບສະຫນູນ Brotli, ປັບປຸງການບີບອັດໃນເວລາບິນຜ່ານ HTTPS
• ຄວາມປອດໄພ Mod с ກົດລະບຽບສໍາລັບ WordPressເພື່ອປ້ອງກັນການໂຈມຕີອັດຕະໂນມັດຢູ່ໃນເວັບໄຊຂອງທ່ານ
• ສຳ ຮອງ ສໍາລັບ WordPress, ເຫມາະສໍາລັບທ່ານ
• ການປົກປ້ອງ ໂດຍການຊ່ວຍເຫຼືອ AppArmor (ໃນ Ubuntu)
• Postfix ຫຼື msmtp ເພື່ອໃຫ້ WordPress ສາມາດສົ່ງອີເມວໄດ້
• ກວດເບິ່ງເວັບໄຊຂອງເຈົ້າເພື່ອໃຫ້ເຈົ້າເຂົ້າໃຈວ່າມັນສາມາດຈັດການກັບການຈະລາຈອນໄດ້ຫຼາຍປານໃດ

ສໍາລັບການປະຕິບັດເວັບໄຊທ໌ທີ່ດີກວ່າ, ພວກເຮົາແນະນໍາໃຫ້ອັບເກຣດເປັນ NGINX Plus, ຜະລິດຕະພັນການຄ້າລະດັບວິສາຫະກິດຂອງພວກເຮົາໂດຍອີງໃສ່ແຫຼ່ງເປີດ NGINX. ຜູ້ຈອງຂອງມັນຈະໄດ້ຮັບໂມດູນ Brotli ທີ່ມີການໂຫຼດແບບເຄື່ອນໄຫວ, ເຊັ່ນດຽວກັນກັບ (ສໍາລັບຄ່າທໍານຽມເພີ່ມເຕີມ) NGINX ModSecurity WAF. ພວກເຮົາຍັງສະເຫນີ NGINX App Protect, ໂມດູນ WAF ສໍາລັບ NGINX Plus ໂດຍອີງໃສ່ເຕັກໂນໂລຊີຄວາມປອດໄພຊັ້ນນໍາຂອງອຸດສາຫະກໍາຈາກ F5.

NB ສໍາລັບການສະຫນັບສະຫນູນເວັບໄຊທ໌ທີ່ມີການໂຫຼດສູງ, ທ່ານສາມາດຕິດຕໍ່ຜູ້ຊ່ຽວຊານ ພາກໃຕ້. ພວກເຮົາຈະຮັບປະກັນການດໍາເນີນງານໄວແລະເຊື່ອຖືໄດ້ຂອງເວັບໄຊທ໌ຫຼືການບໍລິການຂອງທ່ານພາຍໃຕ້ການໂຫຼດໃດໆ.

ແຫຼ່ງຂໍ້ມູນ: www.habr.com