WordPress instalēšanas automatizācija, izmantojot NGINX Unit un Ubuntu

Ir daudz apmācības par to, kā instalēt WordPress, Google meklēšana ar "WordPress install" parādīs aptuveni pusmiljonu rezultātu. Tomēr patiesībā starp tiem ir ļoti maz labu ceļvežu, saskaņā ar kuriem jūs varat instalēt un konfigurēt WordPress un pamatā esošo operētājsistēmu, lai tās varētu atbalstīt ilgu laiku. Iespējams, pareizie iestatījumi ir ļoti atkarīgi no konkrētām vajadzībām, vai arī tas ir saistīts ar faktu, ka detalizēts skaidrojums apgrūtina raksta lasīšanu.

Šajā rakstā mēs centīsimies apvienot labāko no abām pasaulēm, nodrošinot bash skriptu, lai automātiski instalētu WordPress Ubuntu, kā arī izietu to cauri, izskaidrojot katras daļas darbību, kā arī kompromisus, ko pieļāvām, izstrādājot to. . Ja esat pieredzējis lietotājs, varat izlaist raksta tekstu un vienkārši paņem skriptu pārveidošanai un lietošanai jūsu vidē. Skripta izvade ir pielāgota WordPress instalācija ar Lets Encrypt atbalstu, kas darbojas NGINX vienībā un ir piemērota ražošanas lietošanai.

Izstrādātā arhitektūra WordPress izvietošanai, izmantojot NGINX vienību, ir aprakstīta vecāks raksts, tagad mēs arī turpmāk konfigurēsim lietas, kas tur nebija aplūkotas (kā daudzās citās apmācībās):

• WordPress CLI
• Šifrēsim un TLSSSL sertifikātus
• Automātiska sertifikātu atjaunošana
• NGINX kešatmiņa
• NGINX kompresija
• HTTPS un HTTP/2 atbalsts
• Procesu automatizācija

Rakstā tiks aprakstīta instalēšana vienā serverī, kurā vienlaikus tiks mitināts statiskās apstrādes serveris, PHP apstrādes serveris un datu bāze. Instalācija, kas atbalsta vairākus virtuālos saimniekdatorus un pakalpojumus, ir potenciāls nākotnes temats. Ja vēlaties, lai mēs rakstām par kaut ko, kas nav šajos rakstos, rakstiet komentāros.

Prasības

• Konteinera serveris (LXC vai LXD), virtuālā mašīna vai parasts dzelzs serveris ar vismaz 512 MB RAM un instalēta Ubuntu 18.04 vai jaunāka versija.
• Internetam pieejams ports 80 un 443
• Domēna nosaukums, kas saistīts ar šī servera publisko IP adresi
• Saknes piekļuve (sudo).

Arhitektūras pārskats

Arhitektūra ir tāda pati kā aprakstīts pirms tam, trīs līmeņu tīmekļa lietojumprogramma. Tas sastāv no PHP skriptiem, kas darbojas PHP dzinējā, un statiskiem failiem, kurus apstrādā tīmekļa serveris.

Vispārējie principi

• Daudzas skripta konfigurācijas komandas ir iesaiņotas idempotences apstākļos: skriptu var palaist vairākas reizes, neriskējot mainīt jau esošos iestatījumus.
• Skripts mēģina instalēt programmatūru no krātuvēm, lai jūs varētu lietot sistēmas atjauninājumus vienā komandā (apt upgrade Ubuntu).
• Komandas mēģina noteikt, ka tās darbojas konteinerā, lai tās varētu attiecīgi mainīt savus iestatījumus.
• Lai iestatījumos iestatītu iesākamo pavedienu procesu skaitu, skripts mēģina uzminēt automātiskos iestatījumus darbam konteineros, virtuālajās mašīnās un aparatūras serveros.
• Aprakstot iestatījumus, mēs vienmēr vispirms domājam par automatizāciju, kas, mēs ceram, kļūs par pamatu, lai izveidotu savu infrastruktūru kā kodu.
• Visas komandas tiek izpildītas kā lietotājs sakne, jo tie maina pamata sistēmas iestatījumus, bet tieši WordPress darbojas kā parasts lietotājs.

Vides mainīgo iestatīšana

Pirms skripta palaišanas iestatiet šādus vides mainīgos:

• WORDPRESS_DB_PASSWORD - WordPress datu bāzes parole
• WORDPRESS_ADMIN_USER - WordPress administratora vārds
• WORDPRESS_ADMIN_PASSWORD - WordPress administratora parole
• WORDPRESS_ADMIN_EMAIL - WordPress administratora e-pasts
• WORDPRESS_URL ir pilns WordPress vietnes URL, sākot no https://.
• LETS_ENCRYPT_STAGING - pēc noklusējuma tukšs, bet, iestatot vērtību uz 1, jūs izmantosiet Encrypt inscenēšanas serverus, kas ir nepieciešami bieži sertifikātu pieprasīšanai, pārbaudot iestatījumus, pretējā gadījumā Let's Encrypt var īslaicīgi bloķēt jūsu ip adresi lielā pieprasījumu skaita dēļ. .

Skripts pārbauda, ​​vai šie ar WordPress saistītie mainīgie ir iestatīti, un iziet, ja nē.
Skripta rindiņas 572-576 pārbauda vērtību LETS_ENCRYPT_STAGING.

Atvasināto vides mainīgo iestatīšana

Skripts 55.–61. rindiņā iestata šādus vides mainīgos vai nu uz kādu cieti kodētu vērtību, vai izmantojot vērtību, kas iegūta no iepriekšējā sadaļā iestatītajiem mainīgajiem:

• DEBIAN_FRONTEND="noninteractive" - norāda lietojumprogrammām, ka tās darbojas skriptā un ka nav iespējama lietotāja mijiedarbība.
• WORDPRESS_CLI_VERSION="2.4.0" ir WordPress CLI lietojumprogrammas versija.
• WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — WordPress CLI 2.4.0 izpildāmā faila kontrolsumma (versija ir norādīta mainīgajā WORDPRESS_CLI_VERSION). Skripts 162. rindā izmanto šo vērtību, lai pārbaudītu, vai ir lejupielādēts pareizais WordPress CLI fails.
• UPLOAD_MAX_FILESIZE="16M" - maksimālais faila lielums, ko var augšupielādēt programmā WordPress. Šis iestatījums tiek izmantots vairākās vietās, tāpēc to ir vieglāk iestatīt vienā vietā.
• TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - sistēmas resursdatora nosaukums, izgūts no WORDPRESS_URL mainīgā. Izmanto, lai iegūtu atbilstošus TLS/SSL sertifikātus no Let's Encrypt, kā arī iekšējai WordPress verifikācijai.
• NGINX_CONF_DIR="/etc/nginx" - ceļš uz direktoriju ar NGINX iestatījumiem, ieskaitot galveno failu nginx.conf.
• CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — ceļš uz WordPress vietnes Let's Encrypt sertifikātiem, kas iegūti no mainīgā TLS_HOSTNAME.

Resursdatora nosaukuma piešķiršana WordPress serverim

Skripts iestata servera saimniekdatora nosaukumu, lai tas atbilstu vietnes domēna nosaukumam. Tas nav nepieciešams, taču ērtāk ir nosūtīt izejošos pastu, izmantojot SMTP, iestatot vienu serveri, kā tas ir konfigurēts skriptā.

skripta kods

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

Saimniekdatora nosaukuma pievienošana /etc/hosts

Papildinājums WP-Cron izmanto periodisku uzdevumu izpildei, ir nepieciešams, lai WordPress varētu piekļūt, izmantojot HTTP. Lai pārliecinātos, ka WP-Cron darbojas pareizi visās vidēs, skripts failam pievieno rindiņu / Etc / hostslai WordPress varētu piekļūt, izmantojot cilpas interfeisu:

skripta kods

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

Nākamajām darbībām nepieciešamo rīku uzstādīšana

Pārējam skriptam ir nepieciešamas dažas programmas, un tiek pieņemts, ka krātuves ir atjauninātas. Mēs atjauninām repozitoriju sarakstu, pēc tam instalējam nepieciešamos rīkus:

skripta kods

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

NGINX vienības un NGINX krātuvju pievienošana

Skripts instalē NGINX Unit un atvērtā koda NGINX no oficiālajām NGINX krātuvēm, lai pārliecinātos, ka tiek izmantotas versijas ar jaunākajiem drošības ielāpiem un kļūdu labojumiem.

Skripts pievieno NGINX vienības repozitoriju un pēc tam NGINX repozitoriju, pievienojot repozitoriju atslēgu un konfigurācijas failus apt, kas nosaka piekļuvi krātuvēm, izmantojot internetu.

Faktiskā NGINX vienības un NGINX instalēšana notiek nākamajā sadaļā. Mēs iepriekš pievienojam krātuves, lai mums nebūtu jāatjaunina metadati vairākas reizes, tādējādi padarot instalēšanu ātrāku.

skripta kods

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

NGINX, NGINX vienības, PHP MariaDB, Certbot (šifrēsim) un to atkarību instalēšana

Kad visas krātuves ir pievienotas, atjauniniet metadatus un instalējiet lietojumprogrammas. Skripta instalētajās pakotnēs ir iekļauti arī PHP paplašinājumi, kas ieteicami, palaižot vietni WordPress.org

skripta kods

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

PHP iestatīšana lietošanai ar NGINX vienību un WordPress

Skripts direktorijā izveido iestatījumu failu conf.d. Tādējādi tiek iestatīts maksimālais PHP augšupielādes faila lielums, tiek ieslēgta PHP kļūdu izvade uz STDERR, lai tās tiktu ierakstītas NGINX vienības žurnālā, un tiek restartēta NGINX vienība.

skripta kods

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

MariaDB datu bāzes iestatījumu norādīšana pakalpojumam WordPress

Mēs esam izvēlējušies MariaDB, nevis MySQL, jo tajā ir lielāka kopienas aktivitāte un, visticamāk, arī tā būs nodrošina labāku veiktspēju pēc noklusējuma (iespējams, šeit viss ir vienkāršāk: lai instalētu MySQL, jums jāpievieno vēl viens repozitorijs, apm. tulks).

Skripts izveido jaunu datu bāzi un izveido akreditācijas datus, lai piekļūtu WordPress, izmantojot cilpas interfeisu:

skripta kods

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

WordPress CLI programmas instalēšana

Šajā darbībā skripts instalē programmu WP-CLI. Izmantojot to, varat instalēt un pārvaldīt WordPress iestatījumus, neveicot manuālu failu rediģēšanu, datu bāzes atjaunināšanu vai vadības paneļa ievadīšanu. To var izmantot arī motīvu un papildinājumu instalēšanai un WordPress atjaunināšanai.

skripta kods

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

WordPress instalēšana un konfigurēšana

Skripts direktorijā instalē jaunāko WordPress versiju /var/www/wordpressun arī maina iestatījumus:

• Datu bāzes savienojums darbojas, izmantojot unix domēna ligzdu, nevis TCP atpakaļcilpas režīmā, lai samazinātu TCP trafiku.
• WordPress pievieno prefiksu https:// uz URL, ja klienti izveido savienojumu ar NGINX, izmantojot HTTPS, un arī nosūta attālo resursdatora nosaukumu (kā nodrošina NGINX) uz PHP. Mēs izmantojam koda fragmentu, lai to iestatītu.
• Lai pieteiktos, WordPress ir nepieciešams HTTPS
• Noklusējuma URL struktūra ir balstīta uz resursiem
• Iestata pareizās WordPress direktorija failu sistēmas atļaujas.

skripta kods

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

Notiek NGINX vienības iestatīšana

Skripts konfigurē NGINX vienību, lai palaistu PHP un apstrādātu WordPress ceļus, izolējot PHP procesa nosaukumvietu un optimizējot veiktspējas iestatījumus. Šeit ir jāņem vērā trīs funkcijas:

• Atbalstu nosaukumvietām nosaka nosacījumi, pamatojoties uz pārbaudi, vai skripts darbojas konteinerā. Tas ir nepieciešams, jo lielākā daļa konteineru iestatījumu neatbalsta konteineru ligzdotu palaišanu.
• Ja ir atbalsts nosaukumvietām, atspējojiet nosaukumvietu tīkls. Tas ir paredzēts, lai WordPress varētu izveidot savienojumu ar abiem galapunktiem un vienlaikus būt pieejamam tīmeklī.
• Maksimālais procesu skaits ir definēts šādi: (Pieejamā atmiņa, lai palaistu MariaDB un NGINX Uniy)/(RAM ierobežojums PHP + 5)
  Šī vērtība ir iestatīta NGINX vienības iestatījumos.

Šī vērtība arī nozīmē, ka vienmēr darbojas vismaz divi PHP procesi, kas ir svarīgi, jo WordPress veic daudz asinhronu pieprasījumu sev, un bez papildu procesiem, piemēram, WP-Cron palaišana pārtrūks. Iespējams, vēlēsities palielināt vai samazināt šos ierobežojumus, pamatojoties uz vietējiem iestatījumiem, jo ​​šeit izveidotie iestatījumi ir konservatīvi. Lielākajā daļā ražošanas sistēmu iestatījumi ir no 10 līdz 100.

skripta kods

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

Notiek NGINX iestatīšana

NGINX pamata iestatījumu konfigurēšana

Skripts izveido direktoriju NGINX kešatmiņai un pēc tam izveido galveno konfigurācijas failu nginx.conf. Pievērsiet uzmanību apdarinātāja procesu skaitam un maksimālā augšupielādes faila lieluma iestatīšanai. Ir arī rinda, kas ietver nākamajā sadaļā definēto saspiešanas iestatījumu failu, kam seko kešatmiņas iestatījumi.

skripta kods

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

NGINX kompresijas iestatīšana

Satura saspiešana lidojumā pirms tā nosūtīšanas klientiem ir lielisks veids, kā uzlabot vietnes veiktspēju, taču tikai tad, ja saspiešana ir pareizi konfigurēta. Šī skripta sadaļa ir balstīta uz iestatījumiem tātad.

skripta kods

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

NGINX iestatīšana pakalpojumam WordPress

Pēc tam skripts izveido WordPress konfigurācijas failu default.conf katalogā conf.d. Tas ir konfigurēts šeit:

• TLS sertifikātu aktivizēšana, kas saņemti no Let's Encrypt, izmantojot Certbot (tā iestatīšana būs nākamajā sadaļā)
• TLS drošības iestatījumu konfigurēšana, pamatojoties uz Let's Encrypt ieteikumiem
• Pēc noklusējuma iespējot izlaišanas pieprasījumu saglabāšanu kešatmiņā uz 1 stundu
• Atspējot piekļuves reģistrēšanu, kā arī kļūdu reģistrēšanu, ja fails nav atrasts, diviem bieži pieprasītajiem failiem: favicon.ico un robots.txt
• Novērst piekļuvi slēptiem failiem un dažiem failiem phplai novērstu nelikumīgu piekļuvi vai netīšu iedarbināšanu
• Atspējot piekļuves reģistrēšanu statiskajiem un fontu failiem
• Galvenes iestatījums Access-Control-Allow-Origin fontu failiem
• Maršrutēšanas pievienošana indeksam.php un citai statikai.

skripta kods

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

Certbot iestatīšana sertifikātiem no Let's Encrypt un to automātiska atjaunošana

Certbot ir Electronic Frontier Foundation (EFF) bezmaksas rīks, kas ļauj iegūt un automātiski atjaunot TLS sertifikātus no Let's Encrypt. Skripts veic šādas darbības, lai konfigurētu Certbot apstrādāt sertifikātus no Let's Encrypt NGINX:

• Aptur NGINX
• Lejupielādē ieteicamos TLS iestatījumus
• Palaiž Certbot, lai iegūtu vietnes sertifikātus
• Restartē NGINX, lai izmantotu sertifikātus
• Konfigurē Certbot, lai tā darbotos katru dienu plkst. 3:24, lai pārbaudītu, vai sertifikāti ir jāatjauno, un, ja nepieciešams, lejupielādētu jaunus sertifikātus un restartētu NGINX.

skripta kods

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

Jūsu vietnes papildu pielāgošana

Iepriekš mēs runājām par to, kā mūsu skripts konfigurē NGINX un NGINX vienību, lai tā apkalpotu ražošanai gatavu vietni ar iespējotu TLSSSL. Atkarībā no savām vajadzībām varat arī turpmāk pievienot:

• atbalsts Brotli, uzlabota saspiešana lidojuma laikā, izmantojot HTTPS
• ModSecurity с WordPress noteikumilai novērstu automatizētus uzbrukumus jūsu vietnei
• rezerves WordPress, kas jums ir piemērots
• Aizsardzība via AppArmor (uz Ubuntu)
• Postfix vai msmtp, lai WordPress varētu nosūtīt pastu
• Vietnes pārbaude, lai saprastu, cik lielu trafiku tā spēj apstrādāt

Lai nodrošinātu vēl labāku vietnes veiktspēju, iesakām jaunināt uz NGINX Plus, mūsu komerciālais, uzņēmuma līmeņa produkts, kura pamatā ir atvērtā koda NGINX. Tā abonenti saņems dinamiski ielādētu Brotli moduli, kā arī (par papildus samaksu) NGINX ModSecurity WAF. Mēs arī piedāvājam NGINX App Protect, WAF modulis NGINX Plus, kas balstīts uz nozarē vadošo drošības tehnoloģiju no F5.

NB Lai atbalstītu ļoti noslogotu vietni, varat sazināties ar ekspertiem Southbridge. Mēs nodrošināsim ātru un uzticamu Jūsu mājas lapas vai pakalpojuma darbību pie jebkuras slodzes.

Avots: www.habr.com