Автоматизирање на инсталацијата на WordPress со единицата NGINX и Ubuntu

Има многу материјал за инсталирање на WordPress; пребарувањето на Google за „WordPress install“ ќе врати околу половина милион резултати. Сепак, всушност има многу малку корисни водичи таму што можат да ви помогнат да го инсталирате и конфигурирате WordPress и основниот оперативен систем, така што тие можат да бидат поддржани во подолг временски период. Можеби точните поставки во голема мера зависат од вашите специфични потреби, или можеби затоа што деталното објаснување го отежнува читањето на статијата.

Во оваа статија, ќе се обидеме да го собереме најдоброто од двата света со обезбедување на баш скрипта за автоматско инсталирање WordPress на Ubuntu, и ќе поминеме низ него, објаснувајќи што прави секое парче и компромисите што ги направивме при дизајнирањето тоа. Ако сте искусен корисник, можете да го прескокнете текстот на статијата и само земете го сценариото за модификација и употреба во вашите средини. Излезот на скриптата е прилагодена инсталација на WordPress со поддршка за Lets Encrypt, која работи на единицата NGINX и е погодна за индустриска употреба.

Развиената архитектура за распоредување на WordPress со помош на единицата NGINX е опишана во постара статија, сега дополнително ќе ги конфигурираме работите што не беа опфатени таму (како во многу други упатства):

• WordPress CLI
• Ајде да ги криптираме и TLSSSL сертификатите
• Автоматско обновување на сертификатот
• NGINX Кеширање
• NGINX компресија
• Поддршка за HTTPS и HTTP/2
• Автоматизација на процесите

Статијата ќе опише инсталација на еден сервер, кој истовремено ќе биде домаќин на сервер за статичка обработка, сервер за обработка на PHP и база на податоци. Инсталирањето со поддршка за повеќе виртуелни хостови и услуги е потенцијална тема за иднината. Ако сакате да пишуваме за нешто што го нема во овие написи, пишете во коментарите.

Барања

• Контејнер за сервер (LXC или LXD), виртуелна машина или обичен хардверски сервер, со најмалку 512 MB RAM и инсталиран Ubuntu 18.04 или понова верзија.
• Пристаништа 80 и 443 достапни на Интернет
• Името на доменот поврзано со јавната IP адреса на овој сервер
• Пристап со права на root (sudo).

Преглед на архитектурата

Архитектурата е иста како што е опишано порано, веб-апликација со три нивоа. Се состои од PHP скрипти извршени на PHP моторот и статични датотеки обработени од веб-серверот.

Општи принципи

• Многу команди за конфигурација во скрипта се завиткани во услови за немоќ: скриптата може да се изврши повеќе пати без ризик од промена на поставките кои се веќе подготвени.
• Скриптата се обидува да инсталира софтвер од складишта, за да можете да примените системски ажурирања во една команда (apt upgrade за Ubuntu).
• Тимовите се обидуваат да откријат дека работат во контејнер за да можат соодветно да ги променат своите поставки.
• За да го поставите бројот на нишки процеси што треба да се стартуваат во поставките, скриптата се обидува да ги погоди автоматските поставки за работа во контејнери, виртуелни машини и хардверски сервери.
• Кога ги опишуваме поставките, секогаш прво размислуваме за автоматизацијата, која се надеваме дека ќе стане основа за создавање на сопствена инфраструктура како код.
• Сите команди се извршуваат од корисникот корен, бидејќи ги менуваат основните системски поставки, но самиот WordPress работи како редовен корисник.

Поставување променливи на околината

Поставете ги следните променливи на околината пред да ја извршите скриптата:

• WORDPRESS_DB_PASSWORD — Лозинка за базата на податоци на WordPress
• WORDPRESS_ADMIN_USER - Корисничко име за администратор на WordPress
• WORDPRESS_ADMIN_PASSWORD - Лозинка за администратор на WordPress
• WORDPRESS_ADMIN_EMAIL — Е-пошта за администратор на WordPress
• WORDPRESS_URL – целосна URL на страницата на WordPress, почнувајќи од https://.
• LETS_ENCRYPT_STAGING — празен стандардно, но со поставување на вредноста на 1, ќе ги користите серверите за поставување на Let's Encrypt, кои се неопходни за често барање сертификати при тестирање на вашите поставки, во спротивно Let's Encrypt може привремено да ја блокира вашата IP адреса поради големиот број барања.

Скриптата проверува дали овие променливи поврзани со WordPress се поставени и излегува ако не се поставени.
Линиите за скрипта 572-576 ја проверуваат вредноста LETS_ENCRYPT_STAGING.

Поставување изведени променливи на околината

Скриптата на линиите 55-61 ги поставува следните променливи на животната средина, или на некоја тврдокодирана вредност или користејќи вредност добиена од променливите поставени во претходниот дел:

• DEBIAN_FRONTEND="noninteractive" — им кажува на апликациите дека работат во скрипта и дека нема можност за интеракција со корисникот.
• WORDPRESS_CLI_VERSION="2.4.0" — WordPress CLI верзија на апликацијата.
• WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — контролна сума на извршната датотека WordPress CLI 2.4.0 (верзијата е означена во променливата WORDPRESS_CLI_VERSION). Скриптата на линијата 162 ја користи оваа вредност за да потврди дека е преземена точната датотека CLI на WordPress.
• UPLOAD_MAX_FILESIZE="16M" — максималната големина на датотеката што може да се постави на WordPress. Оваа поставка се користи на неколку места, така што е полесно да се постави на едно место.
• TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — име на системски хост, извлечено од променливата WORDPRESS_URL. Се користи за добивање соодветни TLS/SSL сертификати од Let's Encrypt, како и за внатрешна верификација на WordPress.
• NGINX_CONF_DIR="/etc/nginx" — патека до директориумот со поставки NGINX, вклучувајќи ја и главната датотека nginx.conf.
• CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — патека до Let's Encrypt сертификати за страницата на WordPress, добиена од променливата TLS_HOSTNAME.

Доделување име на домаќин на серверот WordPress

Скриптата го поставува името на домаќинот на серверот така што вредноста се совпаѓа со името на доменот на страницата. Ова не е неопходно, но попогодно е да се испраќа појдовна пошта преку SMTP кога се поставува еден сервер, како што е конфигурирано од скриптата.

код за скрипта

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

Додавање име на домаќин во /etc/hosts

Покрај тоа ВП-Крон се користи за извршување на периодични задачи, бара WordPress да може самиот да пристапи преку HTTP. За да бидете сигурни дека WP-Cron работи правилно во сите средини, скриптата додава линија во датотеката / Etc / Силитетака што WordPress може да пристапи сам преку интерфејсот loopback:

код за скрипта

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

Инсталирање на алатките потребни за следните чекори

Остатокот од скриптата бара некои програми и претпоставува дека складиштата се ажурирани. Ја ажурираме листата на складишта, а потоа ги инсталираме потребните алатки:

код за скрипта

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

Додавање на NGINX Unit и NGINX складишта

Скриптата инсталира NGINX Unit и NGINX со отворен код од официјалните складишта на NGINX за да се осигура дека се користат верзиите со најновите безбедносни ажурирања и поправени грешки.

Скриптата го додава складиштето NGINX Unit, а потоа складиштето NGINX, додавајќи го клучот за складишта и датотеките за поставки apt, дефинирање на пристап до складишта преку Интернет.

Вистинската инсталација на единицата NGINX и NGINX се случува во следниот дел. Ние однапред додаваме складишта за да избегнеме повеќекратно ажурирање на метаподатоците, што ја прави инсталацијата побрза.

код за скрипта

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

Инсталирање NGINX, NGINX Unit, PHP MariaDB, Certbot (Ајде да криптираме) и нивните зависности

Откако ќе се додадат сите складишта, ги ажурираме метаподатоците и ги инсталираме апликациите. Пакетите инсталирани од скриптата исто така вклучуваат PHP екстензии препорачани при извршување на WordPress.org

код за скрипта

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

Поставување PHP за употреба со единицата NGINX и WordPress

Скриптата создава датотека за поставки во директориумот конф.д.. Ова ја поставува максималната големина на подигнување на датотеки за PHP, овозможува PHP-грешките да се излезат на STDERR за да се евидентираат во единицата NGINX и ја рестартира единицата NGINX.

код за скрипта

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

Поставување на поставки за базата на податоци на MariaDB за WordPress

Ја избравме MariaDB наместо MySQL бидејќи има поголема активност во заедницата и исто така може стандардно обезбедува подобри перформанси (Веројатно, сè е поедноставно овде: за да инсталирате MySQL, треба да додадете друго складиште, прибл. преведувач).

Скриптата создава нова база на податоци и создава акредитиви за пристап до WordPress преку интерфејсот за враќање на јамката:

код за скрипта

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

Инсталирање на програмата WordPress CLI

На овој чекор скриптата ја инсталира програмата WP-CLI. Со него, можете да инсталирате и управувате со поставките на WordPress без да морате рачно да уредувате датотеки, да ја ажурирате базата на податоци или да се најавувате на контролната табла. Може да се користи и за инсталирање теми и додатоци и ажурирање на WordPress.

код за скрипта

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

Инсталирање и конфигурирање на WordPress

Скриптата ја инсталира најновата верзија на WordPress во директориумот /var/www/wordpress, а исто така ги менува поставките:

• Поврзувањето со базата на податоци работи преку приклучок за домен unix наместо TCP на повратен циклус за да се намали сообраќајот на TCP.
• WordPress додава префикс https:// на URL-то ако клиентите се поврзат со NGINX преку HTTPS, а исто така го испраќа името на далечинскиот управувач (како што е обезбедено од NGINX) до PHP. Ние користиме парче код за да го поставиме ова.
• На WordPress му треба HTTPS за да се најави
• Структурата на URL-то е тивко базирана на ресурси
• Правилните дозволи за датотечен систем се поставени за директориумот на WordPress.

код за скрипта

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

Поставување на единицата NGINX

Скриптата ја конфигурира единицата NGINX да работи PHP и да управува со патеките на WordPress, изолирајќи го именскиот простор на процесите на PHP и оптимизирајќи ги поставките за изведба. Постојат три карактеристики на кои вреди да се обрне внимание:

• Поддршката за именскиот простор се одредува според условите, врз основа на проверка дали скриптата работи во контејнерот. Ова е неопходно бидејќи повеќето поставки на контејнери не поддржуваат вгнездено работење на контејнери.
• Ако има поддршка за именски простори, именскиот простор е оневозможен мрежа. Ова е неопходно за да се овозможи WordPress истовремено да се поврзе со крајните точки и да биде достапен на Интернет.
• Максималниот број на процеси се одредува на следниов начин: (Достапна меморија за извршување MariaDB и NGINX Uniy)/(Ограничување на RAM во PHP + 5)
  Оваа вредност е поставена во поставките на единицата NGINX.

Оваа вредност, исто така, имплицира дека секогаш работат најмалку два PHP процеси, што е важно затоа што WordPress си поставува многу асинхрони барања и без дополнителни процеси што се извршуваат, на пример, WP-Cron ќе се прекине. Можеби ќе сакате да ги зголемите или намалите овие ограничувања врз основа на вашите локални поставки, бидејќи поставките создадени овде се конзервативни. На повеќето системи за производство, поставките се помеѓу 10 и 100.

код за скрипта

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

Поставување на NGINX

Конфигурирање на основните поставки на NGINX

Скриптата создава директориум за кешот NGINX и потоа ја креира главната конфигурациска датотека nginx.conf. Обрнете внимание на бројот на процеси на управувачот и максималната поставка за големина на датотеката за преземање. Исто така, постои линија на која е поврзана датотеката за поставки за компресија, дефинирана во следниот дел, проследена со поставки за кеширање.

код за скрипта

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

Поставување на NGINX компресија

Компресирањето на содржината веднаш пред да се испрати до клиентите е одличен начин за подобрување на перформансите на страницата, но само ако компресијата е правилно конфигурирана. Овој дел од скриптата се заснова на поставките оттука.

код за скрипта

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

Поставување на NGINX за WordPress

Следно, скриптата создава конфигурациска датотека за WordPress стандардно.conf во каталогот конф.д.. Тука е конфигуриран:

• Активирање на TLS сертификати добиени од Let's Encrypt преку Certbot (конфигурирањето ќе биде во следниот дел)
• Конфигурирајте ги безбедносните поставки за TLS врз основа на препораките од Let's Encrypt
• Стандардно овозможете кеширање на прескокнати барања 1 час
• Оневозможете евиденција за пристап, како и евиденција на грешки ако датотеката не е пронајдена, за две вообичаени барани датотеки: favicon.ico и robots.txt
• Одбијте пристап до скриените датотеки и некои датотеки .phpза да се спречи нелегален пристап или ненамерно лансирање
• Оневозможете евиденција за пристап за статични датотеки и датотеки со фонтови
• Поставување на насловот Access-Control-Allow-Origin за датотеки со фонтови
• Додавање рутирање за index.php и друга статика.

код за скрипта

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

Конфигурирање на Certbot за Let's Encrypt сертификати и нивно автоматско обновување

certbot е бесплатна алатка од Electronic Frontier Foundation (EFF) која ви овозможува да добивате и автоматски да ги обновувате TLS сертификатите од Let's Encrypt. Скриптата ги извршува следните чекори за да го конфигурира Certbot да обработува сертификати од Let's Encrypt во NGINX:

• Го запира NGINX
• Презема препорачаните поставки за TLS
• Го извршува Certbot за да добие сертификати за страницата
• Го рестартира NGINX за да користи сертификати
• Го конфигурира Certbot да работи секојдневно во 3:24 часот за да провери дали има обновување на сертификатите и, доколку е потребно, да преземе нови сертификати и да го рестартира NGINX.

код за скрипта

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

Дополнително прилагодување на вашиот сајт

Зборувавме погоре за тоа како нашата скрипта ги конфигурира NGINX и NGINX единицата за да опслужува веб-локација подготвена за производство со овозможен TLSSSL. Можете исто така, во зависност од вашите потреби, да додадете во иднина:

• Поддршка Brotli, подобрена компресија при летот преку HTTPS
• Mod Security с правила за WordPressза да спречите автоматизирани напади на вашата страница
• Резервна копија за WordPress, погоден за вас
• Заштита со помош на AppArmor (на Ubuntu)
• Postfix или msmtp за WordPress да може да испраќа пошта
• Проверка на вашата страница за да разберете колку сообраќај може да поднесе

За уште подобри перформанси на страницата, препорачуваме надградба на NGINX Plus, нашиот комерцијален производ за претпријатие заснован на NGINX со отворен код. Неговите претплатници ќе добијат динамички вчитан Brotli модул, како и (за дополнителен надомест) NGINX ModSecurity WAF. Ние исто така нудиме Заштита на апликацијата NGINX, WAF модул за NGINX Plus базиран на водечка безбедносна технологија во индустријата од F5.

NB За поддршка на веб-локација со големо оптоварување, можете да контактирате со специјалисти Саутбриџ. Ние ќе обезбедиме брзо и сигурно функционирање на вашата веб-страница или услуга под какво било оптоварување.

Извор: www.habr.com