Awtomatizzazzjoni tal-installazzjoni ta 'WordPress ma' NGINX Unit u Ubuntu
Hemm ħafna materjal hemmhekk dwar l-installazzjoni ta 'WordPress; tfittxija ta' Google għal "WordPress install" se tagħti madwar nofs miljun riżultat. Madankollu, fil-fatt hemm ftit gwidi utli hemmhekk li jistgħu jgħinuk tinstalla u tikkonfigura WordPress u s-sistema operattiva sottostanti sabiex ikunu jistgħu jiġu appoġġjati fuq perjodu twil ta 'żmien. Forsi s-settings korretti jiddependu ħafna fuq il-bżonnijiet speċifiċi tiegħek, jew jista 'jkun minħabba li l-ispjegazzjoni dettaljata tagħmel l-artiklu diffiċli biex jinqara.
F'dan l-artikolu, aħna ser nippruvaw ngħaqqdu l-aħjar taż-żewġ dinjiet billi nipprovdu script bash biex tinstalla awtomatikament WordPress fuq Ubuntu, u ngħaddu minnu, nispjegaw x'tagħmel kull biċċa u l-kompromessi li għamilna fit-tfassil. dan. Jekk inti utent b'esperjenza, tista 'taqbeż it-test tal-artikolu u biss ħu l-iskript għall-modifika u l-użu fl-ambjenti tiegħek. L-output tal-iskritt huwa installazzjoni personalizzata ta 'WordPress b'appoġġ Lets Encrypt, li taħdem fuq NGINX Unit u adattata għall-użu industrijali.
L-arkitettura żviluppata għall-iskjerament ta 'WordPress bl-użu ta' NGINX Unit hija deskritta fi artiklu antik, issa se nkomplu nikkonfiguraw ukoll affarijiet li ma kinux koperti hemmhekk (bħal f'ħafna tutorials oħra):
WordPress CLI
Ejja Encrypt u ċertifikati TLSSSL
Tiġdid awtomatiku taċ-ċertifikat
NGINX Caching
Kompressjoni NGINX
Appoġġ HTTPS u HTTP/2
Awtomazzjoni tal-proċess
L-artikolu se jiddeskrivi l-installazzjoni fuq server wieħed, li fl-istess ħin se jospita server tal-ipproċessar statiku, server tal-ipproċessar PHP, u database. L-installazzjoni b'appoġġ għal hosts u servizzi virtwali multipli hija suġġett potenzjali għall-futur. Jekk trid li niktbu dwar xi ħaġa li mhix f'dawn l-artikoli, ikteb fil-kummenti.
Rekwiżiti
Kontenitur tas-server (LXC jew LXD), magna virtwali, jew server ta 'ħardwer regolari, b'mill-inqas 512MB ta' RAM u Ubuntu 18.04 jew aktar reċenti installati.
Portijiet aċċessibbli għall-Internet 80 u 443
L-isem tad-dominju assoċjat mal-indirizz IP pubbliku ta’ dan is-server
Aċċess bi drittijiet root (sudo).
Ħarsa ġenerali lejn l-arkitettura
L-arkitettura hija l-istess kif deskritta qabel, applikazzjoni tal-web fuq tliet livelli. Tikkonsisti minn skripts PHP esegwiti fuq il-magna PHP u fajls statiċi pproċessati mis-server tal-web.
Prinċipji ġenerali
Bosta kmandi tal-konfigurazzjoni fi skript huma mgeżwra f'kundizzjonijiet if għall-idempotenza: l-iskript jista 'jitħaddem diversi drabi mingħajr ir-riskju li jinbidlu s-settings li huma diġà lesti.
L-iskript jipprova jinstalla softwer minn repożitorji, sabiex tkun tista' tapplika aġġornamenti tas-sistema f'kmand wieħed (apt upgrade għal Ubuntu).
It-timijiet jippruvaw jiskopru li qed jaħdmu f'kontenitur sabiex ikunu jistgħu jibdlu s-settings tagħhom kif xieraq.
Sabiex jiġi stabbilit in-numru ta 'proċessi tal-ħajt li għandhom jiġu mnedija fis-settings, l-iskrittura jipprova raden is-settings awtomatiċi għax-xogħol f'kontenituri, magni virtwali, u servers tal-ħardwer.
Meta niddeskrivu s-settings, aħna dejjem naħsbu l-ewwel dwar l-awtomazzjoni, li nittamaw li ssir il-bażi għall-ħolqien tal-infrastruttura tiegħek bħala kodiċi.
Il-kmandi kollha jitmexxew mill-utent għeruq, għax jibdlu s-settings bażiċi tas-sistema, iżda WordPress innifsu jaħdem bħala utent regolari.
Twaqqif ta' varjabbli ambjentali
Issettja l-varjabbli ambjentali li ġejjin qabel ma tħaddem l-iscript:
WORDPRESS_ADMIN_EMAIL — Email ta’ l-amministratur ta’ WordPress
WORDPRESS_URL – URL sħiħ tas-sit WordPress, li jibda minn https://.
LETS_ENCRYPT_STAGING — vojta b'mod awtomatiku, iżda billi tissettja l-valur għal 1, tuża s-servers ta' staging ta' Let's Encrypt, li huma meħtieġa biex ta' spiss titlob ċertifikati meta tittestja s-settings tiegħek, inkella Let's Encrypt tista' timblokka temporanjament l-indirizz IP tiegħek minħabba n-numru kbir ta 'talbiet.
L-iskrittura jiċċekkja li dawn il-varjabbli relatati ma 'WordPress huma stabbiliti u joħorġu jekk mhumiex.
Linji tal-iskript 572-576 iċċekkja l-valur LETS_ENCRYPT_STAGING.
Twaqqif ta' varjabbli ambjentali derivati
L-iskrittura fuq il-linji 55-61 tistabbilixxi l-varjabbli ambjentali li ġejjin, jew għal xi valur hard-coded jew billi juża valur derivat mill-varjabbli stabbiliti fit-taqsima preċedenti:
DEBIAN_FRONTEND="noninteractive" — jgħid lill-applikazzjonijiet li qed jaħdmu fi skript u m'hemm l-ebda possibbiltà ta' interazzjoni tal-utent.
WORDPRESS_CLI_VERSION="2.4.0" — Verżjoni WordPress CLI tal-applikazzjoni.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — checksum tal-fajl eżekutibbli WordPress CLI 2.4.0 (il-verżjoni hija indikata fil-varjabbli WORDPRESS_CLI_VERSION). L-iskrittura fuq il-linja 162 juża dan il-valur biex jivverifika li l-fajl CLI korrett ta 'WordPress ġie mniżżel.
UPLOAD_MAX_FILESIZE="16M" — id-daqs massimu tal-fajl li jista’ jittella’ fuq WordPress. Dan l-issettjar jintuża f'diversi postijiet, għalhekk huwa aktar faċli li tissettjah f'post wieħed.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — hostname tas-sistema, estratt mill-varjabbli WORDPRESS_URL. Użati biex jinkisbu ċertifikati TLS/SSL xierqa minn Let's Encrypt, kif ukoll għall-verifika interna ta 'WordPress.
NGINX_CONF_DIR="/etc/nginx" — mogħdija għad-direttorju b'settings NGINX, inkluż il-fajl prinċipali nginx.conf.
L-iskrittura tistabbilixxi l-hostname tas-server sabiex il-valur jaqbel mal-isem tad-dominju tas-sit. Dan mhux meħtieġ, iżda huwa aktar konvenjenti li tibgħat posta ħierġa permezz ta 'SMTP meta twaqqaf server wieħed, kif ikkonfigurat mill-iskritt.
kodiċi tal-iskrittura
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Żieda hostname għal /etc/hosts
Suppliment WP-Cron użat biex imexxi kompiti perjodiċi, jeħtieġ li WordPress ikun jista’ jaċċessa ruħu permezz ta’ HTTP. Biex tiżgura li WP-Cron jaħdem b'mod korrett fl-ambjenti kollha, l-iskrittura żżid linja mal-fajl / Etc / hostssabiex WordPress ikun jista’ jaċċessa ruħu permezz tal-interface loopback:
kodiċi tal-iskrittura
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Il-bqija tal-iskrittura teħtieġ xi programmi u jassumi li r-repożitorji huma aġġornati. Aħna naġġornaw il-lista tar-repożitorji, u mbagħad ninstallaw l-għodda meħtieġa:
kodiċi tal-iskrittura
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Żieda tal-Unità NGINX u repożitorji NGINX
L-iskript jinstalla NGINX Unit u open source NGINX mir-repożitorji uffiċjali NGINX biex jiżgura li jintużaw il-verżjonijiet bl-aħħar aġġornamenti tas-sigurtà u bug fixes.
L-iskrittura żżid ir-repożitorju tal-Unità NGINX u mbagħad ir-repożitorju NGINX, u żżid iċ-ċavetta tar-repożitorji u l-fajls tas-settings apt, tiddefinixxi l-aċċess għar-repożitorji permezz tal-Internet.
L-installazzjoni attwali tal-Unità NGINX u NGINX isseħħ fit-taqsima li jmiss. Aħna nżidu repożitorji minn qabel biex nevitaw li naġġornaw il-metadejta diversi drabi, u b'hekk l-installazzjoni tkun aktar mgħaġġla.
kodiċi tal-iskrittura
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Installazzjoni ta' NGINX, NGINX Unit, PHP MariaDB, Certbot (Ejja Encrypt) u d-dipendenzi tagħhom
Ladarba r-repożitorji kollha jiġu miżjuda, aħna naġġornaw il-metadejta u ninstallaw l-applikazzjonijiet. Il-pakketti installati mill-iskritt jinkludu wkoll estensjonijiet PHP rakkomandati meta tħaddem WordPress.org
kodiċi tal-iskrittura
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Twaqqif ta 'PHP għall-użu ma' NGINX Unit u WordPress
L-iskrittura toħloq fajl tas-settings fid-direttorju konf. d. Dan jistabbilixxi d-daqs massimu tal-upload tal-fajl għall-PHP, jippermetti li l-iżbalji PHP jiġu output għal STDERR sabiex ikunu illoggjati fl-Unità NGINX, u jerġa 'jibda l-Unità NGINX.
kodiċi tal-iskrittura
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
L-issettjar tas-Settings tad-Database MariaDB għal WordPress
Aħna għażilna MariaDB fuq MySQL għaliex għandha aktar attività tal-komunità u tista 'wkoll jipprovdi prestazzjoni aħjar awtomatikament (Probabbilment, kollox huwa aktar sempliċi hawn: biex tinstalla MySQL, għandek bżonn iżżid repożitorju ieħor, madwar. traduttur).
L-iskrittura toħloq database ġdida u toħloq kredenzjali ta' aċċess għal WordPress permezz tal-interface loopback:
kodiċi tal-iskrittura
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Installazzjoni tal-programm CLI WordPress
F'dan il-pass l-iskript jinstalla l-programm WP-CLI. Biha, tista 'tinstalla u timmaniġġja s-settings ta' WordPress mingħajr ma jkollok teditja l-fajls manwalment, taġġorna d-database, jew tidħol fil-pannell tal-kontroll. Jista 'jintuża wkoll biex jinstalla temi u add-ons u jaġġorna WordPress.
kodiċi tal-iskrittura
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Installazzjoni u Konfigurazzjoni ta' WordPress
L-iskrittura tinstalla l-aħħar verżjoni ta 'WordPress fid-direttorju /var/www/wordpress, u jibdel ukoll is-settings:
Il-konnessjoni tad-database taħdem fuq socket tad-dominju unix minflok TCP fuq loopback biex tnaqqas it-traffiku TCP.
WordPress iżid prefiss https:// għall-URL jekk il-klijenti jikkonnettjaw ma 'NGINX fuq HTTPS, u jibgħat ukoll l-isem tal-host remot (kif ipprovdut minn NGINX) lil PHP. Aħna nużaw biċċa kodiċi biex nistabbilixxu dan.
WordPress jeħtieġ HTTPS biex tidħol
L-istruttura tal-URL hija bbażata fuq ir-riżorsi fis-skiet
Permessi korretti tas-sistema tal-fajls huma stabbiliti għad-direttorju WordPress.
kodiċi tal-iskrittura
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Twaqqif tal-Unità NGINX
L-iskrittura tikkonfigura l-Unità NGINX biex tħaddem PHP u timmaniġġja l-mogħdijiet ta 'WordPress, iżola l-ispazju tal-isem tal-proċessi PHP u jottimizza l-issettjar tal-prestazzjoni. Hemm tliet karatteristiċi li ta’ min joqgħod attent għalihom:
Is-sostenn tal-ispazju tal-isem huwa ddeterminat mill-kondizzjoni, ibbażat fuq il-verifika li l-iskript qed jaħdem fil-kontenitur. Dan huwa meħtieġ minħabba li l-biċċa l-kbira tas-setups tal-kontejners ma jappoġġjawx it-tħaddim nested tal-kontenituri.
Jekk ikun hemm appoġġ għall-ispazji tal-isem, l-ispazju tal-isem huwa diżattivat netwerk. Dan huwa meħtieġ biex jippermetti lil WordPress jgħaqqad fl-istess ħin ma 'endpoints u jkun aċċessibbli fuq l-Internet.
In-numru massimu ta' proċessi huwa determinat kif ġej: (Memorja disponibbli għat-tħaddim ta' MariaDB u NGINX Uniy)/(Il-limitu ta' RAM f'PHP + 5)
Dan il-valur huwa stabbilit fis-settings tal-Unità NGINX.
Dan il-valur jimplika wkoll li dejjem ikun hemm mill-inqas żewġ proċessi PHP għaddejjin, li huwa importanti minħabba li WordPress jagħmel ħafna talbiet mhux sinkroniċi għalih innifsu, u mingħajr proċessi addizzjonali li qed jaħdmu, pereżempju, WP-Cron jinkiser. Tista' tkun trid iżżid jew tnaqqas dawn il-limiti abbażi tas-settings lokali tiegħek, minħabba li s-settings maħluqa hawn huma konservattivi. Fil-biċċa l-kbira tas-sistemi ta' produzzjoni, is-settings huma bejn 10 u 100.
kodiċi tal-iskrittura
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Twaqqif ta' NGINX
Konfigurazzjoni ta' Settings Bażiċi ta' NGINX
L-iskrittura toħloq direttorju għall-cache NGINX u mbagħad toħloq il-fajl tal-konfigurazzjoni prinċipali nginx.conf. Oqgħod attent għan-numru ta 'proċessi ta' handler u l-issettjar tad-daqs massimu tal-fajl għat-tniżżil. Hemm ukoll linja li fuqha l-fajl tas-settings tal-kompressjoni, definit fit-taqsima li jmiss, huwa konness, segwit minn settings tal-caching.
Il-kompressjoni tal-kontenut fuq il-fly qabel ma tibgħatha lill-klijenti hija mod tajjeb ħafna biex tittejjeb il-prestazzjoni tas-sit, iżda biss jekk il-kompressjoni hija kkonfigurata b'mod korrett. Din it-taqsima tal-iskript hija bbażata fuq is-settings għalhekk.
kodiċi tal-iskrittura
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Twaqqif ta 'NGINX għal WordPress
Sussegwentement, l-iskrittura toħloq fajl ta 'konfigurazzjoni għal WordPress default.conf fil-katalgu konf. d. Hawnhekk huwa kkonfigurat:
L-attivazzjoni taċ-ċertifikati TLS riċevuti minn Let's Encrypt permezz ta' Certbot (il-konfigurazzjoni tkun fis-sezzjoni li jmiss)
Ikkonfigura s-settings tas-sigurtà TLS ibbażati fuq rakkomandazzjonijiet minn Let's Encrypt
Ippermetti l-caching ta' rikjesti skipped għal siegħa b'mod awtomatiku
Iddiżattiva l-illoggjar tal-aċċess, kif ukoll logging tal-iżbalji jekk il-fajl ma jinstabx, għal żewġ fajls komuni mitluba: favicon.ico u robots.txt
Iċħad aċċess għal fajls moħbija u xi fajls PHPbiex jipprevjenu aċċess illegali jew tnedija mhux intenzjonata
Iddiżattiva l-illoggjar tal-aċċess għall-fajls statiċi u tat-tipa
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Konfigurazzjoni ta 'Certbot għal ċertifikati Let's Encrypt u awtomatikament iġeddedhom
Certbot hija għodda b'xejn mill-Electronic Frontier Foundation (EFF) li tippermettilek tikseb u ġġedded awtomatikament iċ-ċertifikati TLS minn Let's Encrypt. L-iskrittura twettaq il-passi li ġejjin biex tikkonfigura Certbot biex tipproċessa ċertifikati minn Let's Encrypt f'NGINX:
Jwaqqaf NGINX
Settings TLS rakkomandati għal downloads
Imexxi Certbot biex jikseb ċertifikati għas-sit
jerġa' jibda NGINX biex juża ċ-ċertifikati
Jikkonfigura Certbot biex jaħdem kuljum fit-3:24 a.m. biex jiċċekkja għal tiġdid taċ-ċertifikati u, jekk meħtieġ, tniżżel ċertifikati ġodda u jerġa 'jibda NGINX.
kodiċi tal-iskrittura
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Personalizzazzjoni addizzjonali tas-sit tiegħek
Tkellimna hawn fuq dwar kif l-iskrittura tagħna tikkonfigura NGINX u NGINX Unit biex iservu websajt lesta għall-produzzjoni bi TLSSSL attivat. Tista' wkoll, skont il-bżonnijiet tiegħek, iżżid fil-futur:
Appoġġ Brotli, kompressjoni mtejba fuq il-fly fuq HTTPS
Postfix jew msmtp sabiex WordPress jista 'jibgħat posta
Iċċekkja s-sit tiegħek sabiex tifhem kemm jista' jimmaniġġja traffiku
Għal prestazzjoni aħjar tas-sit, nirrakkomandaw li taġġorna għal NGINX Plus, il-prodott kummerċjali tagħna ta 'grad ta' intrapriża bbażat fuq is-sors miftuħ NGINX. L-abbonati tiegħu se jirċievu modulu Brotli mgħobbi b'mod dinamiku, kif ukoll (bi ħlas addizzjonali) NGINX ModSecurity WAF. Noffru wkoll NGINX App Ipproteġi, Modulu WAF għal NGINX Plus ibbażat fuq teknoloġija ta 'sigurtà li twassal fl-industrija minn F5.
NB Għall-appoġġ ta 'websajt b'tagħbija għolja, tista' tikkuntattja speċjalisti Southbridge. Aħna se niżguraw tħaddim veloċi u affidabbli tal-websajt jew is-servizz tiegħek taħt kwalunkwe tagħbija.