Automatyzacja instalacji WordPressa za pomocą NGINX Unit i Ubuntu
Istnieje wiele materiałów na temat instalacji WordPressa; wyszukiwanie w Google hasła „instalacja WordPressa” zwróci około pół miliona wyników. Jednak w rzeczywistości istnieje bardzo niewiele przydatnych przewodników, które mogą pomóc w instalacji i konfiguracji WordPressa oraz bazowego systemu operacyjnego, tak aby mogły być obsługiwane przez długi czas. Być może prawidłowe ustawienia zależą w dużej mierze od Twoich konkretnych potrzeb lub może to wynikać z faktu, że szczegółowe wyjaśnienia utrudniają czytanie artykułu.
W tym artykule postaramy się połączyć to, co najlepsze z obu światów, udostępniając skrypt bash do automatycznej instalacji WordPressa na Ubuntu, a także omówimy go, wyjaśniając, co robi każdy element i kompromisy, jakie poczyniliśmy podczas projektowania To. Jeśli jesteś doświadczonym użytkownikiem, możesz pominąć tekst artykułu i po prostu weź scenariusz do modyfikacji i wykorzystania w swoich środowiskach. Wynikiem skryptu jest niestandardowa instalacja WordPress z obsługą Lets Encrypt, działająca na jednostce NGINX i odpowiednia do zastosowań przemysłowych.
Opracowaną architekturę wdrażania WordPressa przy użyciu NGINX Unit opisano w starszy artykuł, teraz skonfigurujemy także rzeczy, które nie zostały tam omówione (jak w wielu innych tutorialach):
CLI WordPress
Zaszyfrujmy i certyfikaty TLSSSL
Automatyczne odnawianie certyfikatu
Buforowanie NGINX
Kompresja NGINX
Obsługa HTTPS i HTTP/2
Automatyzacja procesów
W artykule zostanie opisana instalacja na jednym serwerze, który będzie jednocześnie hostem serwera przetwarzania statycznego, serwera przetwarzania PHP i bazy danych. Instalacja z obsługą wielu wirtualnych hostów i usług jest potencjalnym tematem na przyszłość. Jeśli chcesz, żebyśmy napisali o czymś, czego nie ma w tych artykułach, napisz w komentarzach.
Wymagania
Kontener serwera (LXC lub LXD), maszynę wirtualną lub zwykły serwer sprzętowy z co najmniej 512 MB pamięci RAM i zainstalowanym systemem Ubuntu 18.04 lub nowszym.
Dostępne porty internetowe 80 i 443
Nazwa domeny powiązana z publicznym adresem IP tego serwera
Dostęp z uprawnieniami roota (sudo).
Przegląd architektury
Architektura jest taka sama, jak opisano wcześniej, trójwarstwowa aplikacja internetowa. Składa się ze skryptów PHP wykonywanych na silniku PHP oraz plików statycznych przetwarzanych przez serwer WWW.
Zasady ogólne
Wiele poleceń konfiguracyjnych w skrypcie jest opakowanych w warunki idempotencji: skrypt można uruchomić wiele razy bez ryzyka zmiany już gotowych ustawień.
Skrypt próbuje zainstalować oprogramowanie z repozytoriów, dzięki czemu jednym poleceniem można zastosować aktualizacje systemu (apt upgrade dla Ubuntu).
Zespoły próbują wykryć, że działają w kontenerze, aby móc odpowiednio zmienić swoje ustawienia.
Aby ustawić w ustawieniach liczbę procesów wątków, które mają zostać uruchomione, skrypt próbuje odgadnąć automatyczne ustawienia pracy w kontenerach, maszynach wirtualnych i serwerach sprzętowych.
Opisując ustawienia, zawsze w pierwszej kolejności myślimy o automatyzacji, która, mamy nadzieję, stanie się podstawą do stworzenia własnej infrastruktury w postaci kodu.
Wszystkie polecenia są uruchamiane przez użytkownika korzeń, bo zmieniają podstawowe ustawienia systemu, ale sam WordPress działa jako zwykły użytkownik.
Ustawianie zmiennych środowiskowych
Przed uruchomieniem skryptu ustaw następujące zmienne środowiskowe:
WORDPRESS_DB_PASSWORD — Hasło do bazy danych WordPress
WORDPRESS_ADMIN_USER - Nazwa użytkownika administratora WordPress
WORDPRESS_URL – pełny adres URL witryny WordPress, zaczynający się od https://.
LETS_ENCRYPT_STAGING — domyślnie puste, ale ustawiając wartość na 1, będziesz korzystać z serwerów testowych Let's Encrypt, które są niezbędne do częstego żądania certyfikatów podczas testowania Twoich ustawień, w przeciwnym razie Let's Encrypt może tymczasowo zablokować Twój adres IP ze względu na dużą liczbę żądań.
Skrypt sprawdza, czy zmienne powiązane z WordPressem są ustawione i kończy działanie, jeśli nie są.
Linie skryptu 572-576 sprawdzają wartość LETS_ENCRYPT_STAGING.
Ustawianie pochodnych zmiennych środowiskowych
Skrypt w liniach 55-61 ustawia następujące zmienne środowiskowe na jakąś zakodowaną na stałe wartość lub używając wartości wywodzącej się ze zmiennych ustawionych w poprzedniej sekcji:
DEBIAN_FRONTEND="noninteractive" — informuje aplikacje, że działają w skrypcie i nie ma możliwości interakcji z użytkownikiem.
WORDPRESS_CLI_VERSION="2.4.0" — Wersja aplikacji WordPress CLI.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — suma kontrolna pliku wykonywalnego WordPress CLI 2.4.0 (wersja jest wskazana w zmiennej WORDPRESS_CLI_VERSION). Skrypt w linii 162 używa tej wartości do sprawdzenia, czy pobrany został poprawny plik CLI WordPress.
UPLOAD_MAX_FILESIZE="16M" — maksymalny rozmiar pliku, jaki można przesłać do WordPressa. To ustawienie jest używane w kilku miejscach, więc łatwiej jest ustawić je w jednym miejscu.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — nazwa hosta systemu, wyodrębniona ze zmiennej WORDPRESS_URL. Służy do uzyskania odpowiednich certyfikatów TLS/SSL od Let's Encrypt, a także do wewnętrznej weryfikacji WordPress.
NGINX_CONF_DIR="/etc/nginx" — ścieżka do katalogu z ustawieniami NGINX, w tym do pliku głównego nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — ścieżka do certyfikatów Let's Encrypt dla witryny WordPress, uzyskana ze zmiennej TLS_HOSTNAME.
Przypisywanie nazwy hosta do serwera WordPress
Skrypt ustawia nazwę hosta serwera tak, aby wartość odpowiadała nazwie domeny witryny. Nie jest to konieczne, ale wygodniej jest wysyłać pocztę wychodzącą przez SMTP podczas konfigurowania pojedynczego serwera, zgodnie z konfiguracją skryptu.
kod skryptu
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Dodanie nazwy hosta do /etc/hosts
Dodatek WP-Cron używany do wykonywania zadań okresowych, wymaga, aby WordPress mógł uzyskać dostęp do siebie za pośrednictwem protokołu HTTP. Aby mieć pewność, że WP-Cron działa poprawnie we wszystkich środowiskach, skrypt dodaje linię do pliku / Etc / hostsaby WordPress mógł uzyskać dostęp do siebie poprzez interfejs pętli zwrotnej:
kod skryptu
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Instalowanie narzędzi wymaganych do kolejnych kroków
Pozostała część skryptu wymaga niektórych programów i zakłada, że repozytoria są aktualne. Aktualizujemy listę repozytoriów, a następnie instalujemy niezbędne narzędzia:
kod skryptu
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Dodanie jednostki NGINX i repozytoriów NGINX
Skrypt instaluje NGINX Unit i open source NGINX z oficjalnych repozytoriów NGINX, aby mieć pewność, że używane są wersje z najnowszymi aktualizacjami zabezpieczeń i poprawkami błędów.
Skrypt dodaje repozytorium NGINX Unit, a następnie repozytorium NGINX, dodając klucz repozytoriów i pliki ustawień apt, definiujący dostęp do repozytoriów poprzez Internet.
Rzeczywista instalacja jednostki NGINX i NGINX zostanie opisana w następnej sekcji. Wstępnie dodajemy repozytoria, aby uniknąć wielokrotnego aktualizowania metadanych, co przyspiesza instalację.
kod skryptu
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Instalacja NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) i ich zależności
Po dodaniu wszystkich repozytoriów aktualizujemy metadane i instalujemy aplikacje. Pakiety instalowane przez skrypt zawierają także rozszerzenia PHP zalecane przy uruchomieniu WordPress.org
kod skryptu
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Konfigurowanie PHP do użytku z NGINX Unit i WordPress
Skrypt tworzy plik ustawień w katalogu conf.d. Ustawia to maksymalny rozmiar przesyłanego pliku dla PHP, umożliwia wysyłanie błędów PHP do STDERR, dzięki czemu będą one rejestrowane w jednostce NGINX, i ponownie uruchamia jednostkę NGINX.
kod skryptu
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Ustawianie ustawień bazy danych MariaDB dla WordPress
Wybraliśmy MariaDB zamiast MySQL, ponieważ ma ona większą aktywność społecznościową i może również domyślnie zapewnia lepszą wydajność (Prawdopodobnie tutaj wszystko jest prostsze: aby zainstalować MySQL, musisz dodać kolejne repozytorium, około. tłumacz).
Skrypt tworzy nową bazę danych i tworzy dane uwierzytelniające dostęp do WordPress poprzez interfejs pętli zwrotnej:
kod skryptu
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Instalacja programu CLI WordPress
Na tym etapie skrypt instaluje program WP-CLI. Dzięki niemu możesz zainstalować i zarządzać ustawieniami WordPressa bez konieczności ręcznej edycji plików, aktualizacji bazy danych czy logowania się do panelu administracyjnego. Można go również używać do instalowania motywów i dodatków oraz aktualizacji WordPress.
kod skryptu
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Instalacja i konfiguracja WordPressa
Skrypt instaluje najnowszą wersję WordPressa w katalogu /var/www/wordpress, a także zmienia ustawienia:
Połączenie z bazą danych działa przez gniazdo domeny unixowej, a nie przez TCP w trybie sprzężenia zwrotnego, aby zmniejszyć ruch TCP.
WordPress dodaje przedrostek https:// na adres URL, jeśli klienci łączą się z NGINX przez HTTPS, a także wysyła nazwę zdalnego hosta (podaną przez NGINX) do PHP. Aby to skonfigurować, używamy fragmentu kodu.
WordPress potrzebuje protokołu HTTPS do logowania
Struktura adresu URL jest dyskretnie oparta na zasobach
Dla katalogu WordPress ustawiono prawidłowe uprawnienia systemu plików.
kod skryptu
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Konfigurowanie jednostki NGINX
Skrypt konfiguruje jednostkę NGINX do uruchamiania PHP i obsługi ścieżek WordPress, izolując przestrzeń nazw procesów PHP i optymalizując ustawienia wydajności. Warto zwrócić uwagę na trzy funkcje:
Obsługa przestrzeni nazw jest określana na podstawie warunku na podstawie sprawdzenia, czy skrypt działa w kontenerze. Jest to konieczne, ponieważ większość konfiguracji kontenerów nie obsługuje zagnieżdżonego uruchamiania kontenerów.
Jeśli dostępna jest obsługa przestrzeni nazw, przestrzeń nazw jest wyłączona sieć. Jest to konieczne, aby WordPress mógł jednocześnie łączyć się z punktami końcowymi i być dostępnym w Internecie.
Maksymalna liczba procesów jest określana w następujący sposób: (Dostępna pamięć do uruchamiania MariaDB i NGINX Uniy)/(Limit pamięci RAM w PHP + 5)
Wartość tę ustawia się w ustawieniach jednostki NGINX.
Ta wartość oznacza również, że zawsze działają co najmniej dwa procesy PHP, co jest ważne, ponieważ WordPress wysyła do siebie wiele asynchronicznych żądań i bez uruchomionych dodatkowych procesów, na przykład WP-Cron ulegnie awarii. Możesz zwiększyć lub zmniejszyć te limity w zależności od ustawień lokalnych, ponieważ utworzone tutaj ustawienia są konserwatywne. W większości systemów produkcyjnych ustawienia mieszczą się w przedziale od 10 do 100.
kod skryptu
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Konfigurowanie NGINX
Konfigurowanie podstawowych ustawień NGINX
Skrypt tworzy katalog dla pamięci podręcznej NGINX, a następnie tworzy główny plik konfiguracyjny nginx.conf. Zwróć uwagę na liczbę procesów obsługi i ustawienie maksymalnego rozmiaru pliku do pobrania. Istnieje również linia, do której podłączany jest plik ustawień kompresji, zdefiniowany w następnej sekcji, a następnie ustawienia buforowania.
Kompresowanie treści na bieżąco przed wysłaniem ich do klientów to świetny sposób na poprawę wydajności witryny, ale tylko wtedy, gdy kompresja jest poprawnie skonfigurowana. Ta część skryptu opiera się na ustawieniach stąd.
kod skryptu
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Konfigurowanie NGINX dla WordPressa
Następnie skrypt tworzy plik konfiguracyjny dla WordPressa domyślny.konf w katalogu conf.d. Tutaj jest skonfigurowany:
Aktywacja certyfikatów TLS otrzymanych od Let's Encrypt poprzez Certbota (konfiguracja będzie w następnym rozdziale)
Skonfiguruj ustawienia zabezpieczeń TLS w oparciu o zalecenia Let's Encrypt
Włącz domyślnie buforowanie pominiętych żądań na 1 godzinę
Wyłącz rejestrowanie dostępu i rejestrowanie błędów, jeśli plik nie zostanie znaleziony, dla dwóch często żądanych plików: favicon.ico i robots.txt
Odmów dostępu do ukrytych plików i niektórych plików . Phpaby zapobiec nielegalnemu dostępowi lub niezamierzonemu uruchomieniu
Wyłącz rejestrowanie dostępu dla plików statycznych i czcionek
Dodanie routingu dla pliku Index.php i innych statystyk.
kod skryptu
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Konfiguracja Certbota do obsługi certyfikatów Let's Encrypt i automatyczne ich odnawianie
Certbot to darmowe narzędzie od Electronic Frontier Foundation (EFF), które pozwala na uzyskanie i automatyczne odnawianie certyfikatów TLS od Let's Encrypt. Skrypt wykonuje następujące kroki, aby skonfigurować Certbota do przetwarzania certyfikatów z Let's Encrypt w NGINX:
Zatrzymuje NGINX
Pobiera zalecane ustawienia TLS
Uruchamia Certbota w celu uzyskania certyfikatów dla witryny
Uruchamia ponownie NGINX w celu użycia certyfikatów
Konfiguruje Certbota do uruchamiania codziennie o 3:24 w celu sprawdzania odnowień certyfikatów i, jeśli to konieczne, pobierania nowych certyfikatów i ponownego uruchamiania NGINX.
kod skryptu
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Dodatkowa personalizacja Twojej witryny
Powyżej rozmawialiśmy o tym, jak nasz skrypt konfiguruje NGINX i NGINX Unit do obsługi gotowej do produkcji witryny internetowej z włączoną obsługą TLSSSL. Możesz także, w zależności od potrzeb, dodać w przyszłości:
Wsparcie Brotli, ulepszona kompresja w locie przez HTTPS
Postfix lub msmtp, aby WordPress mógł wysyłać pocztę
Sprawdzanie witryny, aby dowiedzieć się, jaki ruch może obsłużyć
Aby uzyskać jeszcze lepszą wydajność witryny, zalecamy aktualizację do wersji NGINX Plusa, nasz produkt komercyjny klasy korporacyjnej oparty na otwartym kodzie źródłowym NGINX. Jego abonenci otrzymają dynamicznie ładowany moduł Brotli, a także (za dodatkową opłatą) NGINX ModSecurity WAF. Oferujemy również Ochrona aplikacji NGINX, moduł WAF dla NGINX Plus oparty na wiodącej w branży technologii bezpieczeństwa firmy F5.
NB Aby uzyskać wsparcie dla witryny o dużym obciążeniu, możesz skontaktować się ze specjalistami Southbridge. Zapewnimy szybkie i niezawodne działanie Twojej witryny lub serwisu pod każdym obciążeniem.