Automatizarea instalării WordPress cu Unitatea NGINX și Ubuntu
Există multe tutoriale despre cum să instalați WordPress, o căutare pe Google pentru „WordPress install” va aduce aproximativ jumătate de milion de rezultate. Cu toate acestea, de fapt, există foarte puține ghiduri bune printre ele, conform cărora puteți instala și configura WordPress și sistemul de operare subiacent, astfel încât acestea să fie capabile de suport pentru o perioadă lungă de timp. Poate că setările corecte depind foarte mult de nevoile specifice, sau acest lucru se datorează faptului că o explicație detaliată face articolul dificil de citit.
În acest articol, vom încerca să combinăm tot ce este mai bun din ambele lumi, oferind un script bash pentru a instala automat WordPress pe Ubuntu, precum și să-l parcurgem, explicând ce face fiecare piesă, precum și compromisurile pe care le-am făcut în dezvoltarea acesteia. . Dacă sunteți un utilizator avansat, puteți sări peste textul articolului și doar ia scenariul pentru modificare și utilizare în mediile dumneavoastră. Ieșirea scriptului este o instalare WordPress personalizată cu suport Lets Encrypt, rulând pe unitatea NGINX și potrivită pentru utilizare în producție.
Arhitectura dezvoltată pentru implementarea WordPress utilizând unitatea NGINX este descrisă în articol mai vechi, acum vom configura în continuare lucruri care nu au fost acoperite acolo (ca în multe alte tutoriale):
CLI WordPress
Să criptăm și certificatele TLSSSL
Reînnoirea automată a certificatelor
Memorarea în cache NGINX
Compresie NGINX
Suport HTTPS și HTTP/2
Automatizarea procesului
Articolul va descrie instalarea pe un server, care va găzdui simultan un server de procesare static, un server de procesare PHP și o bază de date. O instalare care acceptă mai multe gazde și servicii virtuale este un subiect potențial pentru viitor. Dacă doriți să scriem despre ceva care nu este în aceste articole, scrieți în comentarii.
Cerințe
Server container (LXC sau Lxd), o mașină virtuală sau un server obișnuit de fier cu cel puțin 512 MB de RAM și Ubuntu 18.04 sau mai nou instalat.
Porturile 80 și 443 accesibile la internet
Nume de domeniu asociat cu adresa IP publică a acestui server
Acces rădăcină (sudo).
Privire de ansamblu asupra arhitecturii
Arhitectura este aceeași cu cea descrisă mai devreme, o aplicație web cu trei niveluri. Este format din scripturi PHP care rulează pe motorul PHP și fișiere statice care sunt procesate de serverul web.
Principii generale
Multe comenzi de configurare dintr-un script sunt împachetate în condiții de idempotitate: scriptul poate fi rulat de mai multe ori fără riscul de a modifica setările care sunt deja în vigoare.
Scriptul încearcă să instaleze software din depozite, astfel încât să puteți aplica actualizări de sistem într-o singură comandă (apt upgrade pentru Ubuntu).
Comenzile încearcă să detecteze că rulează într-un container, astfel încât să își poată schimba setările în consecință.
Pentru a seta numărul de procese de fire care vor începe în setări, scriptul încearcă să ghicească setările automate pentru lucrul în containere, mașini virtuale și servere hardware.
Când descriem setările, ne gândim întotdeauna în primul rând la automatizare, care, sperăm, va deveni baza pentru crearea propriei infrastructuri ca cod.
Toate comenzile sunt executate ca utilizator rădăcină, deoarece modifică setările de bază ale sistemului, dar direct WordPress rulează ca un utilizator obișnuit.
Setarea variabilelor de mediu
Setați următoarele variabile de mediu înainte de a rula scriptul:
WORDPRESS_DB_PASSWORD - Parola bazei de date WordPress
WORDPRESS_ADMIN_USER - Numele administratorului WordPress
WORDPRESS_ADMIN_PASSWORD - Parola de administrator WordPress
WORDPRESS_ADMIN_EMAIL - E-mail de administrator WordPress
WORDPRESS_URL este adresa URL completă a site-ului WordPress, începând de la https://.
LETS_ENCRYPT_STAGING - gol în mod implicit, dar setând valoarea la 1, veți folosi serverele de staging Let's Encrypt, care sunt necesare pentru solicitarea frecventă a certificatelor la testarea setărilor dvs., altfel Let's Encrypt vă poate bloca temporar adresa IP din cauza unui număr mare de solicitări .
Scriptul verifică dacă aceste variabile legate de WordPress sunt setate și iese dacă nu.
Liniile de script 572-576 verifică valoarea LETS_ENCRYPT_STAGING.
Setarea variabilelor de mediu derivate
Scriptul de pe liniile 55-61 setează următoarele variabile de mediu, fie la o valoare codificată, fie folosind o valoare obținută din variabilele stabilite în secțiunea anterioară:
DEBIAN_FRONTEND="noninteractive" - Spune aplicațiilor că rulează într-un script și că nu există nicio posibilitate de interacțiune cu utilizatorul.
WORDPRESS_CLI_VERSION="2.4.0" este versiunea aplicației WordPress CLI.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — suma de verificare a fișierului executabil WordPress CLI 2.4.0 (versiunea este specificată în variabila WORDPRESS_CLI_VERSION). Scriptul de pe linia 162 folosește această valoare pentru a verifica dacă fișierul CLI WordPress corect a fost descărcat.
UPLOAD_MAX_FILESIZE="16M" - dimensiunea maximă a fișierului care poate fi încărcat în WordPress. Această setare este utilizată în mai multe locuri, deci este mai ușor să o setați într-un singur loc.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - numele de gazdă al sistemului, preluat din variabila WORDPRESS_URL. Folosit pentru a obține certificate TLS/SSL adecvate de la Let's Encrypt, precum și verificare internă WordPress.
NGINX_CONF_DIR="/etc/nginx" - calea către directorul cu setările NGINX, inclusiv fișierul principal nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — calea către certificatele Let's Encrypt pentru site-ul WordPress, obținută din variabilă TLS_HOSTNAME.
Atribuirea unui nume de gazdă unui server WordPress
Scriptul setează numele de gazdă al serverului să se potrivească cu numele de domeniu al site-ului. Acest lucru nu este necesar, dar este mai convenabil să trimiteți e-mailuri de ieșire prin SMTP atunci când configurați un singur server, așa cum este configurat de script.
cod de script
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Adăugarea numelui de gazdă la /etc/hosts
Plus WP-Cron folosit pentru a rula sarcini periodice, necesită ca WordPress să se poată accesa prin HTTP. Pentru a vă asigura că WP-Cron funcționează corect în toate mediile, scriptul adaugă o linie la fișier / Etc / hostsastfel încât WordPress să se poată accesa prin interfața loopback:
cod de script
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Instalarea instrumentelor necesare pentru pașii următori
Restul scriptului are nevoie de niște programe și presupune că depozitele sunt actualizate. Actualizăm lista de depozite, după care instalăm instrumentele necesare:
cod de script
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Adăugarea unității NGINX și a depozitelor NGINX
Scriptul instalează NGINX Unit și open source NGINX din depozitele oficiale NGINX pentru a se asigura că sunt utilizate versiunile cu cele mai recente corecții de securitate și remedieri de erori.
Scriptul adaugă depozitul NGINX Unit și apoi depozitul NGINX, adăugând cheia depozitelor și fișierele de configurare apt, definind accesul la depozite prin Internet.
Instalarea efectivă a NGINX Unit și NGINX are loc în secțiunea următoare. Adăugăm în avans depozitele, astfel încât să nu fie nevoie să actualizăm metadatele de mai multe ori, ceea ce face instalarea mai rapidă.
cod de script
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Instalarea NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) și dependențele acestora
Odată ce toate depozitele sunt adăugate, actualizați metadatele și instalați aplicațiile. Pachetele instalate de script includ și extensiile PHP recomandate atunci când rulați WordPress.org
cod de script
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Configurarea PHP pentru utilizare cu Unitatea NGINX și WordPress
Scriptul creează un fișier de setări în director conf.d. Aceasta setează dimensiunea maximă a fișierului pentru încărcările PHP, activează ieșirea erorii PHP în STDERR, astfel încât acestea să fie scrise în jurnalul unității NGINX și repornește unitatea NGINX.
cod de script
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Specificarea setărilor bazei de date MariaDB pentru WordPress
Am ales MariaDB în locul MySQL, deoarece are mai multă activitate în comunitate și, de asemenea, este probabil să o facă oferă performanțe mai bune în mod implicit (probabil, totul este mai simplu aici: pentru a instala MySQL, trebuie să adăugați un alt depozit, aprox. traducător).
Scriptul creează o nouă bază de date și creează acreditări pentru a accesa WordPress prin interfața loopback:
cod de script
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Instalarea programului CLI WordPress
La acest pas, scriptul instalează programul WP-CLI. Cu acesta, puteți instala și gestiona setările WordPress fără a fi nevoie să editați manual fișierele, să actualizați baza de date sau să intrați în panoul de control. Poate fi folosit și pentru a instala teme și suplimente și pentru a actualiza WordPress.
cod de script
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Instalare și configurare WordPress
Scriptul instalează cea mai recentă versiune de WordPress într-un director /var/www/wordpressși, de asemenea, modifică setările:
Conexiunea la baza de date funcționează prin socket de domeniu Unix în loc de TCP la loopback pentru a reduce traficul TCP.
WordPress adaugă un prefix https:// la adresa URL dacă clienții se conectează la NGINX prin HTTPS și, de asemenea, trimite numele de gazdă la distanță (așa cum este furnizat de NGINX) către PHP. Folosim o bucată de cod pentru a configura acest lucru.
WordPress are nevoie de HTTPS pentru autentificare
Structura URL implicită se bazează pe resurse
Setează permisiunile corecte pe sistemul de fișiere pentru directorul WordPress.
cod de script
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Configurarea unității NGINX
Scriptul configurează unitatea NGINX să ruleze PHP și să proceseze căile WordPress, izolând spațiul de nume al procesului PHP și optimizând setările de performanță. Există trei caracteristici de urmărit aici:
Suportul pentru spațiile de nume este determinat de condiție, pe baza verificării că scriptul rulează într-un container. Acest lucru este necesar deoarece majoritatea setărilor de containere nu acceptă lansarea imbricată a containerelor.
Dacă există suport pentru spațiile de nume, dezactivați spațiul de nume reţea. Acest lucru este pentru a permite WordPress să se conecteze la ambele puncte finale și să fie disponibil pe web în același timp.
Numărul maxim de procese este definit după cum urmează: (Memorie disponibilă pentru rularea MariaDB și NGINX Uniy)/(limită RAM în PHP + 5)
Această valoare este setată în setările unității NGINX.
Această valoare implică, de asemenea, că există întotdeauna cel puțin două procese PHP care rulează, ceea ce este important deoarece WordPress își face multe solicitări asincrone și, fără procese suplimentare, rularea, de exemplu, WP-Cron se va întrerupe. Poate doriți să creșteți sau să micșorați aceste limite în funcție de setările dvs. locale, deoarece setările create aici sunt conservatoare. Pe majoritatea sistemelor de producție, setările sunt între 10 și 100.
cod de script
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Configurarea NGINX
Configurarea setărilor de bază NGINX
Scriptul creează un director pentru memoria cache NGINX și apoi creează fișierul de configurare principal nginx.conf. Fiți atenți la numărul de procese de gestionare și la setarea dimensiunii maxime a fișierului pentru încărcare. Există, de asemenea, o linie care include fișierul de setări de compresie definit în secțiunea următoare, urmat de setările de cache.
Comprimarea conținutului din mers înainte de a-l trimite clienților este o modalitate excelentă de a îmbunătăți performanța site-ului, dar numai dacă compresia este configurată corect. Această secțiune a scriptului se bazează pe setări prin urmare.
cod de script
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Configurarea NGINX pentru WordPress
Apoi, scriptul creează un fișier de configurare pentru WordPress implicit.conf în catalog conf.d. Este configurat aici:
Activarea certificatelor TLS primite de la Let's Encrypt prin Certbot (configurarea acestuia va fi în secțiunea următoare)
Configurarea setărilor de securitate TLS pe baza recomandărilor din Let's Encrypt
Activați în mod prestabilit stocarea în cache a solicitărilor de ignorare timp de 1 oră
Dezactivați înregistrarea accesului, precum și înregistrarea erorilor dacă fișierul nu a fost găsit, pentru două fișiere solicitate frecvent: favicon.ico și robots.txt
Preveniți accesul la fișierele ascunse și la unele fișiere .phppentru a preveni accesul ilegal sau pornirea neintenționată
Dezactivați jurnalul de acces pentru fișierele statice și cu fonturi
Adăugarea de rutare pentru index.php și alte statice.
cod de script
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Configurarea Certbot pentru certificatele de la Let's Encrypt și reînnoirea automată a acestora
certbot este un instrument gratuit de la Electronic Frontier Foundation (EFF) care vă permite să obțineți și să reînnoiți automat certificate TLS de la Let's Encrypt. Scriptul face următoarele pentru a configura Certbot să proceseze certificate de la Let's Encrypt în NGINX:
Oprește NGINX
Descărcați setările TLS recomandate
Rulează Certbot pentru a obține certificate pentru site
Repornește NGINX pentru a utiliza certificate
Configurați Certbot să ruleze zilnic la 3:24 AM pentru a verifica dacă certificatele trebuie reînnoite și, dacă este necesar, descărcați certificate noi și reporniți NGINX.
cod de script
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Personalizare suplimentară a site-ului dvs
Am vorbit mai sus despre modul în care scriptul nostru configurează NGINX și NGINX Unit pentru a servi un site pregătit pentru producție cu TLSSSL activat. De asemenea, în funcție de nevoile dvs., puteți adăuga pe viitor:
a sustine Brotli, compresie îmbunătățită din mers peste HTTPS
Postfix sau msmtp, astfel încât WordPress să poată trimite e-mail
Verificarea site-ului dvs. pentru a înțelege cât de mult trafic poate gestiona
Pentru o performanță și mai bună a site-ului, vă recomandăm să faceți upgrade la NGINX Plus, produsul nostru comercial, de nivel enterprise, bazat pe NGINX open source. Abonații săi vor primi un modul Brotli încărcat dinamic, precum și (pentru o taxă suplimentară) NGINX ModSecurity WAF. Oferim si noi NGINX App Protect, un modul WAF pentru NGINX Plus bazat pe tehnologia de securitate de vârf din industrie de la F5.
NB Pentru asistență pentru un site foarte încărcat, puteți contacta experții Southbridge. Vom asigura funcționarea rapidă și fiabilă a site-ului sau serviciului dvs. sub orice sarcină.