Există multe materiale de instalare disponibile. WordPress, căutare Google după cuvinte cheie „WordPress „instalare” va returna aproximativ o jumătate de milion de rezultate. Cu toate acestea, printre acestea, există de fapt foarte puține ghiduri utile pentru instalarea și configurarea WordPress și sistemul de operare subiacent, astfel încât acestea să poată fi suportate pe o perioadă lungă de timp. Poate că setările corecte depind în mare măsură de nevoile specifice sau poate că acest lucru se datorează faptului că explicația detaliată face articolul dificil de citit.
În acest articol, vom încerca să combinăm ce e mai bun din ambele abordări, oferind un script bash pentru instalare automată. WordPress pe UbuntuDe asemenea, vom parcurge în detaliu, explicând ce face fiecare piesă și compromisurile pe care le-am făcut în dezvoltarea ei. Dacă sunteți un utilizator experimentat, puteți sări peste text și pur și simplu... pentru modificare și utilizare în mediile dumneavoastră. Rezultatul scriptului este o instalare personalizată. WordPress cu suport Let's Encrypt, rulând pe NGINX Unit și potrivit pentru utilizare în producție.
Arhitectură dezvoltată pentru implementare WordPress Utilizarea unității NGINX este descrisă în , acum vom configura în continuare lucruri care nu au fost acoperite acolo (ca în multe alte tutoriale):
- WordPress CLI
- Să criptăm și certificatele TLSSSL
- Reînnoirea automată a certificatelor
- Memorarea în cache NGINX
- Compresie NGINX
- Suport HTTPS și HTTP/2
- Automatizarea procesului
Articolul va descrie instalarea pe un server, care va găzdui simultan un server de procesare static, un server de procesare PHP și o bază de date. O instalare care acceptă mai multe gazde și servicii virtuale este un subiect potențial pentru viitor. Dacă doriți să scriem despre ceva care nu este în aceste articole, scrieți în comentarii.
Cerințe
- Server container ( sau ), o mașină virtuală sau un server hardware obișnuit, cu cel puțin 512 MB de RAM și instalat Ubuntu 18.04 sau o versiune ulterioară.
- Porturile 80 și 443 accesibile la internet
- Nume de domeniu asociat cu adresa IP publică a acestui server
- Acces rădăcină (sudo).
Privire de ansamblu asupra arhitecturii
Arhitectura este aceeași cu cea descrisă , o aplicație web cu trei niveluri. Este format din scripturi PHP care rulează pe motorul PHP și fișiere statice care sunt procesate de serverul web.
Principii generale
- Multe comenzi de configurare dintr-un script sunt împachetate în condiții de idempotitate: scriptul poate fi rulat de mai multe ori fără riscul de a modifica setările care sunt deja în vigoare.
- Scriptul încearcă să instaleze software din depozite, astfel încât să puteți aplica actualizări de sistem într-o singură comandă (
apt upgradepentru Ubuntu). - Comenzile încearcă să detecteze că rulează într-un container, astfel încât să își poată schimba setările în consecință.
- Pentru a seta numărul de procese de fire care vor începe în setări, scriptul încearcă să ghicească setările automate pentru lucrul în containere, mașini virtuale și servere hardware.
- Când descriem setările, ne gândim întotdeauna în primul rând la automatizare, care, sperăm, va deveni baza pentru crearea propriei infrastructuri ca cod.
- Toate comenzile sunt executate ca utilizator rădăcină, deoarece modifică setările principale ale sistemului, dar direct WordPress funcționează de la un utilizator obișnuit.
Setarea variabilelor de mediu
Setați următoarele variabile de mediu înainte de a rula scriptul:
WORDPRESS_DB_PASSWORD— parola pentru baza de date WordPressWORDPRESS_ADMIN_USER— numele administratorului WordPressWORDPRESS_ADMIN_PASSWORD— parolă de administrator WordPressWORDPRESS_ADMIN_EMAIL— e-mail administrator WordPressWORDPRESS_URL— adresa URL completă a site-ului web WordPress, Începând cuhttps://.LETS_ENCRYPT_STAGING- gol în mod implicit, dar setând valoarea la 1, veți folosi serverele de staging Let's Encrypt, care sunt necesare pentru solicitarea frecventă a certificatelor la testarea setărilor dvs., altfel Let's Encrypt vă poate bloca temporar adresa IP din cauza unui număr mare de solicitări .
Scriptul verifică dacă aceste aspecte sunt legate WordPress variabilele sunt setate și se închide dacă nu.
Liniile de script 572-576 verifică valoarea LETS_ENCRYPT_STAGING.
Setarea variabilelor de mediu derivate
Scriptul de pe liniile 55-61 setează următoarele variabile de mediu, fie la o valoare codificată, fie folosind o valoare obținută din variabilele stabilite în secțiunea anterioară:
DEBIAN_FRONTEND="noninteractive"- Spune aplicațiilor că rulează într-un script și că nu există nicio posibilitate de interacțiune cu utilizatorul.WORDPRESS_CLI_VERSION="2.4.0"— versiunea aplicației WordPress CLI.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"— suma de control a fișierului executabil WordPress CLI 2.4.0 (versiunea este specificată în variabilaWORDPRESS_CLI_VERSIONScriptul de la linia 162 folosește această valoare pentru a verifica dacă a fost descărcat fișierul corect. WordPress CLI.UPLOAD_MAX_FILESIZE="16M"— dimensiunea maximă a fișierului care poate fi încărcat WordPressAceastă setare este utilizată în mai multe locuri, așa că este mai ușor să o configurați într-un singur loc.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"— numele de gazdă al sistemului, preluat din variabila WORDPRESS_URL. Folosit pentru a obține certificatele TLS/SSL corespunzătoare de la Let's Encrypt, precum și pentru verificare internă. WordPress.NGINX_CONF_DIR="/etc/nginx"- calea către directorul cu setările NGINX, inclusiv fișierul principalnginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"— calea către certificatele Let's Encrypt pentru site WordPress, obținută dintr-o variabilăTLS_HOSTNAME.
Atribuirea numelui de gazdă WordPress Server
Scriptul setează numele de gazdă al serverului să se potrivească cu numele de domeniu al site-ului. Acest lucru nu este necesar, dar este mai convenabil să trimiteți e-mailuri de ieșire prin SMTP atunci când configurați un singur server, așa cum este configurat de script.
cod de script
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiAdăugarea numelui de gazdă la /etc/hosts
Plus utilizat pentru a executa sarcini periodice, necesită ca WordPress s-ar putea accesa prin HTTP. Pentru a se asigura că WP-Cron funcționează corect în toate mediile, scriptul adaugă o linie la fișier / Etc / hosts, asa de WordPress se poate accesa prin intermediul interfeței loopback:
cod de script
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiInstalarea instrumentelor necesare pentru pașii următori
Restul scriptului are nevoie de niște programe și presupune că depozitele sunt actualizate. Actualizăm lista de depozite, după care instalăm instrumentele necesare:
cod de script
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseAdăugarea unității NGINX și a depozitelor NGINX
Scriptul instalează NGINX Unit și open source NGINX din depozitele oficiale NGINX pentru a se asigura că sunt utilizate versiunile cu cele mai recente corecții de securitate și remedieri de erori.
Scriptul adaugă depozitul NGINX Unit și apoi depozitul NGINX, adăugând cheia depozitelor și fișierele de configurare apt, definind accesul la depozite prin Internet.
Instalarea efectivă a NGINX Unit și NGINX are loc în secțiunea următoare. Adăugăm în avans depozitele, astfel încât să nu fie nevoie să actualizăm metadatele de mai multe ori, ceea ce face instalarea mai rapidă.
cod de script
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiInstalarea NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) și dependențele acestora
După ce toate repozitoriile sunt adăugate, actualizăm metadatele și instalăm aplicațiile. Pachetele instalate de script includ și extensii PHP recomandate la pornire. WordPress. Org
cod de script
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverConfigurarea PHP pentru utilizare cu unitatea NGINX și WordPress
Scriptul creează un fișier de setări în director conf.d. Aceasta setează dimensiunea maximă a fișierului pentru încărcările PHP, activează ieșirea erorii PHP în STDERR, astfel încât acestea să fie scrise în jurnalul unității NGINX și repornește unitatea NGINX.
cod de script
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartConfigurarea setărilor bazei de date MariaDB pentru WordPress
Am ales MariaDB în locul MySQL, deoarece are mai multă activitate în comunitate și, de asemenea, este probabil să o facă (probabil, totul este mai simplu aici: pentru a instala MySQL, trebuie să adăugați un alt depozit, aprox. traducător).
Scriptul creează o nouă bază de date și creează acreditări de acces. WordPress prin intermediul interfeței de buclă:
cod de script
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"Instalarea programului WordPress CLI
La acest pas, scriptul instalează programul Cu ajutorul său puteți seta și gestiona setările WordPress fără a fi nevoie să editați manual fișierele, să actualizați baza de date sau să vă conectați la panoul de control. De asemenea, poate fi folosit pentru a instala teme și extensii și pentru a efectua actualizări. WordPress.
cod de script
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiInstalare și configurare WordPress
Scriptul instalează cea mai recentă versiune WordPress la catalog /var/www/wordpressși, de asemenea, modifică setările:
- Conexiunea la baza de date funcționează prin socket de domeniu Unix în loc de TCP la loopback pentru a reduce traficul TCP.
- WordPress adaugă un prefix https:// la adresa URL dacă clienții se conectează la NGINX prin HTTPS și, de asemenea, trimite numele de gazdă la distanță (așa cum este furnizat de NGINX) către PHP. Folosim o bucată de cod pentru a configura acest lucru.
- WordPress HTTPS este necesar pentru autentificare
- Structura URL implicită se bazează pe resurse
- Permisiunile corecte ale sistemului de fișiere sunt setate pentru director. WordPress.
cod de script
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --data-gt-translate-attributes='["title"]' title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiConfigurarea unității NGINX
Scriptul configurează unitatea NGINX pentru a rula PHP și a gestiona căile. WordPress, izolând spațiul de nume al procesului PHP și optimizând setările de performanță. Există trei caracteristici care merită menționate:
- Suportul pentru spațiile de nume este determinat de condiție, pe baza verificării că scriptul rulează într-un container. Acest lucru este necesar deoarece majoritatea setărilor de containere nu acceptă lansarea imbricată a containerelor.
- Dacă există suport pentru spațiile de nume, dezactivați spațiul de nume reţeaAcest lucru este necesar pentru a permite WordPress să se conecteze simultan la puncte finale și să fie accesibile pe Internet.
- Numărul maxim de procese este definit după cum urmează: (Memorie disponibilă pentru rularea MariaDB și NGINX Uniy)/(limită RAM în PHP + 5)
Această valoare este setată în setările unității NGINX.
Această valoare implică, de asemenea, că există întotdeauna cel puțin două procese PHP care rulează, ceea ce este important deoarece WordPress face o mulțime de cereri asincrone către sine însuși și, fără procese suplimentare, rularea, de exemplu, a WP-Cron, va eșua. Este posibil să doriți să creșteți sau să micșorați aceste limite în funcție de setările locale, deoarece setările create aici sunt conservatoare. Pe majoritatea sistemelor de producție, setările sunt între 10 și 100.
cod de script
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d ' ')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configConfigurarea NGINX
Configurarea setărilor de bază NGINX
Scriptul creează un director pentru memoria cache NGINX și apoi creează fișierul de configurare principal nginx.conf. Fiți atenți la numărul de procese de gestionare și la setarea dimensiunii maxime a fișierului pentru încărcare. Există, de asemenea, o linie care include fișierul de setări de compresie definit în secțiunea următoare, urmat de setările de cache.
cod de script
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMConfigurarea compresiei NGINX
Comprimarea conținutului din mers înainte de a-l trimite clienților este o modalitate excelentă de a îmbunătăți performanța site-ului, dar numai dacă compresia este configurată corect. Această secțiune a scriptului se bazează pe setări .
cod de script
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMConfigurarea NGINX pentru WordPress
Apoi, scriptul creează un fișier de configurare pentru WordPress implicit.conf în catalog conf.d. Este configurat aici:
- Activarea certificatelor TLS primite de la Let's Encrypt prin Certbot (configurarea acestuia va fi în secțiunea următoare)
- Configurarea setărilor de securitate TLS pe baza recomandărilor din Let's Encrypt
- Activați în mod prestabilit stocarea în cache a solicitărilor de ignorare timp de 1 oră
- Dezactivați înregistrarea accesului, precum și înregistrarea erorilor dacă fișierul nu a fost găsit, pentru două fișiere solicitate frecvent: favicon.ico și robots.txt
- Preveniți accesul la fișierele ascunse și la unele fișiere .phppentru a preveni accesul ilegal sau pornirea neintenționată
- Dezactivați jurnalul de acces pentru fișierele statice și cu fonturi
- Setarea antetului pentru fișierele cu fonturi
- Adăugarea de rutare pentru index.php și alte statice.
cod de script
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMConfigurarea Certbot pentru certificatele de la Let's Encrypt și reînnoirea automată a acestora
este un instrument gratuit de la Electronic Frontier Foundation (EFF) care vă permite să obțineți și să reînnoiți automat certificate TLS de la Let's Encrypt. Scriptul face următoarele pentru a configura Certbot să proceseze certificate de la Let's Encrypt în NGINX:
- Oprește NGINX
- Descărcați setările TLS recomandate
- Rulează Certbot pentru a obține certificate pentru site
- Repornește NGINX pentru a utiliza certificate
- Configurați Certbot să ruleze zilnic la 3:24 AM pentru a verifica dacă certificatele trebuie reînnoite și, dacă este necesar, descărcați certificate noi și reporniți NGINX.
cod de script
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiPersonalizare suplimentară a site-ului dvs
Am vorbit mai sus despre modul în care scriptul nostru configurează NGINX și NGINX Unit pentru a servi un site pregătit pentru producție cu TLSSSL activat. De asemenea, în funcție de nevoile dvs., puteți adăuga pe viitor:
- a sustine , compresie îmbunătățită din mers peste HTTPS
- с pentru a preveni atacurile automate asupra site-ului dvs
- pentru WordPress, potrivit pentru tine
- via (pe Ubuntu)
- Postfix sau msmtp către WordPress putea trimite poștă
- Verificarea site-ului dvs. pentru a înțelege cât de mult trafic poate gestiona
Pentru o performanță și mai bună a site-ului, vă recomandăm să faceți upgrade la , produsul nostru comercial, de nivel enterprise, bazat pe NGINX open source. Abonații săi vor primi un modul Brotli încărcat dinamic, precum și (pentru o taxă suplimentară) . Oferim si noi , un modul WAF pentru NGINX Plus bazat pe tehnologia de securitate de vârf din industrie de la F5.
NB Pentru asistență pentru un site foarte încărcat, puteți contacta experții . Vom asigura funcționarea rapidă și fiabilă a site-ului sau serviciului dvs. sub orice sarcină.
Sursa: www.habr.com
