Automatizácia inštalácie WordPress pomocou NGINX Unit a Ubuntu
Existuje veľa materiálov o inštalácii WordPress; vyhľadávanie Google pre „WordPress install“ vráti asi pol milióna výsledkov. V skutočnosti však existuje len veľmi málo užitočných sprievodcov, ktoré vám môžu pomôcť nainštalovať a nakonfigurovať WordPress a základný operačný systém tak, aby mohli byť podporované po dlhú dobu. Možno, že správne nastavenia do veľkej miery závisia od vašich konkrétnych potrieb, alebo to môže byť preto, že podrobné vysvetlenie sťažuje čítanie článku.
V tomto článku sa pokúsime spojiť to najlepšie z oboch svetov poskytnutím bash skriptu na automatickú inštaláciu WordPress na Ubuntu a prejdeme si ho, vysvetlíme, čo každý kus robí a aké kompromisy sme urobili pri navrhovaní to. Ak ste skúsený používateľ, môžete text článku preskočiť a jednoducho vziať scenár na úpravu a použitie vo vašich prostrediach. Výstupom skriptu je vlastná inštalácia WordPress s podporou Lets Encrypt, ktorá beží na jednotke NGINX a je vhodná na priemyselné použitie.
Vyvinutá architektúra na nasadenie WordPress pomocou jednotky NGINX je opísaná v starší článok, teraz tiež budeme ďalej konfigurovať veci, ktoré tam neboli zahrnuté (ako v mnohých iných tutoriáloch):
WordPress CLI
Let's Encrypt a TLSSSL certifikáty
Automatická obnova certifikátu
Ukladanie do vyrovnávacej pamäte NGINX
Kompresia NGINX
Podpora HTTPS a HTTP/2
Automatizácia procesov
Článok bude popisovať inštaláciu na jeden server, ktorý bude súčasne hosťovať statický procesorový server, PHP procesorový server a databázu. Inštalácia s podporou viacerých virtuálnych hostiteľov a služieb je potenciálnou témou do budúcnosti. Ak chcete, aby sme písali o niečom, čo v týchto článkoch nie je, napíšte do komentárov.
Požiadavky
Serverový kontajner (LXC alebo LXD), virtuálny počítač alebo bežný hardvérový server s najmenej 512 MB pamäte RAM a nainštalovaným Ubuntu 18.04 alebo novším.
Internetové porty 80 a 443
Názov domény priradený k verejnej IP adrese tohto servera
Prístup s právami root (sudo).
Prehľad architektúry
Architektúra je rovnaká ako v popise skôr, trojvrstvová webová aplikácia. Pozostáva z PHP skriptov spúšťaných na PHP engine a statických súborov spracovaných webovým serverom.
Všeobecné zásady
Mnohé konfiguračné príkazy v skripte sú zabalené v podmienkach idempotencie: skript je možné spustiť viackrát bez rizika zmeny nastavení, ktoré sú už pripravené.
Skript sa pokúša nainštalovať softvér z repozitárov, takže aktualizácie systému môžete použiť jedným príkazom (apt upgrade pre Ubuntu).
Tímy sa snažia zistiť, že sú spustené v kontajneri, aby mohli zodpovedajúcim spôsobom zmeniť svoje nastavenia.
Aby bolo možné v nastaveniach nastaviť počet procesov vlákien, ktoré sa majú spustiť, skript sa pokúsi uhádnuť automatické nastavenia pre prácu v kontajneroch, virtuálnych strojoch a hardvérových serveroch.
Pri popise nastavení vždy myslíme v prvom rade na automatizáciu, ktorá sa, dúfame, stane základom pre vytvorenie vlastnej infraštruktúry ako kódu.
Všetky príkazy sa spúšťajú od používateľa koreň, pretože menia základné nastavenia systému, no samotný WordPress beží ako bežný používateľ.
Nastavenie premenných prostredia
Pred spustením skriptu nastavte nasledujúce premenné prostredia:
WORDPRESS_DB_PASSWORD — Heslo databázy WordPress
WORDPRESS_ADMIN_USER - Používateľské meno správcu WordPress
WORDPRESS_URL – úplná adresa URL stránky WordPress, počnúc https://.
LETS_ENCRYPT_STAGING — predvolene prázdne, ale nastavením hodnoty na 1 použijete prípravné servery Let's Encrypt, ktoré sú potrebné na časté vyžiadanie certifikátov pri testovaní vašich nastavení, inak môže Let's Encrypt dočasne zablokovať vašu IP adresu z dôvodu veľkého počtu žiadostí.
Skript skontroluje, či sú tieto premenné súvisiace s WordPress nastavené, a ak nie sú, ukončí sa.
Riadky skriptu 572-576 kontrolujú hodnotu LETS_ENCRYPT_STAGING.
Nastavenie odvodených premenných prostredia
Skript na riadkoch 55-61 nastavuje nasledujúce premenné prostredia, buď na nejakú pevne zakódovanú hodnotu, alebo pomocou hodnoty odvodenej z premenných nastavených v predchádzajúcej časti:
DEBIAN_FRONTEND="noninteractive" — informuje aplikácie, že sú spustené v skripte a neexistuje žiadna možnosť interakcie používateľa.
WORDPRESS_CLI_VERSION="2.4.0" — WordPress CLI verzia aplikácie.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — kontrolný súčet spustiteľného súboru WordPress CLI 2.4.0 (verzia je uvedená v premennej WORDPRESS_CLI_VERSION). Skript v riadku 162 používa túto hodnotu na overenie, či bol stiahnutý správny súbor WordPress CLI.
UPLOAD_MAX_FILESIZE="16M" — maximálna veľkosť súboru, ktorý je možné nahrať na WordPress. Toto nastavenie sa používa na viacerých miestach, takže je jednoduchšie ho nastaviť na jednom mieste.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — názov hostiteľa systému, extrahovaný z premennej WORDPRESS_URL. Používa sa na získanie príslušných certifikátov TLS/SSL z Let's Encrypt, ako aj na interné overenie WordPress.
NGINX_CONF_DIR="/etc/nginx" — cesta k adresáru s nastaveniami NGINX vrátane hlavného súboru nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — cesta k certifikátom Let's Encrypt pre web WordPress, získaná z premennej TLS_HOSTNAME.
Priradenie názvu hostiteľa k serveru WordPress
Skript nastaví názov hostiteľa servera tak, aby sa hodnota zhodovala s názvom domény lokality. Nie je to potrebné, ale je pohodlnejšie odosielať odchádzajúcu poštu cez SMTP pri nastavovaní jedného servera, ako je nakonfigurované skriptom.
kód skriptu
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Pridanie názvu hostiteľa do /etc/hosts
Pridanie WP-Cron ktorý sa používa na spúšťanie pravidelných úloh, vyžaduje, aby WordPress mal k sebe prístup cez HTTP. Aby sa zabezpečilo, že WP-Cron funguje správne vo všetkých prostrediach, skript pridá do súboru riadok / Etc / hostsaby WordPress mal k sebe prístup cez rozhranie spätnej slučky:
kód skriptu
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Inštalácia nástrojov potrebných pre nasledujúce kroky
Zvyšok skriptu vyžaduje nejaké programy a predpokladá, že archívy sú aktuálne. Aktualizujeme zoznam úložísk a potom nainštalujeme potrebné nástroje:
kód skriptu
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Pridanie NGINX Unit a NGINX repozitárov
Skript nainštaluje NGINX Unit a open source NGINX z oficiálnych repozitárov NGINX, aby sa zabezpečilo, že sa použijú verzie s najnovšími aktualizáciami zabezpečenia a opravami chýb.
Skript pridá úložisko jednotiek NGINX a potom úložisko NGINX, pričom pridá kľúč úložiska a súbory nastavení apt, ktorý definuje prístup k úložiskám cez internet.
Samotná inštalácia jednotky NGINX a NGINX sa nachádza v ďalšej časti. Repozitáre pridávame vopred, aby sme sa vyhli viacnásobnej aktualizácii metadát a urýchlili tak inštaláciu.
kód skriptu
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Inštalácia NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) a ich závislostí
Po pridaní všetkých úložísk aktualizujeme metadáta a nainštalujeme aplikácie. Balíky nainštalované skriptom obsahujú aj rozšírenia PHP odporúčané pri spustení WordPress.org
kód skriptu
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Nastavenie PHP na použitie s NGINX Unit a WordPress
Skript vytvorí súbor s nastaveniami v adresári conf.d. Týmto sa nastaví maximálna veľkosť nahrávania súboru pre PHP, umožní sa výstup chýb PHP do STDERR, takže budú prihlásené do jednotky NGINX, a reštartuje sa jednotka NGINX.
kód skriptu
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Nastavenie nastavení databázy MariaDB pre WordPress
Vybrali sme MariaDB pred MySQL, pretože má väčšiu komunitnú aktivitu a môže tiež v predvolenom nastavení poskytuje lepší výkon (Pravdepodobne je tu všetko jednoduchšie: na inštaláciu MySQL musíte pridať ďalšie úložisko, približne. prekladateľ).
Skript vytvorí novú databázu a vytvorí prístupové poverenia WordPress cez rozhranie spätnej slučky:
kód skriptu
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Inštalácia programu WordPress CLI
V tomto kroku skript nainštaluje program WP-CLI. Pomocou neho môžete inštalovať a spravovať nastavenia WordPress bez toho, aby ste museli manuálne upravovať súbory, aktualizovať databázu alebo sa prihlasovať do ovládacieho panela. Môže sa tiež použiť na inštaláciu tém a doplnkov a aktualizáciu WordPress.
kód skriptu
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Inštalácia a konfigurácia WordPress
Skript nainštaluje do adresára najnovšiu verziu WordPress /var/www/wordpressa tiež zmení nastavenia:
Databázové pripojenie funguje cez soket domény unix namiesto TCP v slučke, aby sa znížila prevádzka TCP.
WordPress pridáva predponu https:// na adresu URL, ak sa klienti pripájajú k NGINX cez HTTPS, a tiež odosiela názov vzdialeného hostiteľa (ako ho poskytuje NGINX) do PHP. Na nastavenie používame kúsok kódu.
WordPress potrebuje na prihlásenie HTTPS
Predvolená štruktúra adresy URL je založená na zdrojoch
Nastaví správne povolenia v systéme súborov pre adresár WordPress.
kód skriptu
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Nastavenie jednotky NGINX
Skript nakonfiguruje jednotku NGINX na spustenie PHP a spracovanie ciest WordPress, pričom izoluje priestor názvov procesu PHP a optimalizuje nastavenia výkonu. Existujú tri funkcie, ktoré stojí za to venovať pozornosť:
Podpora menného priestoru je určená podmienkou na základe kontroly, či je skript spustený v kontajneri. Je to potrebné, pretože väčšina nastavení kontajnerov nepodporuje vnorené spúšťanie kontajnerov.
Ak existuje podpora pre menné priestory, menný priestor je zakázaný sieť. Je to potrebné, aby sa WordPress mohol súčasne pripojiť ku koncovým bodom a bol prístupný na internete.
Maximálny počet procesov sa určuje takto: (Dostupná pamäť na spustenie MariaDB a NGINX Uniy)/(limit RAM v PHP + 5)
Táto hodnota sa nastavuje v nastaveniach jednotky NGINX.
Z tejto hodnoty tiež vyplýva, že vždy sú spustené aspoň dva procesy PHP, čo je dôležité, pretože WordPress na seba robí veľa asynchrónnych požiadaviek a bez spustených ďalších procesov sa napríklad WP-Cron pokazí. Možno budete chcieť tieto limity zvýšiť alebo znížiť na základe miestnych nastavení, pretože tu vytvorené nastavenia sú konzervatívne. Vo väčšine výrobných systémov sú nastavenia medzi 10 a 100.
kód skriptu
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Nastavenie NGINX
Konfigurácia základných nastavení NGINX
Skript vytvorí adresár pre vyrovnávaciu pamäť NGINX a potom vytvorí hlavný konfiguračný súbor nginx.conf. Dávajte pozor na počet procesov obsluhy a nastavenie maximálnej veľkosti súboru na stiahnutie. Je tu tiež riadok, na ktorom je pripojený súbor s nastaveniami kompresie, definovaný v ďalšej časti, a za ním nasledujú nastavenia ukladania do vyrovnávacej pamäte.
Komprimovanie obsahu za behu pred jeho odoslaním klientom je skvelý spôsob, ako zlepšiť výkon stránky, ale iba ak je kompresia správne nakonfigurovaná. Táto časť skriptu je založená na nastaveniach preto.
kód skriptu
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Nastavenie NGINX pre WordPress
Ďalej skript vytvorí konfiguračný súbor pre WordPress default.conf v katalógu conf.d. Tu je to nakonfigurované:
Aktivácia certifikátov TLS prijatých z Let's Encrypt cez Certbot (konfigurácia bude v ďalšej časti)
Konfigurácia nastavení zabezpečenia TLS na základe odporúčaní Let's Encrypt
Predvolene povoliť ukladanie preskočených požiadaviek do vyrovnávacej pamäte na 1 hodinu
Zakázať protokolovanie prístupu, ako aj protokolovanie chýb, ak sa súbor nenájde, pre dva bežné požadované súbory: favicon.ico a robots.txt
Zakázať prístup k skrytým súborom a niektorým súborom . Phpaby sa zabránilo nelegálnemu prístupu alebo neúmyselnému spusteniu
Zakázať protokolovanie prístupu pre statické súbory a súbory písiem
Pridanie smerovania pre index.php a ďalšie statiky.
kód skriptu
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Konfigurácia Certbot pre certifikáty Let's Encrypt a ich automatické obnovovanie
Certbot je bezplatný nástroj od Electronic Frontier Foundation (EFF), ktorý vám umožňuje získavať a automaticky obnovovať certifikáty TLS od Let's Encrypt. Skript vykoná nasledujúce kroky na konfiguráciu Certbotu na spracovanie certifikátov z Let's Encrypt v NGINX:
Zastaví NGINX
Stiahne odporúčané nastavenia TLS
Spustí Certbot na získanie certifikátov pre stránku
Reštartuje NGINX, aby mohol používať certifikáty
Nakonfiguruje Certbot tak, aby sa spúšťal denne o 3:24, aby skontroloval obnovenie certifikátu a v prípade potreby stiahol nové certifikáty a reštartoval NGINX.
kód skriptu
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Dodatočné prispôsobenie vašej stránky
Vyššie sme hovorili o tom, ako náš skript konfiguruje NGINX a NGINX Unit tak, aby slúžili webovej stránke pripravenej na produkciu s povoleným TLSSSL. V závislosti od vašich potrieb môžete v budúcnosti pridať:
podpora Brotli, vylepšená kompresia za chodu cez HTTPS
Postfix alebo msmtp, aby WordPress mohol odosielať poštu
Kontrolujte svoj web, aby ste pochopili, akú návštevnosť dokáže zvládnuť
Pre ešte lepší výkon stránky odporúčame inovovať na NGINX Plus, náš komerčný produkt podnikovej triedy založený na open source NGINX. Jeho predplatitelia dostanú dynamicky načítaný modul Brotli, ako aj (za príplatok) NGINX ModSecurity WAF. Ponúkame tiež Ochrana aplikácie NGINX, modul WAF pre NGINX Plus založený na špičkovej bezpečnostnej technológii od F5.
NB Ak potrebujete podporu pre web s vysokým zaťažením, môžete kontaktovať špecialistov Southbridge. Zabezpečíme rýchlu a spoľahlivú prevádzku vašej webovej stránky alebo služby pri akomkoľvek zaťažení.