ProHoster > Blog > Uprava > Avtomatizacija namestitve WordPressa z enoto NGINX in Ubuntu
Avtomatizacija namestitve WordPressa z enoto NGINX in Ubuntu
Obstaja veliko vadnic o tem, kako namestiti WordPress, iskanje v Googlu za "WordPress install" bo prikazalo približno pol milijona rezultatov. Vendar je med njimi dejansko zelo malo dobrih vodnikov, po katerih lahko WordPress in osnovni operacijski sistem namestite in konfigurirate tako, da sta sposobna podpirati daljše časovno obdobje. Morda so pravilne nastavitve močno odvisne od specifičnih potreb ali pa je to posledica dejstva, da podrobna razlaga otežuje branje članka.
V tem članku bomo poskušali združiti najboljše iz obeh svetov z zagotavljanjem skripta bash za samodejno namestitev WordPressa v Ubuntu, ter se sprehodili skozi njega in razložili, kaj vsak del počne, ter kompromise, ki smo jih naredili pri njegovem razvoju . Če ste napreden uporabnik, lahko preskočite besedilo članka in preprosto vzemite scenarij za spreminjanje in uporabo v vaših okoljih. Rezultat skripta je namestitev programa WordPress po meri s podporo za Lets Encrypt, ki deluje na enoti NGINX in je primerna za produkcijsko uporabo.
Razvita arhitektura za uvajanje WordPressa z uporabo enote NGINX je opisana v starejši članek, zdaj bomo dodatno konfigurirali tudi stvari, ki tam niso bile zajete (kot v mnogih drugih vadnicah):
WordPress CLI
Let's Encrypt in potrdila TLSSSL
Samodejno obnavljanje certifikatov
Predpomnjenje NGINX
Stiskanje NGINX
Podpora za HTTPS in HTTP/2
Avtomatizacija procesov
V članku bo opisana namestitev na enem strežniku, ki bo hkrati gostil statični procesorski strežnik, PHP procesorski strežnik in bazo podatkov. Namestitev, ki podpira več virtualnih gostiteljev in storitev, je potencialna tema za prihodnost. Če želite, da pišemo o nečem, česar v teh člankih ni, napišite v komentarje.
Zahteve
Vsebniški strežnik (LXC ali LXD), virtualni stroj ali običajni železni strežnik z vsaj 512 MB RAM-a in nameščenim Ubuntu 18.04 ali novejšim.
Internetno dostopna vrata 80 in 443
Ime domene, povezano z javnim naslovom ip tega strežnika
Korenski dostop (sudo).
Pregled arhitekture
Arhitektura je enaka opisani prej, trinivojska spletna aplikacija. Sestavljen je iz skriptov PHP, ki se izvajajo na motorju PHP, in statičnih datotek, ki jih obdeluje spletni strežnik.
Splošna načela
Številni konfiguracijski ukazi v skriptu so zaviti v pogoje if za idempotenco: skript je mogoče zagnati večkrat brez tveganja spreminjanja nastavitev, ki so že na mestu.
Skript poskuša namestiti programsko opremo iz skladišč, tako da lahko uporabite sistemske posodobitve z enim ukazom (apt upgrade za Ubuntu).
Ukazi poskušajo zaznati, da se izvajajo v vsebniku, da lahko ustrezno spremenijo svoje nastavitve.
Za nastavitev števila procesov niti, ki naj se zaženejo v nastavitvah, poskuša skript uganiti samodejne nastavitve za delo v vsebnikih, virtualnih strojih in strežnikih strojne opreme.
Pri opisu nastavitev vedno najprej pomislimo na avtomatizacijo, ki bo, upamo, postala osnova za ustvarjanje lastne infrastrukture kot kode.
Vsi ukazi se izvajajo kot uporabnik koren, ker spremenijo osnovne sistemske nastavitve, vendar neposredno WordPress deluje kot običajen uporabnik.
Nastavitev spremenljivk okolja
Preden zaženete skript, nastavite naslednje spremenljivke okolja:
WORDPRESS_DB_PASSWORD - geslo baze podatkov WordPress
WORDPRESS_ADMIN_USER - Ime skrbnika za WordPress
WORDPRESS_ADMIN_PASSWORD - Skrbniško geslo za WordPress
WORDPRESS_ADMIN_EMAIL - WordPress skrbniški e-poštni naslov
WORDPRESS_URL je celoten URL spletnega mesta WordPress, ki se začne pri https://.
LETS_ENCRYPT_STAGING - privzeto prazno, vendar z nastavitvijo vrednosti na 1 boste uporabljali vmesne strežnike Let's Encrypt, ki so potrebni za pogosto zahtevanje certifikatov pri testiranju vaših nastavitev, sicer lahko Let's Encrypt zaradi velikega števila zahtev začasno blokira vaš ip naslov .
Skript preveri, ali so te spremenljivke, povezane z WordPressom, nastavljene in se zapre, če niso.
Vrstice skripta 572-576 preverijo vrednost LETS_ENCRYPT_STAGING.
Nastavitev izpeljanih spremenljivk okolja
Skript v vrsticah 55-61 nastavi naslednje spremenljivke okolja na neko trdo kodirano vrednost ali z uporabo vrednosti, pridobljene iz spremenljivk, nastavljenih v prejšnjem razdelku:
DEBIAN_FRONTEND="noninteractive" - Aplikacijam pove, da se izvajajo v skriptu in da ni možnosti interakcije uporabnika.
WORDPRESS_CLI_VERSION="2.4.0" je različica aplikacije WordPress CLI.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — kontrolna vsota izvršljive datoteke WordPress CLI 2.4.0 (različica je podana v spremenljivki WORDPRESS_CLI_VERSION). Skript v vrstici 162 uporablja to vrednost, da preveri, ali je bila prenesena pravilna datoteka WordPress CLI.
UPLOAD_MAX_FILESIZE="16M" - največja velikost datoteke, ki jo je mogoče naložiti v WordPress. Ta nastavitev se uporablja na več mestih, zato jo je lažje nastaviti na enem mestu.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - ime gostitelja sistema, pridobljeno iz spremenljivke WORDPRESS_URL. Uporablja se za pridobitev ustreznih certifikatov TLS/SSL od Let's Encrypt kot tudi za interno preverjanje WordPressa.
NGINX_CONF_DIR="/etc/nginx" - pot do imenika z nastavitvami NGINX, vključno z glavno datoteko nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — pot do certifikatov Let's Encrypt za spletno mesto WordPress, pridobljena iz spremenljivke TLS_HOSTNAME.
Dodeljevanje imena gostitelja strežniku WordPress
Skript nastavi ime gostitelja strežnika tako, da se ujema z imenom domene spletnega mesta. To ni obvezno, vendar je bolj priročno pošiljanje odhodne pošte prek SMTP pri nastavitvi enega strežnika, kot je konfigurirano s skriptom.
skriptna koda
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Dodajanje imena gostitelja v /etc/hosts
Dodatek WP-Cron ki se uporablja za izvajanje občasnih opravil, zahteva, da lahko WordPress dostopa do sebe prek HTTP. Da zagotovi pravilno delovanje WP-Cron v vseh okoljih, skript doda vrstico v datoteko / Etc / hoststako da lahko WordPress dostopa do sebe prek vmesnika povratne zanke:
skriptna koda
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Namestitev orodij, potrebnih za naslednje korake
Preostali del skripta potrebuje nekaj programov in predpostavlja, da so repozitoriji posodobljeni. Posodobimo seznam skladišč, nato pa namestimo potrebna orodja:
skriptna koda
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Dodajanje enote NGINX in repozitorijev NGINX
Skript namesti enoto NGINX in odprtokodni NGINX iz uradnih skladišč NGINX, da zagotovi uporabo različic z najnovejšimi varnostnimi popravki in popravki napak.
Skript doda repozitorij enote NGINX in nato repozitorij NGINX ter doda ključ repozitorijev in konfiguracijske datoteke apt, definiranje dostopa do repozitorijev preko interneta.
Dejanska namestitev enote NGINX in NGINX se izvede v naslednjem razdelku. Repozitorije dodamo vnaprej, tako da nam metapodatkov ni treba posodabljati večkrat, zaradi česar je namestitev hitrejša.
skriptna koda
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Namestitev NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) in njihovih odvisnosti
Ko so dodani vsi repozitoriji, posodobite metapodatke in namestite aplikacije. Paketi, ki jih namesti skript, vključujejo tudi razširitve PHP, priporočene pri izvajanju WordPress.org
skriptna koda
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Nastavitev PHP za uporabo z enoto NGINX in WordPress
Skript ustvari datoteko z nastavitvami v imeniku conf.d. To nastavi največjo velikost datoteke za nalaganje PHP, vklopi izpis napak PHP v STDERR, tako da bodo zapisane v dnevnik enote NGINX, in znova zažene enoto NGINX.
skriptna koda
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Določanje nastavitev baze podatkov MariaDB za WordPress
Izbrali smo MariaDB namesto MySQL, saj ima več dejavnosti skupnosti in je tudi verjetno privzeto zagotavlja boljše delovanje (verjetno je tukaj vse preprostejše: če želite namestiti MySQL, morate dodati še eno skladišče, pribl. prevajalec).
Skript ustvari novo zbirko podatkov in ustvari poverilnice za dostop do WordPressa prek vmesnika povratne zanke:
skriptna koda
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Namestitev programa WordPress CLI
V tem koraku skript namesti program WP-CLI. Z njim lahko namestite in upravljate nastavitve WordPressa, ne da bi morali ročno urejati datoteke, posodabljati bazo podatkov ali vstopati v nadzorno ploščo. Uporablja se lahko tudi za namestitev tem in dodatkov ter posodobitev WordPressa.
skriptna koda
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Namestitev in konfiguracija WordPressa
Skript namesti najnovejšo različico WordPressa v imenik /var/www/wordpressin tudi spremeni nastavitve:
Povezava z bazo podatkov deluje prek vtičnice domene unix namesto TCP na povratni zanki, da zmanjša promet TCP.
WordPress doda predpono https:// na URL, če se odjemalci povežejo z NGINX prek HTTPS, in tudi pošlje ime oddaljenega gostitelja (kot ga zagotavlja NGINX) v PHP. Za nastavitev tega uporabljamo del kode.
WordPress potrebuje HTTPS za prijavo
Privzeta struktura URL-ja temelji na virih
Nastavi pravilna dovoljenja za datotečni sistem za imenik WordPress.
skriptna koda
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Nastavitev enote NGINX
Skript konfigurira enoto NGINX za zagon PHP in procesne poti WordPress, izolira imenski prostor procesa PHP in optimizira nastavitve delovanja. Tu morate biti pozorni na tri funkcije:
Podpora za imenske prostore je določena s pogojem, ki temelji na preverjanju, ali se skript izvaja v vsebniku. To je potrebno, ker večina nastavitev vsebnikov ne podpira ugnezdenega zagona vsebnikov.
Če obstaja podpora za imenske prostore, onemogočite imenski prostor mreža. To omogoča WordPressu, da se poveže z obema končnima točkama in je hkrati na voljo v spletu.
Največje število procesov je opredeljeno na naslednji način: (Razpoložljiv pomnilnik za izvajanje MariaDB in NGINX Uniy)/(omejitev RAM-a v PHP + 5)
Ta vrednost je nastavljena v nastavitvah enote NGINX.
Ta vrednost pomeni tudi, da se vedno izvajata vsaj dva procesa PHP, kar je pomembno, ker WordPress sam sebi pošilja veliko asinhronih zahtev in brez dodatnih procesov se bo zagon, na primer WP-Cron, pokvaril. Morda boste želeli povečati ali zmanjšati te omejitve glede na vaše lokalne nastavitve, ker so tukaj ustvarjene nastavitve konzervativne. V večini produkcijskih sistemov so nastavitve med 10 in 100.
skriptna koda
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Nastavitev NGINX
Konfiguriranje osnovnih nastavitev NGINX
Skript ustvari imenik za predpomnilnik NGINX in nato ustvari glavno konfiguracijsko datoteko nginx.conf. Bodite pozorni na število procesov obdelovalca in nastavitev največje velikosti datoteke za nalaganje. Obstaja tudi vrstica, ki vključuje datoteko z nastavitvami stiskanja, definirano v naslednjem razdelku, ki ji sledijo nastavitve predpomnjenja.
Stiskanje vsebine na letenje, preden jo pošljete odjemalcem, je odličen način za izboljšanje delovanja spletnega mesta, vendar le, če je stiskanje pravilno konfigurirano. Ta del skripta temelji na nastavitvah zato.
skriptna koda
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Nastavitev NGINX za WordPress
Nato skript ustvari konfiguracijsko datoteko za WordPress default.conf v katalogu conf.d. Konfiguriran je tukaj:
Aktivacija potrdil TLS, prejetih od Let's Encrypt prek Certbota (nastavitev bo v naslednjem razdelku)
Konfiguriranje varnostnih nastavitev TLS na podlagi priporočil podjetja Let's Encrypt
Privzeto omogoči predpomnjenje zahtev za preskok za 1 uro
Onemogočite beleženje dostopa in beleženje napak, če datoteke ni mogoče najti, za dve pogosto zahtevani datoteki: favicon.ico in robots.txt
Preprečite dostop do skritih datotek in nekaterih datotek . PHPda preprečite nezakonit dostop ali nenameren zagon
Onemogoči beleženje dostopa za statične datoteke in datoteke s pisavami
Dodajanje usmerjanja za index.php in drugo statiko.
skriptna koda
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Nastavitev Certbota za certifikate podjetja Let's Encrypt in njihovo samodejno obnavljanje
Certbot je brezplačno orodje Electronic Frontier Foundation (EFF), ki vam omogoča pridobitev in samodejno podaljšanje potrdil TLS podjetja Let's Encrypt. Skript naredi naslednje za konfiguracijo Certbota za obdelavo potrdil Let's Encrypt v NGINX:
Ustavi NGINX
Prenese priporočene nastavitve TLS
Zažene Certbot za pridobitev potrdil za spletno mesto
Znova zažene NGINX za uporabo potrdil
Konfigurira Certbot za zagon vsak dan ob 3:24 zjutraj, da preveri, ali je treba potrdila obnoviti, in po potrebi prenese nova potrdila in znova zažene NGINX.
skriptna koda
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Dodatna prilagoditev vaše strani
Zgoraj smo govorili o tem, kako naš skript konfigurira NGINX in enoto NGINX, da služita mestu, pripravljenemu za proizvodnjo, z omogočenim TLSSSL. Glede na vaše potrebe lahko v prihodnosti dodate tudi:
podporo Brotli, izboljšano stiskanje na letenju prek HTTPS
Postfix ali msmtp, da lahko WordPress pošilja pošto
Preverjanje vašega spletnega mesta, da boste razumeli, koliko prometa zmore
Za še boljše delovanje spletnega mesta priporočamo nadgradnjo na NGINX Plus, naš komercialni izdelek poslovnega razreda, ki temelji na odprtokodnem NGINX. Njegovi naročniki bodo prejeli dinamično naložen modul Brotli, kot tudi (za doplačilo) NGINX ModSecurity WAF. Ponujamo tudi NGINX App Protect, modul WAF za NGINX Plus, ki temelji na vodilni varnostni tehnologiji F5.
Opomba: Za podporo zelo obremenjenega mesta se lahko obrnete na strokovnjake Southbridge. Zagotovili bomo hitro in zanesljivo delovanje vaše spletne strani ali storitve pod vsako obremenitvijo.