ProHoster > Blog > administratë > Automatizimi i instalimit të WordPress me njësinë NGINX dhe Ubuntu
Automatizimi i instalimit të WordPress me njësinë NGINX dhe Ubuntu
Ka shumë udhëzime se si të instaloni WordPress, një kërkim në Google për "WordPress install" do të sjellë rreth gjysmë milioni rezultate. Megjithatë, në fakt, ka shumë pak udhëzues të mirë midis tyre, sipas të cilëve mund të instaloni dhe konfiguroni WordPress dhe sistemin operativ themelor në mënyrë që ata të jenë në gjendje të mbështesin për një periudhë të gjatë kohore. Ndoshta cilësimet e sakta varen shumë nga nevojat specifike, ose kjo për faktin se një shpjegim i detajuar e bën artikullin të vështirë për t'u lexuar.
Në këtë artikull, ne do të përpiqemi të kombinojmë më të mirën e të dy botëve duke ofruar një skript bash për të instaluar automatikisht WordPress në Ubuntu, si dhe për të ecur nëpër të, duke shpjeguar se çfarë bën çdo pjesë, si dhe kompromiset që kemi bërë në zhvillimin e tij. . Nëse jeni përdorues i avancuar, mund të kaloni tekstin e artikullit dhe thjesht merr skenarin për modifikim dhe përdorim në mjediset tuaja. Prodhimi i skriptit është një instalim i personalizuar i WordPress me mbështetje Lets Encrypt, që funksionon në njësinë NGINX dhe i përshtatshëm për përdorim në prodhim.
Arkitektura e zhvilluar për vendosjen e WordPress duke përdorur Njësinë NGINX përshkruhet në artikull më i vjetër, tani ne gjithashtu do të konfigurojmë më tej gjërat që nuk janë mbuluar atje (si në shumë mësime të tjera):
WordPress CLI
Le të Enkriptojmë dhe Certifikatat TLSSSL
Rinovimi automatik i certifikatave
NGINX caching
Kompresimi NGINX
Mbështetje HTTPS dhe HTTP/2
Automatizimi i procesit
Artikulli do të përshkruajë instalimin në një server, i cili njëkohësisht do të presë një server të përpunimit statik, një server përpunimi PHP dhe një bazë të dhënash. Një instalim që mbështet hoste dhe shërbime të shumta virtuale është një temë e mundshme për të ardhmen. Nëse dëshironi që ne të shkruajmë për diçka që nuk është në këto artikuj, shkruani në komente.
Kërkesat
Serveri i kontejnerëve (LXC ose LXD), një makinë virtuale ose një server i rregullt hekuri me të paktën 512 MB RAM dhe Ubuntu 18.04 ose më i ri i instaluar.
Portet e aksesueshme në internet 80 dhe 443
Emri i domenit i lidhur me adresën IP publike të këtij serveri
Qasja në rrënjë (sudo).
Pasqyrë e arkitekturës
Arkitektura është e njëjtë me atë të përshkruar më herët, një aplikacion ueb me tre nivele. Ai përbëhet nga skriptet PHP që funksionojnë në motorin PHP dhe skedarët statikë që përpunohen nga serveri në internet.
Parimet e përgjithshme
Shumë komanda konfigurimi në një skript janë të mbështjella nëse kushtet për idempotencë: skripti mund të ekzekutohet disa herë pa rrezikun e ndryshimit të cilësimeve që janë tashmë në vend.
Skripti përpiqet të instalojë softuer nga depot, kështu që ju mund të aplikoni përditësimet e sistemit në një komandë (apt upgrade për Ubuntu).
Komandat përpiqen të zbulojnë se ato po funksionojnë në një kontejner, në mënyrë që të mund të ndryshojnë cilësimet e tyre në përputhje me rrethanat.
Për të vendosur numrin e proceseve thread për të filluar në cilësimet, skripti përpiqet të hamendësojë cilësimet automatike për të punuar në kontejnerë, makina virtuale dhe serverë harduerësh.
Kur përshkruajmë cilësimet, ne gjithmonë mendojmë para së gjithash për automatizimin, i cili, shpresojmë, do të bëhet baza për krijimin e infrastrukturës suaj si kod.
Të gjitha komandat ekzekutohen si përdorues rrënjë, sepse ato ndryshojnë cilësimet bazë të sistemit, por drejtpërdrejt WordPress funksionon si përdorues i rregullt.
Vendosja e variablave të mjedisit
Vendosni variablat e mëposhtëm të mjedisit përpara se të ekzekutoni skriptin:
WORDPRESS_DB_PASSWORD - Fjalëkalimi i bazës së të dhënave të WordPress
WORDPRESS_ADMIN_USER - Emri i administratorit të WordPress
WORDPRESS_ADMIN_PASSWORD - Fjalëkalimi i administratorit të WordPress
WORDPRESS_ADMIN_EMAIL - Email i administratorit të WordPress
WORDPRESS_URL është URL-ja e plotë e faqes së WordPress, duke filluar në https://.
LETS_ENCRYPT_STAGING - bosh si parazgjedhje, por duke vendosur vlerën në 1, do të përdorni serverët e fazës Let's Encrypt, të cilët janë të nevojshëm për të kërkuar certifikata të shpeshta kur testoni cilësimet tuaja, përndryshe Let's Encrypt mund të bllokojë përkohësisht adresën tuaj IP për shkak të një numri të madh kërkesash .
Skripti kontrollon që këto variabla të lidhura me WordPress janë vendosur dhe del nëse jo.
Linjat e skriptit 572-576 kontrollojnë vlerën LETS_ENCRYPT_STAGING.
Vendosja e variablave të mjedisit të prejardhur
Skripti në rreshtat 55-61 vendos variablat e mjedisit të mëposhtëm, ose në ndonjë vlerë të koduar ose duke përdorur një vlerë të marrë nga variablat e vendosur në seksionin e mëparshëm:
DEBIAN_FRONTEND="noninteractive" - U tregon aplikacioneve se ato janë duke u ekzekutuar në një skript dhe se nuk ka mundësi të ndërveprimit të përdoruesit.
WORDPRESS_CLI_VERSION="2.4.0" është versioni i aplikacionit WordPress CLI.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — shuma e kontrollit të skedarit të ekzekutueshëm WordPress CLI 2.4.0 (versioni është specifikuar në variablin WORDPRESS_CLI_VERSION). Skripti në linjën 162 përdor këtë vlerë për të kontrolluar nëse skedari i saktë CLI i WordPress është shkarkuar.
UPLOAD_MAX_FILESIZE="16M" - madhësia maksimale e skedarit që mund të ngarkohet në WordPress. Ky cilësim përdoret në disa vende, kështu që është më e lehtë ta vendosni në një vend.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - emri i hostit të sistemit, i marrë nga ndryshorja WORDPRESS_URL. Përdoret për të marrë certifikatat e duhura TLS/SSL nga Let's Encrypt, si dhe verifikimin e brendshëm të WordPress.
NGINX_CONF_DIR="/etc/nginx" - rruga drejt drejtorisë me cilësimet NGINX, duke përfshirë skedarin kryesor nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — shtegu drejt certifikatave Let's Encrypt për faqen WordPress, marrë nga ndryshorja TLS_HOSTNAME.
Caktimi i një emri pritës në një server WordPress
Skripti vendos emrin e hostit të serverit që të përputhet me emrin e domenit të sajtit. Kjo nuk kërkohet, por është më e përshtatshme të dërgoni postë dalëse përmes SMTP kur vendosni një server të vetëm, siç konfigurohet nga skripti.
kodi i skriptit
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Shtimi i emrit të hostit në /etc/hosts
shtim WP-Cron përdoret për të ekzekutuar detyra periodike, kërkon që WordPress të jetë në gjendje të aksesojë vetë nëpërmjet HTTP. Për t'u siguruar që WP-Cron funksionon siç duhet në të gjitha mjediset, skripti shton një rresht në skedar / Etc / hostsnë mënyrë që WordPress të mund të hyjë në vetvete përmes ndërfaqes loopback:
kodi i skriptit
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Instalimi i mjeteve të nevojshme për hapat e mëtejshëm
Pjesa tjetër e skenarit ka nevojë për disa programe dhe supozon se depot janë të përditësuara. Ne përditësojmë listën e depove, pas së cilës instalojmë mjetet e nevojshme:
kodi i skriptit
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Shtimi i njësisë NGINX dhe depove NGINX
Skripti instalon njësinë NGINX dhe NGINX me burim të hapur nga depot zyrtare NGINX për t'u siguruar që janë përdorur versionet me arnimet më të fundit të sigurisë dhe rregullimet e gabimeve.
Skripti shton depon e Njësisë NGINX dhe më pas depon NGINX, duke shtuar çelësin e depove dhe skedarët e konfigurimit apt, duke përcaktuar aksesin në depo nëpërmjet internetit.
Instalimi aktual i njësisë NGINX dhe NGINX ndodh në seksionin tjetër. Ne i shtojmë paraprakisht depot në mënyrë që të mos kemi nevojë të përditësojmë meta të dhënat disa herë, gjë që e bën instalimin më të shpejtë.
kodi i skriptit
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Instalimi i NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) dhe varësitë e tyre
Pasi të shtohen të gjitha depot, përditësoni meta të dhënat dhe instaloni aplikacionet. Paketat e instaluara nga skripti përfshijnë gjithashtu shtesat PHP të rekomanduara kur ekzekutoni WordPress.org
kodi i skriptit
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Konfigurimi i PHP për përdorim me njësinë NGINX dhe WordPress
Skripti krijon një skedar cilësimesh në drejtori konf.d.. Kjo cakton madhësinë maksimale të skedarit për ngarkimet e PHP, aktivizon daljen e gabimit PHP në STDERR në mënyrë që ato të shkruhen në regjistrin e njësisë NGINX dhe rinis njësinë NGINX.
kodi i skriptit
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Specifikimi i cilësimeve të bazës së të dhënave MariaDB për WordPress
Ne kemi zgjedhur MariaDB mbi MySQL pasi ka më shumë aktivitet në komunitet dhe gjithashtu ka të ngjarë siguron performancë më të mirë si parazgjedhje (me siguri, gjithçka është më e thjeshtë këtu: për të instaluar MySQL, duhet të shtoni një depo tjetër, përafërsisht. përkthyes).
Skripti krijon një bazë të dhënash të re dhe krijon kredencialet për të hyrë në WordPress përmes ndërfaqes loopback:
kodi i skriptit
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Instalimi i programit WordPress CLI
Në këtë hap, skripti instalon programin WP-CLI. Me të, ju mund të instaloni dhe menaxhoni cilësimet e WordPress pa pasur nevojë të modifikoni manualisht skedarët, të përditësoni bazën e të dhënave ose të hyni në panelin e kontrollit. Mund të përdoret gjithashtu për të instaluar tema dhe shtesa dhe për të përditësuar WordPress.
kodi i skriptit
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Instalimi dhe konfigurimi i WordPress
Skripti instalon versionin më të fundit të WordPress në një direktori /var/www/wordpressdhe gjithashtu ndryshon cilësimet:
Lidhja e bazës së të dhënave funksionon mbi prizën e domenit unix në vend të TCP në loopback për të zvogëluar trafikun TCP.
WordPress shton një parashtesë https:// në URL nëse klientët lidhen me NGINX përmes HTTPS dhe dërgon gjithashtu emrin e hostit në distancë (siç është dhënë nga NGINX) në PHP. Ne përdorim një pjesë të kodit për ta konfiguruar këtë.
WordPress ka nevojë për HTTPS për t'u identifikuar
Struktura e paracaktuar e URL-së bazohet në burime
Vendos lejet e sakta në sistemin e skedarëve për direktorinë e WordPress.
kodi i skriptit
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Konfigurimi i njësisë NGINX
Skripti konfiguron njësinë NGINX për të ekzekutuar PHP dhe për të përpunuar shtigjet e WordPress, duke izoluar hapësirën e emrave të procesit PHP dhe duke optimizuar cilësimet e performancës. Ekzistojnë tre veçori për t'u kujdesur këtu:
Mbështetja për hapësirat e emrave përcaktohet nga kushti, bazuar në kontrollin që skripti po funksionon në një kontejner. Kjo është e nevojshme sepse shumica e konfigurimeve të kontejnerëve nuk mbështesin nisjen e ndërthurur të kontejnerëve.
Nëse ka mbështetje për hapësirat e emrave, çaktivizoni hapësirën e emrave rrjet. Kjo është për të lejuar WordPress të lidhet me të dy pikat fundore dhe të jetë i disponueshëm në ueb në të njëjtën kohë.
Numri maksimal i proceseve përcaktohet si më poshtë: (Kujtesa e disponueshme për ekzekutimin e MariaDB dhe NGINX Uniy)/(Limiti i RAM në PHP + 5)
Kjo vlerë vendoset në cilësimet e njësisë NGINX.
Kjo vlerë nënkupton gjithashtu se ka gjithmonë të paktën dy procese PHP që funksionojnë, gjë që është e rëndësishme sepse WordPress i bën vetes shumë kërkesa asinkrone dhe pa procese shtesë, ekzekutimi p.sh. WP-Cron do të prishet. Ju mund të dëshironi t'i rritni ose ulni këto kufij bazuar në cilësimet tuaja lokale, sepse cilësimet e krijuara këtu janë konservatore. Në shumicën e sistemeve të prodhimit, cilësimet janë midis 10 dhe 100.
kodi i skriptit
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Konfigurimi i NGINX
Konfigurimi i cilësimeve bazë të NGINX
Skripti krijon një direktori për cache NGINX dhe më pas krijon skedarin kryesor të konfigurimit nginx.conf. Kushtojini vëmendje numrit të proceseve të mbajtësit dhe përcaktimit të madhësisë maksimale të skedarit për ngarkim. Ekziston gjithashtu një rresht që përfshin skedarin e cilësimeve të kompresimit të përcaktuar në seksionin tjetër, i ndjekur nga cilësimet e memorizimit.
Kompresimi i përmbajtjes menjëherë përpara se ta dërgoni te klientët është një mënyrë e shkëlqyer për të përmirësuar performancën e faqes, por vetëm nëse kompresimi është konfiguruar saktë. Ky seksion i skenarit bazohet në cilësimet prandaj.
kodi i skriptit
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Konfigurimi i NGINX për WordPress
Më pas, skripti krijon një skedar konfigurimi për WordPress parazgjedhur.konf në katalog konf.d.. Është konfiguruar këtu:
Aktivizimi i certifikatave TLS të marra nga Let's Encrypt nëpërmjet Certbot (konfigurimi i tij do të bëhet në seksionin tjetër)
Konfigurimi i cilësimeve të sigurisë TLS bazuar në rekomandimet nga Let's Encrypt
Aktivizo kërkesat e kapërcimit të memorizimit për 1 orë si parazgjedhje
Çaktivizo regjistrimin e aksesit, si dhe regjistrimin e gabimeve nëse skedari nuk gjendet, për dy skedarë të zakonshëm të kërkuar: favicon.ico dhe robots.txt
Parandaloni hyrjen në skedarë të fshehur dhe disa skedarë Phppër të parandaluar hyrjen e paligjshme ose fillimin e paqëllimshëm
Çaktivizo regjistrimin e aksesit për skedarët statikë dhe font
Shtimi i rrugëzimit për index.php dhe statika të tjera.
kodi i skriptit
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Konfigurimi i Certbot për certifikatat nga Let's Encrypt dhe rinovimi automatik i tyre
Çertbot është një mjet falas nga Electronic Frontier Foundation (EFF) që ju lejon të merrni dhe rinovoni automatikisht certifikatat TLS nga Let's Encrypt. Skripti bën sa më poshtë për të konfiguruar Certbot për të përpunuar certifikatat nga Let's Encrypt në NGINX:
Ndalon NGINX
Shkarkon cilësimet e rekomanduara të TLS
Drejton Certbot për të marrë certifikata për sitin
Rinis NGINX për të përdorur certifikatat
Konfiguron Certbot që të funksionojë çdo ditë në orën 3:24 të mëngjesit për të kontrolluar nëse certifikatat duhet të rinovohen dhe nëse është e nevojshme, shkarkoni certifikata të reja dhe rinisni NGINX.
kodi i skriptit
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Përshtatje shtesë e faqes tuaj
Ne folëm më lart se si skripti ynë konfiguron NGINX dhe NGINX Unit për të shërbyer një sajt të gatshëm për prodhim me TLSSSL të aktivizuar. Gjithashtu, në varësi të nevojave tuaja, mund të shtoni në të ardhmen:
mbështetje Brotli, kompresim i përmirësuar gjatë fluturimit mbi HTTPS
Postfix ose msmtp që WordPress të mund të dërgojë postë
Kontrolloni faqen tuaj në mënyrë që të kuptoni se sa trafik mund të përballojë
Për performancë edhe më të mirë të faqes, ne rekomandojmë përmirësimin në NGINX Plus, produkti ynë komercial, i shkallës së ndërmarrjes, i bazuar në NGINX me burim të hapur. Abonentët e tij do të marrin një modul Brotli të ngarkuar në mënyrë dinamike, si dhe (për një tarifë shtesë) NGINX ModSecurity WAF. Ne gjithashtu ofrojmë Mbrojtja e aplikacionit NGINX, një modul WAF për NGINX Plus i bazuar në teknologjinë kryesore të sigurisë në industri nga F5.
NB Për mbështetjen e një faqeje shumë të ngarkuar, mund të kontaktoni specialistët Southbridge. Ne do të sigurojmë funksionim të shpejtë dhe të besueshëm të faqes ose shërbimit tuaj nën çdo ngarkesë.