Ka shumë materiale instalimi në dispozicion. WordPress, Kërko në Google për fjalë kyçe "WordPress install" do të kthejë rreth gjysmë milioni rezultate. Megjithatë, midis tyre, në fakt ka shumë pak udhëzues të dobishëm për instalimin dhe konfigurimin WordPress dhe sistemin operativ themelor në mënyrë që ato të mund të mbështeten për një periudhë të gjatë kohore. Ndoshta cilësimet e sakta varen shumë nga nevojat specifike, ose ndoshta kjo ndodh sepse shpjegimi i detajuar e bën artikullin të vështirë për t'u lexuar.
Në këtë artikull, do të përpiqemi të kombinojmë më të mirën e të dy qasjeve duke ofruar një skript bash për instalim automatik. WordPress mbi UbuntuGjithashtu do ta shqyrtojmë, duke shpjeguar se çfarë bën secila pjesë dhe kompromiset që bëmë në zhvillimin e saj. Nëse jeni një përdorues me përvojë, mund ta anashkaloni tekstin dhe thjesht për modifikim dhe përdorim në mjediset tuaja. Rezultati i skriptit është një instalim i personalizuar. WordPress me mbështetjen e Let's Encrypt, që funksionon në Njësinë NGINX dhe i përshtatshëm për përdorim në prodhim.
Arkitektura e zhvilluar për vendosje WordPress Përdorimi i Njësisë NGINX përshkruhet në , tani ne gjithashtu do të konfigurojmë më tej gjërat që nuk janë mbuluar atje (si në shumë mësime të tjera):
- WordPress CLI
- Le të Enkriptojmë dhe Certifikatat TLSSSL
- Rinovimi automatik i certifikatave
- NGINX caching
- Kompresimi NGINX
- Mbështetje HTTPS dhe HTTP/2
- Automatizimi i procesit
Artikulli do të përshkruajë instalimin në një server, i cili njëkohësisht do të presë një server të përpunimit statik, një server përpunimi PHP dhe një bazë të dhënash. Një instalim që mbështet hoste dhe shërbime të shumta virtuale është një temë e mundshme për të ardhmen. Nëse dëshironi që ne të shkruajmë për diçka që nuk është në këto artikuj, shkruani në komente.
KĂ«rkesat
- Serveri i kontejnerëve ( ose ), një makinë virtuale ose një server harduerësh të rregullt, me të paktën 512 MB RAM dhe të instaluar Ubuntu 18.04 ose më vonë.
- Portet e aksesueshme në internet 80 dhe 443
- Emri i domenit i lidhur me adresën IP publike të këtij serveri
- Qasja në rrënjë (sudo).
Pasqyrë e arkitekturës
Arkitektura është e njëjtë me atë të përshkruar , një aplikacion ueb me tre nivele. Ai përbëhet nga skriptet PHP që funksionojnë në motorin PHP dhe skedarët statikë që përpunohen nga serveri në internet.
Parimet e përgjithshme
- Shumë komanda konfigurimi në një skript janë të mbështjella nëse kushtet për idempotencë: skripti mund të ekzekutohet disa herë pa rrezikun e ndryshimit të cilësimeve që janë tashmë në vend.
- Skripti përpiqet të instalojë softuer nga depot, kështu që ju mund të aplikoni përditësimet e sistemit në një komandë (
apt upgradepër Ubuntu). - Komandat përpiqen të zbulojnë se ato po funksionojnë në një kontejner, në mënyrë që të mund të ndryshojnë cilësimet e tyre në përputhje me rrethanat.
- Për të vendosur numrin e proceseve thread për të filluar në cilësimet, skripti përpiqet të hamendësojë cilësimet automatike për të punuar në kontejnerë, makina virtuale dhe serverë harduerësh.
- Kur përshkruajmë cilësimet, ne gjithmonë mendojmë para së gjithash për automatizimin, i cili, shpresojmë, do të bëhet baza për krijimin e infrastrukturës suaj si kod.
- Të gjitha komandat ekzekutohen si përdorues rrënjë, sepse ato ndryshojnë cilësimet kryesore të sistemit, por drejtpërdrejt WordPress Funksionon nga një përdorues i rregullt.
Vendosja e variablave të mjedisit
Vendosni variablat e mëposhtëm të mjedisit përpara se të ekzekutoni skriptin:
WORDPRESS_DB_PASSWORDâ fjalĂ«kalimi pĂ«r bazĂ«n e tĂ« dhĂ«nave WordPressWORDPRESS_ADMIN_USERâ emri i administratorit WordPressWORDPRESS_ADMIN_PASSWORDâ fjalĂ«kalimi i administratorit WordPressWORDPRESS_ADMIN_EMAILâ email-i i administratorit WordPressWORDPRESS_URLâ URL-ja e plotĂ« e faqes sĂ« internetit WordPressDuke filluar ngahttps://.LETS_ENCRYPT_STAGING- bosh si parazgjedhje, por duke vendosur vlerĂ«n nĂ« 1, do tĂ« pĂ«rdorni serverĂ«t e fazĂ«s Let's Encrypt, tĂ« cilĂ«t janĂ« tĂ« nevojshĂ«m pĂ«r tĂ« kĂ«rkuar certifikata tĂ« shpeshta kur testoni cilĂ«simet tuaja, pĂ«rndryshe Let's Encrypt mund tĂ« bllokojĂ« pĂ«rkohĂ«sisht adresĂ«n tuaj IP pĂ«r shkak tĂ« njĂ« numri tĂ« madh kĂ«rkesash .
Skripti kontrollon nëse këto lidhen WordPress variablat janë vendosur, dhe del nëse jo.
Linjat e skriptit 572-576 kontrollojnë vlerën LETS_ENCRYPT_STAGING.
Vendosja e variablave të mjedisit të prejardhur
Skripti në rreshtat 55-61 vendos variablat e mjedisit të mëposhtëm, ose në ndonjë vlerë të koduar ose duke përdorur një vlerë të marrë nga variablat e vendosur në seksionin e mëparshëm:
DEBIAN_FRONTEND="noninteractive"- U tregon aplikacioneve se ato janĂ« duke u ekzekutuar nĂ« njĂ« skript dhe se nuk ka mundĂ«si tĂ« ndĂ«rveprimit tĂ« pĂ«rdoruesit.WORDPRESS_CLI_VERSION="2.4.0"â versioni i aplikacionit WordPress CLI.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"â shuma e kontrollit tĂ« skedarit tĂ« ekzekutueshĂ«m WordPress CLI 2.4.0 (versioni specifikohet nĂ« variablinWORDPRESS_CLI_VERSION). Skripti nĂ« rreshtin 162 pĂ«rdor kĂ«tĂ« vlerĂ« pĂ«r tĂ« kontrolluar nĂ«se Ă«shtĂ« shkarkuar skedari i saktĂ«. WordPress CLI.UPLOAD_MAX_FILESIZE="16M"â madhĂ«sia maksimale e skedarit qĂ« mund tĂ« ngarkohet WordPressKy cilĂ«sim pĂ«rdoret nĂ« disa vende, kĂ«shtu qĂ« Ă«shtĂ« mĂ« e lehtĂ« ta caktoni nĂ« njĂ« vend.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"â emri i hostit tĂ« sistemit, i marrĂ« nga variabla WORDPRESS_URL. PĂ«rdoret pĂ«r tĂ« marrĂ« certifikatat e duhura TLS/SSL nga Let's Encrypt, si dhe pĂ«r verifikim tĂ« brendshĂ«m. WordPress.NGINX_CONF_DIR="/etc/nginx"- rruga drejt drejtorisĂ« me cilĂ«simet NGINX, duke pĂ«rfshirĂ« skedarin kryesornginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"â shtegu pĂ«r te certifikatat Let's Encrypt pĂ«r faqen WordPress, e marrĂ« nga njĂ« ndryshoreTLS_HOSTNAME.
Caktimi i emrit të hostit WordPress server
Skripti vendos emrin e hostit të serverit që të përputhet me emrin e domenit të sajtit. Kjo nuk kërkohet, por është më e përshtatshme të dërgoni postë dalëse përmes SMTP kur vendosni një server të vetëm, siç konfigurohet nga skripti.
kodi i skriptit
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiShtimi i emrit të hostit në /etc/hosts
shtim përdoret për të ekzekutuar detyra periodike, kërkon që WordPress mund të hyjë në vetvete nëpërmjet HTTP. Për të siguruar që WP-Cron funksionon siç duhet në të gjitha mjediset, skripti shton një rresht në skedar. / Etc / hosts, kështu që WordPress mund të hyjë në vetvete nëpërmjet ndërfaqes loopback:
kodi i skriptit
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiInstalimi i mjeteve të nevojshme për hapat e mëtejshëm
Pjesa tjetër e skenarit ka nevojë për disa programe dhe supozon se depot janë të përditësuara. Ne përditësojmë listën e depove, pas së cilës instalojmë mjetet e nevojshme:
kodi i skriptit
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseShtimi i njësisë NGINX dhe depove NGINX
Skripti instalon njësinë NGINX dhe NGINX me burim të hapur nga depot zyrtare NGINX për t'u siguruar që janë përdorur versionet me arnimet më të fundit të sigurisë dhe rregullimet e gabimeve.
Skripti shton depon e Njësisë NGINX dhe më pas depon NGINX, duke shtuar çelësin e depove dhe skedarët e konfigurimit apt, duke përcaktuar aksesin në depo nëpërmjet internetit.
Instalimi aktual i njësisë NGINX dhe NGINX ndodh në seksionin tjetër. Ne i shtojmë paraprakisht depot në mënyrë që të mos kemi nevojë të përditësojmë meta të dhënat disa herë, gjë që e bën instalimin më të shpejtë.
kodi i skriptit
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiInstalimi i NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) dhe varësitë e tyre
Pasi të shtohen të gjitha depot, ne përditësojmë meta të dhënat dhe instalojmë aplikacionet. Paketat e instaluara nga skripti përfshijnë gjithashtu zgjerime PHP të rekomanduara gjatë nisjes. WordPress. Org
kodi i skriptit
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverKonfigurimi i PHP për përdorim me Njësinë NGINX dhe WordPress
Skripti krijon një skedar cilësimesh në drejtori konf.d.. Kjo cakton madhësinë maksimale të skedarit për ngarkimet e PHP, aktivizon daljen e gabimit PHP në STDERR në mënyrë që ato të shkruhen në regjistrin e njësisë NGINX dhe rinis njësinë NGINX.
kodi i skriptit
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartKonfigurimi i cilësimeve të bazës së të dhënave MariaDB për WordPress
Ne kemi zgjedhur MariaDB mbi MySQL pasi ka më shumë aktivitet në komunitet dhe gjithashtu ka të ngjarë (me siguri, gjithçka është më e thjeshtë këtu: për të instaluar MySQL, duhet të shtoni një depo tjetër, përafërsisht. përkthyes).
Skripti krijon një bazë të dhënash të re dhe krijon kredencialet e aksesit. WordPress nëpërmjet ndërfaqes loopback:
kodi i skriptit
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"Instalimi i programit WordPress CLI
Në këtë hap, skripti instalon programin Me ndihmën e saj, ju mund të vendosni dhe menaxhoni cilësimet. WordPress pa pasur nevojë të modifikoni manualisht skedarët, të përditësoni bazën e të dhënave ose të hyni në panelin e kontrollit. Mund të përdoret gjithashtu për të instaluar tema dhe shtesa dhe për të kryer përditësime. WordPress.
kodi i skriptit
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiInstalimi dhe konfigurimi WordPress
Skripti instalon versionin më të fundit WordPress te katalogu /var/www/wordpressdhe gjithashtu ndryshon cilësimet:
- Lidhja e bazës së të dhënave funksionon mbi prizën e domenit unix në vend të TCP në loopback për të zvogëluar trafikun TCP.
- WordPress shton një parashtesë https:// në URL nëse klientët lidhen me NGINX përmes HTTPS dhe dërgon gjithashtu emrin e hostit në distancë (siç është dhënë nga NGINX) në PHP. Ne përdorim një pjesë të kodit për ta konfiguruar këtë.
- WordPress HTTPS është i nevojshëm për t'u identifikuar
- Struktura e paracaktuar e URL-së bazohet në burime
- Lejet e sakta të sistemit të skedarëve janë vendosur për drejtorinë. WordPress.
kodi i skriptit
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --data-gt-translate-attributes='["title"]' title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiKonfigurimi i njësisë NGINX
Skripti konfiguron Njësinë NGINX për të ekzekutuar PHP dhe për të trajtuar shtigjet. WordPress, duke izoluar hapësirën e emrave të procesit PHP dhe duke optimizuar cilësimet e performancës. Ka tre karakteristika që ia vlen të përmenden:
- Mbështetja për hapësirat e emrave përcaktohet nga kushti, bazuar në kontrollin që skripti po funksionon në një kontejner. Kjo është e nevojshme sepse shumica e konfigurimeve të kontejnerëve nuk mbështesin nisjen e ndërthurur të kontejnerëve.
- Nëse ka mbështetje për hapësirat e emrave, çaktivizoni hapësirën e emrave rrjetKjo është e nevojshme për të lejuar WordPress lidhen njëkohësisht me pikat fundore dhe janë të arritshme në internet.
- Numri maksimal i proceseve përcaktohet si më poshtë: (Kujtesa e disponueshme për ekzekutimin e MariaDB dhe NGINX Uniy)/(Limiti i RAM në PHP + 5)
Kjo vlerë vendoset në cilësimet e njësisë NGINX.
Kjo vlerë nënkupton gjithashtu se gjithmonë ka të paktën dy procese PHP në punë, gjë që është e rëndësishme sepse WordPress bën shumë kërkesa asinkrone ndaj vetes, dhe pa procese shtesë, ekzekutimi, për shembull, i WP-Cron, do të dështojë. Mund të dëshironi të rrisni ose ulni këto kufizime bazuar në cilësimet tuaja lokale, pasi cilësimet e krijuara këtu janë konservative. Në shumicën e sistemeve të prodhimit, cilësimet janë midis 10 dhe 100.
kodi i skriptit
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d ' ')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configKonfigurimi i NGINX
Konfigurimi i cilësimeve bazë të NGINX
Skripti krijon një direktori për cache NGINX dhe më pas krijon skedarin kryesor të konfigurimit nginx.conf. Kushtojini vëmendje numrit të proceseve të mbajtësit dhe përcaktimit të madhësisë maksimale të skedarit për ngarkim. Ekziston gjithashtu një rresht që përfshin skedarin e cilësimeve të kompresimit të përcaktuar në seksionin tjetër, i ndjekur nga cilësimet e memorizimit.
kodi i skriptit
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMKonfigurimi i kompresimit NGINX
Kompresimi i përmbajtjes menjëherë përpara se ta dërgoni te klientët është një mënyrë e shkëlqyer për të përmirësuar performancën e faqes, por vetëm nëse kompresimi është konfiguruar saktë. Ky seksion i skenarit bazohet në cilësimet .
kodi i skriptit
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMKonfigurimi i NGINX për WordPress
MĂ« pas, skripti krijon njĂ« skedar konfigurimi pĂ«r WordPress parazgjedhur.konf nĂ« katalog konf.d.. ĂshtĂ« konfiguruar kĂ«tu:
- Aktivizimi i certifikatave TLS të marra nga Let's Encrypt nëpërmjet Certbot (konfigurimi i tij do të bëhet në seksionin tjetër)
- Konfigurimi i cilësimeve të sigurisë TLS bazuar në rekomandimet nga Let's Encrypt
- Aktivizo kërkesat e kapërcimit të memorizimit për 1 orë si parazgjedhje
- Ăaktivizo regjistrimin e aksesit, si dhe regjistrimin e gabimeve nĂ«se skedari nuk gjendet, pĂ«r dy skedarĂ« tĂ« zakonshĂ«m tĂ« kĂ«rkuar: favicon.ico dhe robots.txt
- Parandaloni hyrjen në skedarë të fshehur dhe disa skedarë Phppër të parandaluar hyrjen e paligjshme ose fillimin e paqëllimshëm
- Ăaktivizo regjistrimin e aksesit pĂ«r skedarĂ«t statikĂ« dhe font
- Vendosja e kokës për skedarët e shkronjave
- Shtimi i rrugëzimit për index.php dhe statika të tjera.
kodi i skriptit
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMKonfigurimi i Certbot për certifikatat nga Let's Encrypt dhe rinovimi automatik i tyre
është një mjet falas nga Electronic Frontier Foundation (EFF) që ju lejon të merrni dhe rinovoni automatikisht certifikatat TLS nga Let's Encrypt. Skripti bën sa më poshtë për të konfiguruar Certbot për të përpunuar certifikatat nga Let's Encrypt në NGINX:
- Ndalon NGINX
- Shkarkon cilësimet e rekomanduara të TLS
- Drejton Certbot për të marrë certifikata për sitin
- Rinis NGINX për të përdorur certifikatat
- Konfiguron Certbot që të funksionojë çdo ditë në orën 3:24 të mëngjesit për të kontrolluar nëse certifikatat duhet të rinovohen dhe nëse është e nevojshme, shkarkoni certifikata të reja dhe rinisni NGINX.
kodi i skriptit
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiPërshtatje shtesë e faqes tuaj
Ne folëm më lart se si skripti ynë konfiguron NGINX dhe NGINX Unit për të shërbyer një sajt të gatshëm për prodhim me TLSSSL të aktivizuar. Gjithashtu, në varësi të nevojave tuaja, mund të shtoni në të ardhmen:
- mbështetje , kompresim i përmirësuar gjatë fluturimit mbi HTTPS
- Ń pĂ«r tĂ« parandaluar sulmet e automatizuara nĂ« faqen tuaj
- për WordPress, i përshtatshëm për ju
- me ndihmën e (në Ubuntu)
- Postfix ose msmtp për të WordPress mund të dërgonte postë
- Kontrolloni faqen tuaj në mënyrë që të kuptoni se sa trafik mund të përballojë
Për performancë edhe më të mirë të faqes, ne rekomandojmë përmirësimin në , produkti ynë komercial, i shkallës së ndërmarrjes, i bazuar në NGINX me burim të hapur. Abonentët e tij do të marrin një modul Brotli të ngarkuar në mënyrë dinamike, si dhe (për një tarifë shtesë) . Ne gjithashtu ofrojmë , një modul WAF për NGINX Plus i bazuar në teknologjinë kryesore të sigurisë në industri nga F5.
NB Për mbështetjen e një faqeje shumë të ngarkuar, mund të kontaktoni specialistët . Ne do të sigurojmë funksionim të shpejtë dhe të besueshëm të faqes ose shërbimit tuaj nën çdo ngarkesë.
Burimi: www.habr.com
