Ne automatizojmë instalimin WordPress me Njësinë NGINX dhe Ubuntu

Ne automatizojmë instalimin WordPress me Njësinë NGINX dhe Ubuntu

Ka shumë materiale instalimi në dispozicion. WordPress, Kërko në Google për fjalë kyçe "WordPress install" do të kthejë rreth gjysmë milioni rezultate. Megjithatë, midis tyre, në fakt ka shumë pak udhëzues të dobishëm për instalimin dhe konfigurimin WordPress dhe sistemin operativ themelor në mënyrë që ato të mund të mbështeten për një periudhë të gjatë kohore. Ndoshta cilësimet e sakta varen shumë nga nevojat specifike, ose ndoshta kjo ndodh sepse shpjegimi i detajuar e bën artikullin të vështirë për t'u lexuar.

Në këtë artikull, do të përpiqemi të kombinojmë më të mirën e të dy qasjeve duke ofruar një skript bash për instalim automatik. WordPress mbi UbuntuGjithashtu do ta shqyrtojmë, duke shpjeguar se çfarë bën secila pjesë dhe kompromiset që bëmë në zhvillimin e saj. Nëse jeni një përdorues me përvojë, mund ta anashkaloni tekstin dhe thjesht merr skenarin për modifikim dhe përdorim në mjediset tuaja. Rezultati i skriptit është një instalim i personalizuar. WordPress me mbështetjen e Let's Encrypt, që funksionon në Njësinë NGINX dhe i përshtatshëm për përdorim në prodhim.

Arkitektura e zhvilluar për vendosje WordPress Përdorimi i Njësisë NGINX përshkruhet në artikull më i vjetër, tani ne gjithashtu do të konfigurojmë më tej gjërat që nuk janë mbuluar atje (si në shumë mësime të tjera):

  • WordPress CLI
  • Le të Enkriptojmë dhe Certifikatat TLSSSL
  • Rinovimi automatik i certifikatave
  • NGINX caching
  • Kompresimi NGINX
  • Mbështetje HTTPS dhe HTTP/2
  • Automatizimi i procesit

Artikulli do të përshkruajë instalimin në një server, i cili njëkohësisht do të presë një server të përpunimit statik, një server përpunimi PHP dhe një bazë të dhënash. Një instalim që mbështet hoste dhe shërbime të shumta virtuale është një temë e mundshme për të ardhmen. Nëse dëshironi që ne të shkruajmë për diçka që nuk është në këto artikuj, shkruani në komente.

Kërkesat

  • Serveri i kontejnerëve (LXC ose LXD), një makinë virtuale ose një server harduerësh të rregullt, me të paktën 512 MB RAM dhe të instaluar Ubuntu 18.04 ose më vonë.
  • Portet e aksesueshme në internet 80 dhe 443
  • Emri i domenit i lidhur me adresën IP publike të këtij serveri
  • Qasja në rrënjë (sudo).

Pasqyrë e arkitekturës

Arkitektura është e njëjtë me atë të përshkruar më herët, një aplikacion ueb me tre nivele. Ai përbëhet nga skriptet PHP që funksionojnë në motorin PHP dhe skedarët statikë që përpunohen nga serveri në internet.

Ne automatizojmë instalimin WordPress me Njësinë NGINX dhe Ubuntu

Parimet e përgjithshme

  • Shumë komanda konfigurimi në një skript janë të mbështjella nëse kushtet për idempotencë: skripti mund të ekzekutohet disa herë pa rrezikun e ndryshimit të cilësimeve që janë tashmë në vend.
  • Skripti përpiqet të instalojë softuer nga depot, kështu që ju mund të aplikoni përditësimet e sistemit në një komandë (apt upgrade për Ubuntu).
  • Komandat përpiqen të zbulojnë se ato po funksionojnë në një kontejner, në mënyrë që të mund të ndryshojnë cilësimet e tyre në përputhje me rrethanat.
  • Për të vendosur numrin e proceseve thread për të filluar në cilësimet, skripti përpiqet të hamendësojë cilësimet automatike për të punuar në kontejnerë, makina virtuale dhe serverë harduerësh.
  • Kur përshkruajmë cilësimet, ne gjithmonë mendojmë para së gjithash për automatizimin, i cili, shpresojmë, do të bëhet baza për krijimin e infrastrukturës suaj si kod.
  • Të gjitha komandat ekzekutohen si përdorues rrënjë, sepse ato ndryshojnë cilësimet kryesore të sistemit, por drejtpërdrejt WordPress Funksionon nga një përdorues i rregullt.

Vendosja e variablave të mjedisit

Vendosni variablat e mëposhtëm të mjedisit përpara se të ekzekutoni skriptin:

  • WORDPRESS_DB_PASSWORD — fjalëkalimi për bazën e të dhënave WordPress
  • WORDPRESS_ADMIN_USER — emri i administratorit WordPress
  • WORDPRESS_ADMIN_PASSWORD — fjalëkalimi i administratorit WordPress
  • WORDPRESS_ADMIN_EMAIL — email-i i administratorit WordPress
  • WORDPRESS_URL — URL-ja e plotë e faqes së internetit WordPressDuke filluar nga https://.
  • LETS_ENCRYPT_STAGING - bosh si parazgjedhje, por duke vendosur vlerën në 1, do të përdorni serverët e fazës Let's Encrypt, të cilët janë të nevojshëm për të kërkuar certifikata të shpeshta kur testoni cilësimet tuaja, përndryshe Let's Encrypt mund të bllokojë përkohësisht adresën tuaj IP për shkak të një numri të madh kërkesash .

Skripti kontrollon nëse këto lidhen WordPress variablat janë vendosur, dhe del nëse jo.
Linjat e skriptit 572-576 kontrollojnë vlerën LETS_ENCRYPT_STAGING.

Vendosja e variablave të mjedisit të prejardhur

Skripti në rreshtat 55-61 vendos variablat e mjedisit të mëposhtëm, ose në ndonjë vlerë të koduar ose duke përdorur një vlerë të marrë nga variablat e vendosur në seksionin e mëparshëm:

  • DEBIAN_FRONTEND="noninteractive" - U tregon aplikacioneve se ato janë duke u ekzekutuar në një skript dhe se nuk ka mundësi të ndërveprimit të përdoruesit.
  • WORDPRESS_CLI_VERSION="2.4.0" — versioni i aplikacionit WordPress CLI.
  • WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — shuma e kontrollit të skedarit të ekzekutueshëm WordPress CLI 2.4.0 (versioni specifikohet në variablin WORDPRESS_CLI_VERSION). Skripti në rreshtin 162 përdor këtë vlerë për të kontrolluar nëse është shkarkuar skedari i saktë. WordPress CLI.
  • UPLOAD_MAX_FILESIZE="16M" — madhësia maksimale e skedarit që mund të ngarkohet WordPressKy cilësim përdoret në disa vende, kështu që është më e lehtë ta caktoni në një vend.
  • TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — emri i hostit të sistemit, i marrë nga variabla WORDPRESS_URL. Përdoret për të marrë certifikatat e duhura TLS/SSL nga Let's Encrypt, si dhe për verifikim të brendshëm. WordPress.
  • NGINX_CONF_DIR="/etc/nginx" - rruga drejt drejtorisë me cilësimet NGINX, duke përfshirë skedarin kryesor nginx.conf.
  • CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — shtegu për te certifikatat Let's Encrypt për faqen WordPress, e marrë nga një ndryshore TLS_HOSTNAME.

Caktimi i emrit të hostit WordPress server

Skripti vendos emrin e hostit të serverit që të përputhet me emrin e domenit të sajtit. Kjo nuk kërkohet, por është më e përshtatshme të dërgoni postë dalëse përmes SMTP kur vendosni një server të vetëm, siç konfigurohet nga skripti.

kodi i skriptit

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

Shtimi i emrit të hostit në /etc/hosts

shtim WP-Cron përdoret për të ekzekutuar detyra periodike, kërkon që WordPress mund të hyjë në vetvete nëpërmjet HTTP. Për të siguruar që WP-Cron funksionon siç duhet në të gjitha mjediset, skripti shton një rresht në skedar. / Etc / hosts, kështu që WordPress mund të hyjë në vetvete nëpërmjet ndërfaqes loopback:

kodi i skriptit

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

Instalimi i mjeteve të nevojshme për hapat e mëtejshëm

Pjesa tjetër e skenarit ka nevojë për disa programe dhe supozon se depot janë të përditësuara. Ne përditësojmë listën e depove, pas së cilës instalojmë mjetet e nevojshme:

kodi i skriptit

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

Shtimi i njësisë NGINX dhe depove NGINX

Skripti instalon njësinë NGINX dhe NGINX me burim të hapur nga depot zyrtare NGINX për t'u siguruar që janë përdorur versionet me arnimet më të fundit të sigurisë dhe rregullimet e gabimeve.

Skripti shton depon e Njësisë NGINX dhe më pas depon NGINX, duke shtuar çelësin e depove dhe skedarët e konfigurimit apt, duke përcaktuar aksesin në depo nëpërmjet internetit.

Instalimi aktual i njësisë NGINX dhe NGINX ndodh në seksionin tjetër. Ne i shtojmë paraprakisht depot në mënyrë që të mos kemi nevojë të përditësojmë meta të dhënat disa herë, gjë që e bën instalimin më të shpejtë.

kodi i skriptit

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

Instalimi i NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) dhe varësitë e tyre

Pasi të shtohen të gjitha depot, ne përditësojmë meta të dhënat dhe instalojmë aplikacionet. Paketat e instaluara nga skripti përfshijnë gjithashtu zgjerime PHP të rekomanduara gjatë nisjes. WordPress. Org

kodi i skriptit

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

Konfigurimi i PHP për përdorim me Njësinë NGINX dhe WordPress

Skripti krijon një skedar cilësimesh në drejtori konf.d.. Kjo cakton madhësinë maksimale të skedarit për ngarkimet e PHP, aktivizon daljen e gabimit PHP në STDERR në mënyrë që ato të shkruhen në regjistrin e njësisë NGINX dhe rinis njësinë NGINX.

kodi i skriptit

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

Konfigurimi i cilësimeve të bazës së të dhënave MariaDB për WordPress

Ne kemi zgjedhur MariaDB mbi MySQL pasi ka më shumë aktivitet në komunitet dhe gjithashtu ka të ngjarë siguron performancë më të mirë si parazgjedhje (me siguri, gjithçka është më e thjeshtë këtu: për të instaluar MySQL, duhet të shtoni një depo tjetër, përafërsisht. përkthyes).

Skripti krijon një bazë të dhënash të re dhe krijon kredencialet e aksesit. WordPress nëpërmjet ndërfaqes loopback:

kodi i skriptit

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

Instalimi i programit WordPress CLI

Në këtë hap, skripti instalon programin WP-CLIMe ndihmën e saj, ju mund të vendosni dhe menaxhoni cilësimet. WordPress pa pasur nevojë të modifikoni manualisht skedarët, të përditësoni bazën e të dhënave ose të hyni në panelin e kontrollit. Mund të përdoret gjithashtu për të instaluar tema dhe shtesa dhe për të kryer përditësime. WordPress.

kodi i skriptit

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

Instalimi dhe konfigurimi WordPress

Skripti instalon versionin më të fundit WordPress te katalogu /var/www/wordpressdhe gjithashtu ndryshon cilësimet:

  • Lidhja e bazës së të dhënave funksionon mbi prizën e domenit unix në vend të TCP në loopback për të zvogëluar trafikun TCP.
  • WordPress shton një parashtesë https:// në URL nëse klientët lidhen me NGINX përmes HTTPS dhe dërgon gjithashtu emrin e hostit në distancë (siç është dhënë nga NGINX) në PHP. Ne përdorim një pjesë të kodit për ta konfiguruar këtë.
  • WordPress HTTPS është i nevojshëm për t'u identifikuar
  • Struktura e paracaktuar e URL-së bazohet në burime
  • Lejet e sakta të sistemit të skedarëve janë vendosur për drejtorinë. WordPress.

kodi i skriptit

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --data-gt-translate-attributes='["title"]' title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

Konfigurimi i njësisë NGINX

Skripti konfiguron Njësinë NGINX për të ekzekutuar PHP dhe për të trajtuar shtigjet. WordPress, duke izoluar hapësirën e emrave të procesit PHP dhe duke optimizuar cilësimet e performancës. Ka tre karakteristika që ia vlen të përmenden:

  • Mbështetja për hapësirat e emrave përcaktohet nga kushti, bazuar në kontrollin që skripti po funksionon në një kontejner. Kjo është e nevojshme sepse shumica e konfigurimeve të kontejnerëve nuk mbështesin nisjen e ndërthurur të kontejnerëve.
  • Nëse ka mbështetje për hapësirat e emrave, çaktivizoni hapësirën e emrave rrjetKjo është e nevojshme për të lejuar WordPress lidhen njëkohësisht me pikat fundore dhe janë të arritshme në internet.
  • Numri maksimal i proceseve përcaktohet si më poshtë: (Kujtesa e disponueshme për ekzekutimin e MariaDB dhe NGINX Uniy)/(Limiti i RAM në PHP + 5)
    Kjo vlerë vendoset në cilësimet e njësisë NGINX.

Kjo vlerë nënkupton gjithashtu se gjithmonë ka të paktën dy procese PHP në punë, gjë që është e rëndësishme sepse WordPress bën shumë kërkesa asinkrone ndaj vetes, dhe pa procese shtesë, ekzekutimi, për shembull, i WP-Cron, do të dështojë. Mund të dëshironi të rrisni ose ulni këto kufizime bazuar në cilësimet tuaja lokale, pasi cilësimet e krijuara këtu janë konservative. Në shumicën e sistemeve të prodhimit, cilësimet janë midis 10 dhe 100.

kodi i skriptit

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d ' ')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

Konfigurimi i NGINX

Konfigurimi i cilësimeve bazë të NGINX

Skripti krijon një direktori për cache NGINX dhe më pas krijon skedarin kryesor të konfigurimit nginx.conf. Kushtojini vëmendje numrit të proceseve të mbajtësit dhe përcaktimit të madhësisë maksimale të skedarit për ngarkim. Ekziston gjithashtu një rresht që përfshin skedarin e cilësimeve të kompresimit të përcaktuar në seksionin tjetër, i ndjekur nga cilësimet e memorizimit.

kodi i skriptit

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

Konfigurimi i kompresimit NGINX

Kompresimi i përmbajtjes menjëherë përpara se ta dërgoni te klientët është një mënyrë e shkëlqyer për të përmirësuar performancën e faqes, por vetëm nëse kompresimi është konfiguruar saktë. Ky seksion i skenarit bazohet në cilësimet prandaj.

kodi i skriptit

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

Konfigurimi i NGINX për WordPress

Më pas, skripti krijon një skedar konfigurimi për WordPress parazgjedhur.konf në katalog konf.d.. Është konfiguruar këtu:

  • Aktivizimi i certifikatave TLS të marra nga Let's Encrypt nëpërmjet Certbot (konfigurimi i tij do të bëhet në seksionin tjetër)
  • Konfigurimi i cilësimeve të sigurisë TLS bazuar në rekomandimet nga Let's Encrypt
  • Aktivizo kërkesat e kapërcimit të memorizimit për 1 orë si parazgjedhje
  • Çaktivizo regjistrimin e aksesit, si dhe regjistrimin e gabimeve nëse skedari nuk gjendet, për dy skedarë të zakonshëm të kërkuar: favicon.ico dhe robots.txt
  • Parandaloni hyrjen në skedarë të fshehur dhe disa skedarë Phppër të parandaluar hyrjen e paligjshme ose fillimin e paqëllimshëm
  • Çaktivizo regjistrimin e aksesit për skedarët statikë dhe font
  • Vendosja e kokës Access-Control-Allow-Origin për skedarët e shkronjave
  • Shtimi i rrugëzimit për index.php dhe statika të tjera.

kodi i skriptit

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

Konfigurimi i Certbot për certifikatat nga Let's Encrypt dhe rinovimi automatik i tyre

Çertbot është një mjet falas nga Electronic Frontier Foundation (EFF) që ju lejon të merrni dhe rinovoni automatikisht certifikatat TLS nga Let's Encrypt. Skripti bën sa më poshtë për të konfiguruar Certbot për të përpunuar certifikatat nga Let's Encrypt në NGINX:

  • Ndalon NGINX
  • Shkarkon cilësimet e rekomanduara të TLS
  • Drejton Certbot për të marrë certifikata për sitin
  • Rinis NGINX për të përdorur certifikatat
  • Konfiguron Certbot që të funksionojë çdo ditë në orën 3:24 të mëngjesit për të kontrolluar nëse certifikatat duhet të rinovohen dhe nëse është e nevojshme, shkarkoni certifikata të reja dhe rinisni NGINX.

kodi i skriptit

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

Përshtatje shtesë e faqes tuaj

Ne folëm më lart se si skripti ynë konfiguron NGINX dhe NGINX Unit për të shërbyer një sajt të gatshëm për prodhim me TLSSSL të aktivizuar. Gjithashtu, në varësi të nevojave tuaja, mund të shtoni në të ardhmen:

  • mbështetje Brotli, kompresim i përmirësuar gjatë fluturimit mbi HTTPS
  • Siguria e Mod с rregulla për WordPresspër të parandaluar sulmet e automatizuara në faqen tuaj
  • rezervë për WordPress, i përshtatshëm për ju
  • Mbrojtje me ndihmën e AppArmor (në Ubuntu)
  • Postfix ose msmtp për të WordPress mund të dërgonte postë
  • Kontrolloni faqen tuaj në mënyrë që të kuptoni se sa trafik mund të përballojë

Për performancë edhe më të mirë të faqes, ne rekomandojmë përmirësimin në NGINX Plus, produkti ynë komercial, i shkallës së ndërmarrjes, i bazuar në NGINX me burim të hapur. Abonentët e tij do të marrin një modul Brotli të ngarkuar në mënyrë dinamike, si dhe (për një tarifë shtesë) NGINX ModSecurity WAF. Ne gjithashtu ofrojmë Mbrojtja e aplikacionit NGINX, një modul WAF për NGINX Plus i bazuar në teknologjinë kryesore të sigurisë në industri nga F5.

NB Për mbështetjen e një faqeje shumë të ngarkuar, mund të kontaktoni specialistët Southbridge. Ne do të sigurojmë funksionim të shpejtë dhe të besueshëm të faqes ose shërbimit tuaj nën çdo ngarkesë.

Burimi: www.habr.com

Bleni një host të besueshëm për faqet me mbrojtje DDoS, serverë VPS VDS 🔥 Bleni hosting të besueshëm të faqeve të internetit me mbrojtje DDoS, servera VPS VDS | ProHoster