Аутоматизација инсталације ВордПресс-а са НГИНКС јединицом и Убунтуом
Постоји много материјала о инсталирању ВордПресс-а; Гоогле претрага за „ВордПресс инсталл“ ће вратити око пола милиона резултата. Међутим, заправо постоји врло мало корисних водича који вам могу помоћи да инсталирате и конфигуришете ВордПресс и основни оперативни систем тако да могу бити подржани током дужег временског периода. Можда тачна подешавања у великој мери зависе од ваших специфичних потреба, или је то можда зато што детаљно објашњење отежава читање чланка.
У овом чланку ћемо покушати да спојимо најбоље из оба света тако што ћемо обезбедити басх скрипту за аутоматску инсталацију ВордПресс-а на Убунту, и прошетаћемо кроз њега, објашњавајући шта сваки део ради и компромисе које смо направили у дизајнирању то. Ако сте искусан корисник, можете прескочити текст чланка и само узми сценарио за модификацију и употребу у вашим окружењима. Резултат скрипте је прилагођена ВордПресс инсталација са подршком Летс Енцрипт, која ради на НГИНКС јединици и погодна је за индустријску употребу.
Развијена архитектура за примену ВордПресс-а помоћу НГИНКС јединице је описана у старији чланак, сада ћемо такође додатно конфигурисати ствари које тамо нису биле покривене (као у многим другим туторијалима):
ВордПресс ЦЛИ
Хајде да шифрујемо и ТЛСССЛ сертификате
Аутоматско обнављање сертификата
НГИНКС кеширање
НГИНКС компресија
ХТТПС и ХТТП/2 подршка
Аутоматизација процеса
У чланку ће бити описана инсталација на једном серверу, који ће истовремено угостити сервер за статичку обраду, ПХП сервер за обраду и базу података. Инсталација са подршком за више виртуелних хостова и услуга је потенцијална тема за будућност. Ако желите да пишемо о нечему чега нема у овим чланцима, пишите у коментарима.
Захтеви
Контејнер сервера (ЛКСЦ или ЛКСД), виртуелна машина или обичан хардверски сервер, са најмање 512 МБ РАМ-а и инсталираним Убунту 18.04 или новијим.
Интернет приступни портови 80 и 443
Име домена повезано са јавном ИП адресом овог сервера
Приступ са роот правима (судо).
Преглед архитектуре
Архитектура је иста као што је описано раније, трослојна веб апликација. Састоји се од ПХП скрипти које се извршавају на ПХП машини и статичких датотека које обрађује веб сервер.
Општи принципи
Многе конфигурационе команде у скрипту су умотане у услове за идемпотенцију: скрипта се може покренути више пута без ризика од промене подешавања која су већ спремна.
Скрипта покушава да инсталира софтвер из складишта, тако да можете применити ажурирања система у једној команди (apt upgrade за Убунту).
Тимови покушавају да открију да раде у контејнеру како би могли да промене своја подешавања у складу са тим.
Да би подесио број процеса нити који ће се покренути у подешавањима, скрипта покушава да погоди аутоматска подешавања за рад у контејнерима, виртуелним машинама и хардверским серверима.
Када описујемо подешавања, увек прво мислимо на аутоматизацију, за коју се надамо да ће постати основа за креирање сопствене инфраструктуре као кода.
Све команде се покрећу од корисника корен, јер мењају основне системске поставке, али сам ВордПресс ради као обичан корисник.
Подешавање променљивих окружења
Поставите следеће променљиве окружења пре покретања скрипте:
WORDPRESS_DB_PASSWORD — Лозинка базе података ВордПресс
WORDPRESS_ADMIN_USER - ВордПресс администраторско корисничко име
WORDPRESS_URL – пуна УРЛ адреса ВордПресс сајта, почевши од https://.
LETS_ENCRYPT_STAGING — подразумевано празно, али постављањем вредности на 1, користићете Лет'с Енцрипт сервере за постављање, који су неопходни да бисте често захтевали сертификате приликом тестирања ваших подешавања, иначе Лет'с Енцрипт може привремено да блокира вашу ИП адресу због великог броја захтева.
Скрипта проверава да ли су ове променљиве повезане са ВордПресс-ом постављене и излази ако нису.
Редови скрипте 572-576 проверавају вредност LETS_ENCRYPT_STAGING.
Постављање изведених променљивих окружења
Скрипта на редовима 55-61 поставља следеће променљиве окружења, било на неку чврсто кодирану вредност или користећи вредност изведену из променљивих постављених у претходном одељку:
DEBIAN_FRONTEND="noninteractive" — говори апликацијама да се покрећу у скрипти и да не постоји могућност интеракције корисника.
WORDPRESS_CLI_VERSION="2.4.0" — ВордПресс ЦЛИ верзија апликације.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — контролни збир извршне датотеке ВордПресс ЦЛИ 2.4.0 (верзија је назначена у променљивој WORDPRESS_CLI_VERSION). Скрипта на линији 162 користи ову вредност да би проверила да ли је преузета исправна ВордПресс ЦЛИ датотека.
UPLOAD_MAX_FILESIZE="16M" — максимална величина датотеке која се може учитати у ВордПресс. Ова поставка се користи на више места, па је лакше поставити на једно место.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — име системског хоста, издвојено из променљиве ВОРДПРЕСС_УРЛ. Користи се за добијање одговарајућих ТЛС/ССЛ сертификата од Лет'с Енцрипт, као и за интерну верификацију ВордПресс-а.
NGINX_CONF_DIR="/etc/nginx" — путања до директоријума са НГИНКС подешавањима, укључујући главну датотеку nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — путања до Лет'с Енцрипт сертификата за ВордПресс сајт, добијена од променљиве TLS_HOSTNAME.
Додељивање имена хоста ВордПресс серверу
Скрипта поставља име хоста сервера тако да вредност одговара имену домена сајта. Ово није неопходно, али је згодније слати одлазну пошту преко СМТП-а приликом подешавања једног сервера, како је конфигурисано у скрипти.
код скрипте
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Додавање имена хоста у /етц/хостс
Додатак ВП‑Црон који се користи за покретање периодичних задатака, захтева да ВордПресс може себи да приступи преко ХТТП-а. Да би се уверио да ВП-Црон ради исправно у свим окружењима, скрипта додаје линију у датотеку / Етц / хостстако да ВордПресс може себи да приступи преко интерфејса повратне петље:
код скрипте
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Инсталирање алата потребних за наредне кораке
Остатак скрипте захтева неке програме и претпоставља да су спремишта ажурирана. Ажурирамо листу спремишта, а затим инсталирамо неопходне алате:
код скрипте
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Додавање НГИНКС јединице и НГИНКС спремишта
Скрипта инсталира НГИНКС јединицу и НГИНКС отвореног кода из званичних НГИНКС спремишта како би се осигурало да се користе верзије са најновијим безбедносним исправкама и исправкама грешака.
Скрипта додаје спремиште НГИНКС јединица, а затим НГИНКС спремиште, додајући кључ спремишта и датотеке поставки apt, дефинисање приступа репозиторијумима путем Интернета.
Стварна инсталација НГИНКС јединице и НГИНКС-а одвија се у следећем одељку. Унапред додајемо спремишта да бисмо избегли вишеструко ажурирање метаподатака, чинећи инсталацију бржом.
код скрипте
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Инсталирање НГИНКС-а, НГИНКС Унит-а, ПХП МариаДБ-а, Цертбот-а (Хајде да шифрујемо) и њихових зависности
Када се додају сва спремишта, ажурирамо метаподатке и инсталирамо апликације. Пакети које је инсталирала скрипта такође укључују ПХП екстензије које се препоручују када се покреће ВордПресс.орг
код скрипте
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Подешавање ПХП-а за коришћење са НГИНКС јединицом и ВордПресс-ом
Скрипта креира датотеку за подешавања у директоријуму цонф.д. Ово поставља максималну величину датотеке за отпремање за ПХП, омогућава да се ПХП грешке излазе у СТДЕРР тако да ће бити евидентиране у НГИНКС јединици и поново покреће НГИНКС јединицу.
код скрипте
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Подешавање поставки МариаДБ базе података за ВордПресс
Изабрали смо МариаДБ уместо МиСКЛ-а јер има више активности у заједници, а такође може подразумева боље перформансе (Овде је вероватно све једноставније: да бисте инсталирали МиСКЛ, потребно је да додате још једно спремиште, прибл. преводилац).
Скрипта креира нову базу података и креира акредитиве за приступ ВордПрессу преко интерфејса повратне петље:
код скрипте
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Инсталирање ВордПресс ЦЛИ програма
У овом кораку скрипта инсталира програм ВП-ЦЛИ. Помоћу њега можете инсталирати и управљати поставкама ВордПресс-а без потребе да ручно уређујете датотеке, ажурирате базу података или се пријавите на контролну таблу. Такође се може користити за инсталирање тема и додатака и ажурирање ВордПресс-а.
код скрипте
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Инсталирање и конфигурисање ВордПресс-а
Скрипта инсталира најновију верзију ВордПресс-а у директоријум /var/www/wordpress, а такође мења подешавања:
Веза базе података ради преко уник доменске утичнице уместо ТЦП-а на повратној петљи да би се смањио ТЦП саобраћај.
ВордПресс додаје префикс https:// на УРЛ ако се клијенти повежу са НГИНКС-ом преко ХТТПС-а, а такође шаље удаљено име хоста (као што га обезбеђује НГИНКС) ПХП-у. Користимо део кода да бисмо ово поставили.
ВордПресс-у је потребан ХТТПС за пријаву
Структура УРЛ-а је тихо заснована на ресурсима
Исправне дозволе система датотека су постављене за ВордПресс директоријум.
код скрипте
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Подешавање НГИНКС јединице
Скрипта конфигурише НГИНКС јединицу за покретање ПХП-а и руковање ВордПресс путањама, изолујући простор имена ПХП процеса и оптимизујући поставке перформанси. Постоје три карактеристике на које вреди обратити пажњу:
Подршка за именски простор је одређена условом, на основу провере да ли је скрипта покренута у контејнеру. Ово је неопходно јер већина подешавања контејнера не подржава угнежђено покретање контејнера.
Ако постоји подршка за именске просторе, именски простор је онемогућен мрежа. Ово је неопходно да би се омогућило Вордпресу да се истовремено повеже са крајњим тачкама и да буде доступан на Интернету.
Максималан број процеса се одређује на следећи начин: (Доступна меморија за покретање МариаДБ и НГИНКС Унии)/(ограничење РАМ-а у ПХП + 5)
Ова вредност је подешена у подешавањима НГИНКС јединице.
Ова вредност такође подразумева да увек постоје најмање два ПХП процеса која су покренута, што је важно јер ВордПресс прави много асинхроних захтева према себи, а без додатних покретања процеса, на пример, ВП-Црон ће се покварити. Можда ћете желети да повећате или смањите ова ограничења на основу ваших локалних подешавања, јер су подешавања креирана овде конзервативна. На већини производних система подешавања су између 10 и 100.
код скрипте
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Подешавање НГИНКС-а
Конфигурисање основних НГИНКС подешавања
Скрипта креира директоријум за НГИНКС кеш, а затим креира главну конфигурациону датотеку nginx.conf. Обратите пажњу на број процеса руковаоца и поставку максималне величине датотеке за преузимање. Такође постоји линија на којој се повезује датотека са подешавањима компресије, дефинисана у следећем одељку, а затим следе подешавања за кеширање.
Компресовање садржаја у ходу пре него што га пошаљете клијентима је одличан начин за побољшање перформанси сајта, али само ако је компресија правилно конфигурисана. Овај одељак скрипте је заснован на подешавањима стога.
код скрипте
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Подешавање НГИНКС-а за ВордПресс
Затим, скрипта креира конфигурациону датотеку за ВордПресс дефаулт.цонф у каталогу цонф.д. Овде је конфигурисан:
Активирање ТЛС сертификата примљених од Лет'с Енцрипт преко Цертбота (конфигурисање ће бити у следећем одељку)
Конфигуришите ТЛС безбедносна подешавања на основу препорука из Лет'с Енцрипт
Подразумевано омогућите кеширање прескочених захтева на 1 сат
Онемогућите евиденцију приступа, као и евиденцију грешака ако датотека није пронађена, за две уобичајене тражене датотеке: фавицон.ицо и роботс.ткт
Забраните приступ скривеним датотекама и неким датотекама .пхпради спречавања илегалног приступа или ненамерног лансирања
Онемогућите евиденцију приступа за статичке датотеке и датотеке фонтова
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Конфигурисање Цертбота за Лет'с Енцрипт сертификате и њихово аутоматско обнављање
Цертбот је бесплатна алатка Елецтрониц Фронтиер Фоундатион (ЕФФ) која вам омогућава да добијете и аутоматски обновите ТЛС сертификате од Лет'с Енцрипт. Скрипта обавља следеће кораке да би конфигурисала Цертбот да обрађује сертификате из Лет'с Енцрипт у НГИНКС-у:
Зауставља НГИНКС
Преузима препоручена ТЛС подешавања
Покреће Цертбот за добијање сертификата за сајт
Поново покреће НГИНКС да би користио сертификате
Конфигурише Цертбот да се покреће свакодневно у 3:24 да би проверио да ли постоје обнове сертификата и, ако је потребно, преузео нове сертификате и поново покренуо НГИНКС.
код скрипте
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Додатно прилагођавање вашег сајта
Горе смо говорили о томе како наша скрипта конфигурише НГИНКС и НГИНКС јединицу да служи веб локацију спремну за производњу са омогућеним ТЛСССЛ-ом. Такође, у зависности од ваших потреба, можете додати у будућности:
Подршка Бротли, побољшана компресија у ходу преко ХТТПС-а
Постфик или мсмтп тако да ВордПресс може да шаље пошту
Провера вашег сајта да бисте разумели колико саобраћаја може да поднесе
За још боље перформансе сајта, препоручујемо надоградњу на НГИНКС Плус, наш комерцијални производ за предузећа заснован на НГИНКС-у отвореног кода. Његови претплатници ће добити динамички учитани Бротли модул, као и (уз додатну накнаду) НГИНКС МодСецурити ВАФ. Такође нудимо НГИНКС Апп Протецт, ВАФ модул за НГИНКС Плус заснован на водећој безбедносној технологији од Ф5.
НБ За подршку за веб локацију са великим оптерећењем, можете контактирати стручњаке Соутхбридге. Обезбедићемо брз и поуздан рад Ваше веб странице или услуге под било којим оптерећењем.