ProHoster > Blog > yönetim > NGINX Unit ve Ubuntu ile WordPress kurulumunu otomatikleştirme
NGINX Unit ve Ubuntu ile WordPress kurulumunu otomatikleştirme
WordPress'in kurulumuyla ilgili pek çok materyal var; Google'da "WordPress kurulumu" araması yaklaşık yarım milyon sonuç getirecektir. Bununla birlikte, WordPress'i ve temel işletim sistemini uzun süre desteklenebilecek şekilde kurmanıza ve yapılandırmanıza yardımcı olabilecek aslında çok az sayıda yararlı kılavuz vardır. Belki doğru ayarlar büyük ölçüde sizin özel ihtiyaçlarınıza bağlıdır veya bunun nedeni ayrıntılı açıklamanın makalenin okunmasını zorlaştırması olabilir.
Bu makalede, WordPress'i Ubuntu'ya otomatik olarak yüklemek için bir bash betiği sağlayarak her iki dünyanın en iyilerini bir araya getirmeye çalışacağız ve her bir parçanın ne yaptığını ve tasarım sırasında yaptığımız değiş-tokuşları açıklayarak bunun üzerinden geçeceğiz. BT. Deneyimli bir kullanıcıysanız makale metnini atlayıp sadece senaryoyu al Ortamlarınızda değişiklik yapmak ve kullanmak için. Betiğin çıktısı, Lets Encrypt desteğine sahip, NGINX Unit üzerinde çalışan ve endüstriyel kullanıma uygun özel bir WordPress kurulumudur.
NGINX Birimi kullanarak WordPress'i dağıtmak için geliştirilen mimari şu şekilde açıklanmaktadır: eski makale, şimdi burada ele alınmayan şeyleri de daha ayrıntılı olarak yapılandıracağız (diğer birçok eğitimde olduğu gibi):
WordPress CLI'si
Let's Encrypt ve TLSSSL sertifikaları
Otomatik sertifika yenileme
NGINX Önbelleğe Alma
NGINX sıkıştırması
HTTPS ve HTTP/2 desteği
Proses otomasyonu
Makale, aynı anda bir statik işlem sunucusunu, bir PHP işlem sunucusunu ve bir veritabanını barındıracak olan bir sunucuya kurulumu açıklayacaktır. Birden fazla sanal ana bilgisayar ve hizmeti destekleyen kurulum, gelecek için potansiyel bir konudur. Bu yazılarda olmayan bir konuda yazmamızı istiyorsanız yorumlara yazın.
Gereksinimler
Sunucu kapsayıcısı (LXC veya LXD), en az 512 MB RAM'e sahip ve Ubuntu 18.04 veya daha yenisinin yüklü olduğu bir sanal makine veya normal bir donanım sunucusu.
İnternet üzerinden erişilebilen bağlantı noktaları 80 ve 443
Bu sunucunun genel IP adresiyle ilişkili alan adı
Kök haklarıyla erişim (sudo).
Mimariye genel bakış
Mimari anlatıldığı gibi aynı daha erken, üç katmanlı bir web uygulaması. PHP motorunda yürütülen PHP betiklerinden ve web sunucusu tarafından işlenen statik dosyalardan oluşur.
Genel ilkeler
Bir komut dosyasındaki çoğu yapılandırma komutu, eş güçsüzlük için if koşullarıyla sarılır: komut dosyası, halihazırda hazır olan ayarları değiştirme riski olmadan birden çok kez çalıştırılabilir.
Betik, depolardan yazılım yüklemeye çalışır, böylece sistem güncellemelerini tek komutla uygulayabilirsiniz (apt upgrade Ubuntu için).
Ekipler, ayarlarını buna göre değiştirebilmek için bir kapsayıcıda çalıştıklarını tespit etmeye çalışır.
Ayarlarda başlatılacak iş parçacığı işlemlerinin sayısını belirlemek için komut dosyası, kaplarda, sanal makinelerde ve donanım sunucularında çalışmaya ilişkin otomatik ayarları tahmin etmeye çalışır.
Ayarları anlatırken her zaman ilk olarak otomasyonu düşünürüz, bunun kod olarak kendi altyapınızı oluşturmanıza temel oluşturmasını umuyoruz.
Tüm komutlar kullanıcı tarafından çalıştırılır kökçünkü temel sistem ayarlarını değiştiriyorlar, ancak WordPress'in kendisi normal bir kullanıcı gibi çalışıyor.
Ortam değişkenlerini ayarlama
Komut dosyasını çalıştırmadan önce aşağıdaki ortam değişkenlerini ayarlayın:
WORDPRESS_URL – ile başlayan WordPress sitesinin tam URL’si https://.
LETS_ENCRYPT_STAGING — varsayılan olarak boştur, ancak değeri 1 olarak ayarladığınızda, ayarlarınızı test ederken sık sık sertifika istemek için gerekli olan Let's Encrypt'in hazırlama sunucularını kullanırsınız; aksi takdirde Let's Encrypt, çok sayıda istek nedeniyle IP adresinizi geçici olarak engelleyebilir.
Betik, WordPress ile ilgili bu değişkenlerin ayarlanıp ayarlanmadığını kontrol eder ve ayarlanmamışsa çıkar.
Komut dosyası satırları 572-576 değeri kontrol eder LETS_ENCRYPT_STAGING.
Türetilmiş ortam değişkenlerini ayarlama
55-61. satırlardaki komut dosyası, aşağıdaki ortam değişkenlerini ya sabit kodlanmış bir değere ya da önceki bölümde ayarlanan değişkenlerden türetilen bir değeri kullanarak ayarlar:
DEBIAN_FRONTEND="noninteractive" — uygulamalara bir komut dosyasında çalıştıklarını ve kullanıcı etkileşimi olasılığının olmadığını söyler.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" — WordPress CLI 2.4.0 çalıştırılabilir dosyasının sağlama toplamı (sürüm değişkende belirtilir) WORDPRESS_CLI_VERSION). 162. satırdaki komut dosyası, doğru WordPress CLI dosyasının indirildiğini doğrulamak için bu değeri kullanır.
UPLOAD_MAX_FILESIZE="16M" — WordPress'e yüklenebilecek maksimum dosya boyutu. Bu ayar birçok yerde kullanıldığından tek bir yerde ayarlamak daha kolaydır.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" — WORDPRESS_URL değişkeninden çıkarılan sistem ana bilgisayar adı. Let's Encrypt'ten uygun TLS/SSL sertifikalarını almak ve dahili WordPress doğrulaması için kullanılır.
NGINX_CONF_DIR="/etc/nginx" — ana dosya da dahil olmak üzere NGINX ayarlarının bulunduğu dizinin yolu nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" — değişkenden elde edilen, WordPress sitesi için Let's Encrypt sertifikalarının yolu TLS_HOSTNAME.
Ana bilgisayar adını WordPress sunucusuna atama
Komut dosyası, sunucunun ana bilgisayar adını, değer sitenin alan adıyla eşleşecek şekilde ayarlar. Bu gerekli değildir ancak komut dosyası tarafından yapılandırıldığı şekilde tek bir sunucu kurarken giden postayı SMTP yoluyla göndermek daha uygundur.
komut dosyası kodu
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Ana bilgisayar adını /etc/hosts dosyasına ekleme
Ek WP‑Cron Periyodik görevleri çalıştırmak için kullanılır, WordPress'in kendisine HTTP aracılığıyla erişebilmesini gerektirir. WP-Cron'un tüm ortamlarda doğru çalıştığından emin olmak için komut dosyası dosyaya bir satır ekler / Etc / hostsWordPress'in geridöngü arayüzü aracılığıyla kendisine erişebilmesi için:
komut dosyası kodu
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Sonraki adımlar için gerekli araçların kurulması
Komut dosyasının geri kalanı bazı programlar gerektirir ve depoların güncel olduğunu varsayar. Depoların listesini güncelliyoruz ve ardından gerekli araçları yüklüyoruz:
komut dosyası kodu
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
NGINX Birimi ve NGINX depolarını ekleme
Komut dosyası, en son güvenlik güncellemelerine ve hata düzeltmelerine sahip sürümlerin kullanıldığından emin olmak için NGINX Birimi'ni ve resmi NGINX depolarından açık kaynaklı NGINX'i yükler.
Komut dosyası, NGINX Unit deposunu ve ardından NGINX deposunu ekleyerek depo anahtarını ve ayar dosyalarını ekler. apt, İnternet üzerinden veri havuzlarına erişimi tanımlar.
NGINX Ünitesi ve NGINX'in gerçek kurulumu bir sonraki bölümde gerçekleşecektir. Meta verilerin birden çok kez güncellenmesini önlemek ve kurulumu daha hızlı hale getirmek için depoları önceden ekliyoruz.
komut dosyası kodu
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) ve bağımlılıklarının kurulumu
Tüm depolar eklendikten sonra meta verileri güncelliyoruz ve uygulamaları yüklüyoruz. Komut dosyası tarafından yüklenen paketler ayrıca WordPress.org çalıştırılırken önerilen PHP uzantılarını da içerir.
komut dosyası kodu
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
PHP'yi NGINX Unit ve WordPress ile kullanmak üzere ayarlama
Betik dizinde bir ayarlar dosyası oluşturur conf.d. Bu, PHP için maksimum dosya yükleme boyutunu ayarlar, PHP hatalarının STDERR'ye gönderilmesini sağlar, böylece bunlar NGINX Birimi'ne kaydedilir ve NGINX Birimi yeniden başlatılır.
komut dosyası kodu
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
WordPress için MariaDB Veritabanı Ayarlarını Ayarlama
MySQL yerine MariaDB'yi seçtik çünkü daha fazla topluluk etkinliğine sahip ve aynı zamanda varsayılan olarak daha iyi performans sağlar (Muhtemelen burada her şey daha basit: MySQL'i kurmak için başka bir depo eklemeniz gerekiyor, yaklaşık. çevirmen).
Betik yeni bir veritabanı oluşturur ve geridöngü arayüzü aracılığıyla WordPress erişim kimlik bilgilerini oluşturur:
komut dosyası kodu
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
WordPress CLI programını yükleme
Bu adımda script programı yükler WP-CLI. Bununla birlikte, dosyaları manuel olarak düzenlemenize, veritabanını güncellemenize veya kontrol panelinde oturum açmanıza gerek kalmadan WordPress ayarlarını yükleyebilir ve yönetebilirsiniz. Ayrıca temaları ve eklentileri yüklemek ve WordPress'i güncellemek için de kullanılabilir.
komut dosyası kodu
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
WordPress'i Kurmak ve Yapılandırmak
Betik, WordPress'in en son sürümünü dizine yükler /var/www/wordpressve ayrıca ayarları değiştirir:
Veritabanı bağlantısı, TCP trafiğini azaltmak için geri döngüde TCP yerine unix etki alanı soketi üzerinden çalışır.
WordPress bir önek ekler https:// istemciler HTTPS üzerinden NGINX'e bağlanırsa URL'ye gider ve ayrıca uzak ana bilgisayar adını (NGINX tarafından sağlandığı şekilde) PHP'ye gönderir. Bunu ayarlamak için bir kod parçası kullanıyoruz.
WordPress'in oturum açmak için HTTPS'ye ihtiyacı var
URL yapısı sessizce kaynak tabanlıdır
WordPress dizini için doğru dosya sistemi izinleri ayarlandı.
komut dosyası kodu
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
NGINX Ünitesini Kurma
Betik, NGINX Unit'i PHP'yi çalıştıracak ve WordPress yollarını yönetecek şekilde yapılandırarak PHP işlemlerinin ad alanını izole eder ve performans ayarlarını optimize eder. Dikkat etmeye değer üç özellik vardır:
Ad alanı desteği, betiğin kapsayıcıda çalışıp çalışmadığının kontrol edilmesine dayalı olarak koşula göre belirlenir. Çoğu konteyner kurulumu konteynerlerin iç içe çalışmasını desteklemediğinden bu gereklidir.
Ad alanları desteği varsa ad alanı devre dışı bırakılır ağ. Bu, WordPress'in aynı anda uç noktalara bağlanmasına ve İnternet üzerinden erişilebilir olmasına izin vermek için gereklidir.
Maksimum işlem sayısı aşağıdaki şekilde belirlenir: (MariaDB ve NGINX Uniy'i çalıştırmak için kullanılabilir bellek)/(PHP + 5'te RAM sınırı)
Bu değer NGINX Birimi ayarlarında ayarlanır.
Bu değer aynı zamanda her zaman en az iki PHP işleminin çalıştığını gösterir; bu önemlidir, çünkü WordPress kendisine çok sayıda eşzamansız istekte bulunur ve ek işlemler çalıştırılmazsa, örneğin WP-Cron bozulur. Burada oluşturulan ayarlar muhafazakar olduğundan, yerel ayarlarınıza göre bu sınırları artırmak veya azaltmak isteyebilirsiniz. Çoğu üretim sisteminde ayarlar 10 ile 100 arasındadır.
komut dosyası kodu
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
NGINX'i kurma
Temel NGINX Ayarlarını Yapılandırma
Betik, NGINX önbelleği için bir dizin oluşturur ve ardından ana yapılandırma dosyasını oluşturur. nginx.conf. İşleyici işlemlerinin sayısına ve indirme için maksimum dosya boyutu ayarına dikkat edin. Ayrıca bir sonraki bölümde tanımlanan sıkıştırma ayarları dosyasının bağlandığı ve ardından ayarların önbelleğe alındığı bir satır bulunmaktadır.
İçeriği istemcilere göndermeden önce anında sıkıştırmak, site performansını artırmanın harika bir yoludur, ancak yalnızca sıkıştırmanın doğru yapılandırılması durumunda. Komut dosyasının bu bölümü ayarlara dayanmaktadır bundan dolayı.
komut dosyası kodu
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
WordPress için NGINX'i ayarlama
Daha sonra komut dosyası WordPress için bir yapılandırma dosyası oluşturur varsayılan.conf katalogda conf.d. Burada yapılandırılmıştır:
Let's Encrypt'ten alınan TLS sertifikalarının Certbot aracılığıyla etkinleştirilmesi (yapılandırması bir sonraki bölümde olacaktır)
TLS güvenlik ayarlarını Let's Encrypt'in önerilerine göre yapılandırın
Atlanan istekleri önbelleğe almayı varsayılan olarak 1 saat boyunca etkinleştir
İki ortak istenen dosya için erişim günlüğünü ve dosya bulunamazsa hata günlüğünü devre dışı bırakın: favicon.ico ve robots.txt
Gizli dosyalara ve bazı dosyalara erişimi reddet . Phpyasadışı erişimi veya kasıtsız başlatmayı önlemek için
Statik dosyalar ve yazı tipi dosyaları için erişim günlüğünü devre dışı bırakın
index.php ve diğer statikler için yönlendirme ekleme.
komut dosyası kodu
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Let's Encrypt sertifikaları için Certbot'u yapılandırma ve bunları otomatik olarak yenileme
Certbot Let's Encrypt'ten TLS sertifikaları almanızı ve otomatik olarak yenilemenizi sağlayan Electronic Frontier Foundation'ın (EFF) ücretsiz bir aracıdır. Betik, Certbot'u NGINX'te Let's Encrypt'ten gelen sertifikaları işleyecek şekilde yapılandırmak için aşağıdaki adımları gerçekleştirir:
NGINX'i durdurur
Önerilen TLS ayarlarını indirir
Siteye ilişkin sertifikaları almak için Certbot'u çalıştırır
Sertifikaları kullanmak için NGINX'i yeniden başlatır
Sertifika yenilemelerini kontrol etmek ve gerekirse yeni sertifikalar indirip NGINX'i yeniden başlatmak için Certbot'u her gün sabah 3:24'te çalışacak şekilde yapılandırır.
komut dosyası kodu
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Sitenizin ek özelleştirmesi
Yukarıda, komut dosyamızın NGINX ve NGINX Ünitesini, TLSSSL etkinleştirilmiş, üretime hazır bir web sitesi sunacak şekilde nasıl yapılandırdığından bahsettik. İhtiyaçlarınıza bağlı olarak gelecekte şunları da ekleyebilirsiniz:
Destek Brotli, HTTPS üzerinden geliştirilmiş anında sıkıştırma
WordPress'in posta gönderebilmesi için Postfix veya msmtp
Ne kadar trafiği kaldırabileceğini anlamak için sitenizi kontrol etmek
Daha da iyi site performansı için şu sürüme geçmenizi öneririz: NGINX Artı, açık kaynak NGINX'i temel alan kurumsal sınıf ticari ürünümüz. Aboneleri, dinamik olarak yüklenmiş bir Brotli modülünün yanı sıra (ek bir ücret karşılığında) alacaklardır. NGINX Mod Güvenliği WAF. Biz de sunuyoruz NGINX Uygulama KorumasıNGINX Plus için F5'in sektör lideri güvenlik teknolojisine dayalı bir WAF modülü.
NB Çok yüklü bir web sitesi desteği için uzmanlarla iletişime geçebilirsiniz Güney köprüsü. Web sitenizin veya hizmetinizin her türlü yük altında hızlı ve güvenilir çalışmasını sağlayacağız.