WordPress'in kurulumuyla ilgili pek çok materyal var; Google'da "WordPress kurulumu" araması yaklaşık yarım milyon sonuç getirecektir. Bununla birlikte, WordPress'i ve temel işletim sistemini uzun süre desteklenebilecek şekilde kurmanıza ve yapılandırmanıza yardımcı olabilecek aslında çok az sayıda yararlı kılavuz vardır. Belki doğru ayarlar büyük ölçüde sizin özel ihtiyaçlarınıza bağlıdır veya bunun nedeni ayrıntılı açıklamanın makalenin okunmasını zorlaştırması olabilir.
Bu makalede, WordPress'i Ubuntu'ya otomatik olarak yüklemek için bir bash betiği sağlayarak her iki dünyanın en iyilerini bir araya getirmeye çalışacağız ve her bir parçanın ne yaptığını ve tasarım sırasında yaptığımız değiş-tokuşları açıklayarak bunun üzerinden geçeceğiz. BT. Deneyimli bir kullanıcıysanız makale metnini atlayıp sadece Ortamlarınızda değişiklik yapmak ve kullanmak için. Betiğin çıktısı, Lets Encrypt desteğine sahip, NGINX Unit üzerinde çalışan ve endüstriyel kullanıma uygun özel bir WordPress kurulumudur.
NGINX Birimi kullanarak WordPress'i dağıtmak için geliştirilen mimari şu şekilde açıklanmaktadır: , şimdi burada ele alınmayan şeyleri de daha ayrıntılı olarak yapılandıracağız (diğer birçok eğitimde olduğu gibi):
- WordPress CLI'si
- Let's Encrypt ve TLSSSL sertifikaları
- Otomatik sertifika yenileme
- NGINX Önbelleğe Alma
- NGINX sıkıştırması
- HTTPS ve HTTP/2 desteği
- Proses otomasyonu
Makale, aynı anda bir statik işlem sunucusunu, bir PHP işlem sunucusunu ve bir veritabanını barındıracak olan bir sunucuya kurulumu açıklayacaktır. Birden fazla sanal ana bilgisayar ve hizmeti destekleyen kurulum, gelecek için potansiyel bir konudur. Bu yazılarda olmayan bir konuda yazmamızı istiyorsanız yorumlara yazın.
Gereksinimler
- Sunucu kapsayıcısı ( veya ), en az 512 MB RAM'e sahip ve Ubuntu 18.04 veya daha yenisinin yüklü olduğu bir sanal makine veya normal bir donanım sunucusu.
- İnternet üzerinden erişilebilen bağlantı noktaları 80 ve 443
- Bu sunucunun genel IP adresiyle ilişkili alan adı
- Kök haklarıyla erişim (sudo).
Mimariye genel bakış
Mimari anlatıldığı gibi aynı , üç katmanlı bir web uygulaması. PHP motorunda yürütülen PHP betiklerinden ve web sunucusu tarafından işlenen statik dosyalardan oluşur.
Genel ilkeler
- Bir komut dosyasındaki çoğu yapılandırma komutu, eş güçsüzlük için if koşullarıyla sarılır: komut dosyası, halihazırda hazır olan ayarları değiştirme riski olmadan birden çok kez çalıştırılabilir.
- Betik, depolardan yazılım yüklemeye çalışır, böylece sistem güncellemelerini tek komutla uygulayabilirsiniz (
apt upgradeUbuntu için). - Ekipler, ayarlarını buna göre değiştirebilmek için bir kapsayıcıda çalıştıklarını tespit etmeye çalışır.
- Ayarlarda başlatılacak iş parçacığı işlemlerinin sayısını belirlemek için komut dosyası, kaplarda, sanal makinelerde ve donanım sunucularında çalışmaya ilişkin otomatik ayarları tahmin etmeye çalışır.
- Ayarları anlatırken her zaman ilk olarak otomasyonu düşünürüz, bunun kod olarak kendi altyapınızı oluşturmanıza temel oluşturmasını umuyoruz.
- Tüm komutlar kullanıcı tarafından çalıştırılır kökçünkü temel sistem ayarlarını değiştiriyorlar, ancak WordPress'in kendisi normal bir kullanıcı gibi çalışıyor.
Ortam değişkenlerini ayarlama
Komut dosyasını çalıştırmadan önce aşağıdaki ortam değişkenlerini ayarlayın:
WORDPRESS_DB_PASSWORD— WordPress veritabanı şifresiWORDPRESS_ADMIN_USER- WordPress yönetici kullanıcı adıWORDPRESS_ADMIN_PASSWORD- WordPress yönetici şifresiWORDPRESS_ADMIN_EMAIL— WordPress yönetici e-postasıWORDPRESS_URL– ile başlayan WordPress sitesinin tam URL’sihttps://.LETS_ENCRYPT_STAGING— varsayılan olarak boştur, ancak değeri 1 olarak ayarladığınızda, ayarlarınızı test ederken sık sık sertifika istemek için gerekli olan Let's Encrypt'in hazırlama sunucularını kullanırsınız; aksi takdirde Let's Encrypt, çok sayıda istek nedeniyle IP adresinizi geçici olarak engelleyebilir.
Betik, WordPress ile ilgili bu değişkenlerin ayarlanıp ayarlanmadığını kontrol eder ve ayarlanmamışsa çıkar.
Komut dosyası satırları 572-576 değeri kontrol eder LETS_ENCRYPT_STAGING.
Türetilmiş ortam değişkenlerini ayarlama
55-61. satırlardaki komut dosyası, aşağıdaki ortam değişkenlerini ya sabit kodlanmış bir değere ya da önceki bölümde ayarlanan değişkenlerden türetilen bir değeri kullanarak ayarlar:
DEBIAN_FRONTEND="noninteractive"— uygulamalara bir komut dosyasında çalıştıklarını ve kullanıcı etkileşimi olasılığının olmadığını söyler.WORDPRESS_CLI_VERSION="2.4.0"— Uygulamanın WordPress CLI sürümü.WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c"— WordPress CLI 2.4.0 çalıştırılabilir dosyasının sağlama toplamı (sürüm değişkende belirtilir)WORDPRESS_CLI_VERSION). 162. satırdaki komut dosyası, doğru WordPress CLI dosyasının indirildiğini doğrulamak için bu değeri kullanır.UPLOAD_MAX_FILESIZE="16M"— WordPress'e yüklenebilecek maksimum dosya boyutu. Bu ayar birçok yerde kullanıldığından tek bir yerde ayarlamak daha kolaydır.TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)"— WORDPRESS_URL değişkeninden çıkarılan sistem ana bilgisayar adı. Let's Encrypt'ten uygun TLS/SSL sertifikalarını almak ve dahili WordPress doğrulaması için kullanılır.NGINX_CONF_DIR="/etc/nginx"— ana dosya da dahil olmak üzere NGINX ayarlarının bulunduğu dizinin yolunginx.conf.CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}"— değişkenden elde edilen, WordPress sitesi için Let's Encrypt sertifikalarının yoluTLS_HOSTNAME.
Ana bilgisayar adını WordPress sunucusuna atama
Komut dosyası, sunucunun ana bilgisayar adını, değer sitenin alan adıyla eşleşecek şekilde ayarlar. Bu gerekli değildir ancak komut dosyası tarafından yapılandırıldığı şekilde tek bir sunucu kurarken giden postayı SMTP yoluyla göndermek daha uygundur.
komut dosyası kodu
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fiAna bilgisayar adını /etc/hosts dosyasına ekleme
Ek Periyodik görevleri çalıştırmak için kullanılır, WordPress'in kendisine HTTP aracılığıyla erişebilmesini gerektirir. WP-Cron'un tüm ortamlarda doğru çalıştığından emin olmak için komut dosyası dosyaya bir satır ekler / Etc / hostsWordPress'in geridöngü arayüzü aracılığıyla kendisine erişebilmesi için:
komut dosyası kodu
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fiSonraki adımlar için gerekli araçların kurulması
Komut dosyasının geri kalanı bazı programlar gerektirir ve depoların güncel olduğunu varsayar. Depoların listesini güncelliyoruz ve ardından gerekli araçları yüklüyoruz:
komut dosyası kodu
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-releaseNGINX Birimi ve NGINX depolarını ekleme
Komut dosyası, en son güvenlik güncellemelerine ve hata düzeltmelerine sahip sürümlerin kullanıldığından emin olmak için NGINX Birimi'ni ve resmi NGINX depolarından açık kaynaklı NGINX'i yükler.
Komut dosyası, NGINX Unit deposunu ve ardından NGINX deposunu ekleyerek depo anahtarını ve ayar dosyalarını ekler. apt, İnternet üzerinden veri havuzlarına erişimi tanımlar.
NGINX Ünitesi ve NGINX'in gerçek kurulumu bir sonraki bölümde gerçekleşecektir. Meta verilerin birden çok kez güncellenmesini önlemek ve kurulumu daha hızlı hale getirmek için depoları önceden ekliyoruz.
komut dosyası kodu
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fiNGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) ve bağımlılıklarının kurulumu
Tüm depolar eklendikten sonra meta verileri güncelliyoruz ve uygulamaları yüklüyoruz. Komut dosyası tarafından yüklenen paketler ayrıca WordPress.org çalıştırılırken önerilen PHP uzantılarını da içerir.
komut dosyası kodu
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-serverPHP'yi NGINX Unit ve WordPress ile kullanmak üzere ayarlama
Betik dizinde bir ayarlar dosyası oluşturur conf.d. Bu, PHP için maksimum dosya yükleme boyutunu ayarlar, PHP hatalarının STDERR'ye gönderilmesini sağlar, böylece bunlar NGINX Birimi'ne kaydedilir ve NGINX Birimi yeniden başlatılır.
komut dosyası kodu
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restartWordPress için MariaDB Veritabanı Ayarlarını Ayarlama
MySQL yerine MariaDB'yi seçtik çünkü daha fazla topluluk etkinliğine sahip ve aynı zamanda (Muhtemelen burada her şey daha basit: MySQL'i kurmak için başka bir depo eklemeniz gerekiyor, yaklaşık. çevirmen).
Betik yeni bir veritabanı oluşturur ve geridöngü arayüzü aracılığıyla WordPress erişim kimlik bilgilerini oluşturur:
komut dosyası kodu
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"WordPress CLI programını yükleme
Bu adımda script programı yükler . Bununla birlikte, dosyaları manuel olarak düzenlemenize, veritabanını güncellemenize veya kontrol panelinde oturum açmanıza gerek kalmadan WordPress ayarlarını yükleyebilir ve yönetebilirsiniz. Ayrıca temaları ve eklentileri yüklemek ve WordPress'i güncellemek için de kullanılabilir.
komut dosyası kodu
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fiWordPress'i Kurmak ve Yapılandırmak
Betik, WordPress'in en son sürümünü dizine yükler /var/www/wordpressve ayrıca ayarları değiştirir:
- Veritabanı bağlantısı, TCP trafiğini azaltmak için geri döngüde TCP yerine unix etki alanı soketi üzerinden çalışır.
- WordPress bir önek ekler https:// istemciler HTTPS üzerinden NGINX'e bağlanırsa URL'ye gider ve ayrıca uzak ana bilgisayar adını (NGINX tarafından sağlandığı şekilde) PHP'ye gönderir. Bunu ayarlamak için bir kod parçası kullanıyoruz.
- WordPress'in oturum açmak için HTTPS'ye ihtiyacı var
- URL yapısı sessizce kaynak tabanlıdır
- WordPress dizini için doğru dosya sistemi izinleri ayarlandı.
komut dosyası kodu
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fiNGINX Ünitesini Kurma
Betik, NGINX Unit'i PHP'yi çalıştıracak ve WordPress yollarını yönetecek şekilde yapılandırarak PHP işlemlerinin ad alanını izole eder ve performans ayarlarını optimize eder. Dikkat etmeye değer üç özellik vardır:
- Ad alanı desteği, betiğin kapsayıcıda çalışıp çalışmadığının kontrol edilmesine dayalı olarak koşula göre belirlenir. Çoğu konteyner kurulumu konteynerlerin iç içe çalışmasını desteklemediğinden bu gereklidir.
- Ad alanları desteği varsa ad alanı devre dışı bırakılır ağ. Bu, WordPress'in aynı anda uç noktalara bağlanmasına ve İnternet üzerinden erişilebilir olmasına izin vermek için gereklidir.
- Maksimum işlem sayısı aşağıdaki şekilde belirlenir: (MariaDB ve NGINX Uniy'i çalıştırmak için kullanılabilir bellek)/(PHP + 5'te RAM sınırı)
Bu değer NGINX Birimi ayarlarında ayarlanır.
Bu değer aynı zamanda her zaman en az iki PHP işleminin çalıştığını gösterir; bu önemlidir, çünkü WordPress kendisine çok sayıda eşzamansız istekte bulunur ve ek işlemler çalıştırılmazsa, örneğin WP-Cron bozulur. Burada oluşturulan ayarlar muhafazakar olduğundan, yerel ayarlarınıza göre bu sınırları artırmak veya azaltmak isteyebilirsiniz. Çoğu üretim sisteminde ayarlar 10 ile 100 arasındadır.
komut dosyası kodu
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/configNGINX'i kurma
Temel NGINX Ayarlarını Yapılandırma
Betik, NGINX önbelleği için bir dizin oluşturur ve ardından ana yapılandırma dosyasını oluşturur. nginx.conf. İşleyici işlemlerinin sayısına ve indirme için maksimum dosya boyutu ayarına dikkat edin. Ayrıca bir sonraki bölümde tanımlanan sıkıştırma ayarları dosyasının bağlandığı ve ardından ayarların önbelleğe alındığı bir satır bulunmaktadır.
komut dosyası kodu
# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy
echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
http {
include ${NGINX_CONF_DIR}/mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '
'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
client_max_body_size ${UPLOAD_MAX_FILESIZE};
keepalive_timeout 65;
# gzip settings
include ${NGINX_CONF_DIR}/gzip_compression.conf;
# Cache settings
proxy_cache_path /var/cache/nginx/proxy
levels=1:2
keys_zone=wp_cache:10m
max_size=10g
inactive=60m
use_temp_path=off;
include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOMNGINX sıkıştırmasını ayarlama
İçeriği istemcilere göndermeden önce anında sıkıştırmak, site performansını artırmanın harika bir yoludur, ancak yalnızca sıkıştırmanın doğru yapılandırılması durumunda. Komut dosyasının bu bölümü ayarlara dayanmaktadır .
komut dosyası kodu
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOMWordPress için NGINX'i ayarlama
Daha sonra komut dosyası WordPress için bir yapılandırma dosyası oluşturur varsayılan.conf katalogda conf.d. Burada yapılandırılmıştır:
- Let's Encrypt'ten alınan TLS sertifikalarının Certbot aracılığıyla etkinleştirilmesi (yapılandırması bir sonraki bölümde olacaktır)
- TLS güvenlik ayarlarını Let's Encrypt'in önerilerine göre yapılandırın
- Atlanan istekleri önbelleğe almayı varsayılan olarak 1 saat boyunca etkinleştir
- İki ortak istenen dosya için erişim günlüğünü ve dosya bulunamazsa hata günlüğünü devre dışı bırakın: favicon.ico ve robots.txt
- Gizli dosyalara ve bazı dosyalara erişimi reddet . Phpyasadışı erişimi veya kasıtsız başlatmayı önlemek için
- Statik dosyalar ve yazı tipi dosyaları için erişim günlüğünü devre dışı bırakın
- Başlığın ayarlanması yazı tipi dosyaları için
- index.php ve diğer statikler için yönlendirme ekleme.
komut dosyası kodu
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOMLet's Encrypt sertifikaları için Certbot'u yapılandırma ve bunları otomatik olarak yenileme
Let's Encrypt'ten TLS sertifikaları almanızı ve otomatik olarak yenilemenizi sağlayan Electronic Frontier Foundation'ın (EFF) ücretsiz bir aracıdır. Betik, Certbot'u NGINX'te Let's Encrypt'ten gelen sertifikaları işleyecek şekilde yapılandırmak için aşağıdaki adımları gerçekleştirir:
- NGINX'i durdurur
- Önerilen TLS ayarlarını indirir
- Siteye ilişkin sertifikaları almak için Certbot'u çalıştırır
- Sertifikaları kullanmak için NGINX'i yeniden başlatır
- Sertifika yenilemelerini kontrol etmek ve gerekirse yeni sertifikalar indirip NGINX'i yeniden başlatmak için Certbot'u her gün sabah 3:24'te çalışacak şekilde yapılandırır.
komut dosyası kodu
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fiSitenizin ek özelleştirmesi
Yukarıda, komut dosyamızın NGINX ve NGINX Ünitesini, TLSSSL etkinleştirilmiş, üretime hazır bir web sitesi sunacak şekilde nasıl yapılandırdığından bahsettik. İhtiyaçlarınıza bağlı olarak gelecekte şunları da ekleyebilirsiniz:
- Destek , HTTPS üzerinden geliştirilmiş anında sıkıştırma
- с sitenize yapılacak otomatik saldırıları önlemek için
- WordPress için, size uygun
- üzerinden (Ubuntu'da)
- WordPress'in posta gönderebilmesi için Postfix veya msmtp
- Ne kadar trafiği kaldırabileceğini anlamak için sitenizi kontrol etmek
Daha da iyi site performansı için şu sürüme geçmenizi öneririz: , açık kaynak NGINX'i temel alan kurumsal sınıf ticari ürünümüz. Aboneleri, dinamik olarak yüklenmiş bir Brotli modülünün yanı sıra (ek bir ücret karşılığında) alacaklardır. . Biz de sunuyoruz NGINX Plus için F5'in sektör lideri güvenlik teknolojisine dayalı bir WAF modülü.
NB Çok yüklü bir web sitesi desteği için uzmanlarla iletişime geçebilirsiniz . Web sitenizin veya hizmetinizin her türlü yük altında hızlı ve güvenilir çalışmasını sağlayacağız.
Kaynak: habr.com