Автоматизуємо установку WordPress з NGINX Unit та Ubuntu
Є безліч матеріалів із встановлення WordPress, пошук у Google за ключовими словами "WordPress install" видасть близько півмільйона результатів. Проте фактично серед них дуже мало придатних посібників, за якими можна встановити і налаштувати WordPress і операційну систему, що нижче лежить так, щоб вони були здатні до підтримки протягом тривалого періоду часу. Можливо, правильні налаштування сильно залежать від конкретних потреб, або це пов'язано з тим, що докладне пояснення робить статтю важкою для читання.
У цій статті ми намагатимемося зібрати найкраще з двох підходів, надаючи скрипт на bash для автоматичної установки WordPress на Ubuntu, а також пройдемося по ньому, пояснюючи, що робить кожен його шматочок, а також на які компроміси ми пішли під час його розробки. Якщо ви досвідчений користувач – можете пропустити текст статті та просто взяти скрипт для модифікації та використання у ваших оточеннях. На виході скрипта виходить установка WordPress з підтримкою Lets Encrypt, що працює на NGINX Unit і придатна для промислового застосування.
Розроблена архітектура для розгортання WordPress з використанням NGINX Unit описана в старішій статті, зараз ми також додатково налаштуємо речі, які там не були охоплені (як і в багатьох інших посібниках):
WordPress CLI
Let's Encrypt та сертифікати TLSSSL
Автоматичне оновлення сертифікатів
Кешування NGINX
Стиснення NGINX
Підтримка HTTPS та HTTP/2
Автоматизація процесу
У статті буде описано встановлення на одному сервері, на якому будуть розміщені одночасно сервер обробки статики, сервер обробки PHP, база даних. Установка за допомогою багатьох віртуальних хостів і сервісів — потенційна тема на майбутнє. Хочете, щоб ми написали про щось, чого немає в цих статтях, — пишіть у коментарях.
Вимоги
Сервер-контейнер (LXC або LXD), віртуальна машина, або звичайний залізний сервер, з не менш ніж 512Мб оперативної пам'яті та встановленою Ubuntu 18.04 або свіжішою.
Доступні з інтернету порти 80 та 443
Доменне ім'я, пов'язане з публічною IP-адресою цього сервера
Доступ із правами root (sudo).
Огляд архітектури
Архітектура така сама, як було описано раніше, трирівневий web-додаток. Воно складається із скриптів PHP, що виконуються на обробнику PHP, та статичних файлів, що обробляються веб-сервером.
Загальні принципи
Багато команд для налаштування в скрипті обернуті в умови (if) для ідемпотентності: скрипт можна запускати кілька разів без ризику зміни налаштувань, які вже готові.
Скрипт намагається встановлювати програмне забезпечення з репозиторіїв, так що ви можете використовувати оновлення системи в одну команду (apt upgrade для Ubuntu).
Команди намагаються визначити, що вони запускаються у контейнері, щоб змінити відповідним чином свої налаштування.
Для того, щоб задати число процесів потоків, що запускаються в налаштуваннях, скрипт намагається вгадати автоматичні параметри налаштування для роботи в контейнерах, віртуальних машинах, «залізних» серверах.
При описі налаштувань завжди думаємо насамперед про автоматизацію, яка, як ми сподіваємося, стане основою для створення власної інфраструктури як коду.
Усі команди запускаються від користувача коріньтому що вони змінюють основні системні налаштування, але безпосередньо WordPress працює від звичайного користувача.
Встановлення змінних оточення
Встановіть наступні змінні оточення, перш ніж запускати скрипт:
WORDPRESS_DB_PASSWORD - пароль до бази даних WordPress
WORDPRESS_ADMIN_USER - Ім'я адміністратора WordPress
WORDPRESS_URL - повний URL сайту WordPress, починаючи з https://.
LETS_ENCRYPT_STAGING — порожня за замовчуванням, але, виставивши значення в 1, ви використовуватимете staging сервера Let's Encrypt, необхідні для частого запиту сертифікатів при тестуванні ваших налаштувань, інакше Let's Encrypt може тимчасово заблокувати вашу ip-адресу через велику кількість запитів.
Скрипт перевіряє, що ці пов'язані з WordPress змінні виставлені, і завершує роботу, якщо ні.
Рядки скрипту 572-576 перевіряють значення LETS_ENCRYPT_STAGING.
Установка похідних змінних оточення
Скрипт у рядках 55-61 виставляє наступні змінні оточення, або деяке жорстко задане значення, або із застосуванням значення, отриманого зі змінних, встановлених у попередньому розділі:
DEBIAN_FRONTEND="noninteractive" — повідомляє програмам, що вони запускаються у скрипті і немає можливості взаємодії з користувачем.
WORDPRESS_CLI_VERSION="2.4.0" — версія програми WordPress CLI.
WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" - Контрольна сума виконуваного файлу WordPress CLI 2.4.0 (версія вказується в змінній WORDPRESS_CLI_VERSION). Скрипт на 162 рядку використовує це значення для перевірки, що було завантажено коректний файл WordPress CLI.
UPLOAD_MAX_FILESIZE="16M" — максимальний розмір файлу, який можна завантажити у WordPress. Ця установка використовується в кількох місцях, тому простіше задавати її в одному місці.
TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - hostname системи, що витягується зі змінної WORDPRESS_URL. Використовується для отримання відповідних сертифікатів TLS/SSL від Let's Encrypt, а також для внутрішньої перевірки WordPress.
NGINX_CONF_DIR="/etc/nginx" - шлях до каталогу з налаштуваннями NGINX, включаючи основний файл nginx.conf.
CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" - шлях до сертифікатів Let's Encrypt для сайту WordPress, що отримується зі змінної TLS_HOSTNAME.
Призначення hostname WordPress серверу
Скрипт встановлює hostname серверу, щоб значення відповідало доменному імені сайту. Це не обов'язково, але так зручніше відправляти вихідну пошту через SMTP при налаштуванні єдиного сервера, як це настроюється скриптом.
код скрипту
# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
echo " Changing hostname to ${TLS_HOSTNAME}"
hostnamectl set-hostname "${TLS_HOSTNAME}"
fi
Додавання hostname в /etc/hosts
Доповнення WP-Cron використовується для запуску періодичних завдань, що вимагає, щоб WordPress міг отримати доступ до самого себе через HTTP. Щоб переконатися, що WP-Cron працює коректно на всіх оточеннях, скрипт додає рядок у файл / Etc / хостів, так що WordPress може отримати доступ до себе через інтерфейс loopback:
код скрипту
# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi
Встановлення інструментів, необхідних наступних кроків
Решта скрипту потребує деяких програм і передбачає, що репозиторії актуальні. Ми оновлюємо список репозиторіїв, після чого встановлюємо потрібні інструменти:
код скрипту
# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y
bc
ca-certificates
coreutils
curl
gnupg2
lsb-release
Додавання репозиторіїв NGINX Unit та NGINX
Скрипт встановлює NGINX Unit та NGINX з відкритим вихідним кодом з офіційних репозиторіїв NGINX, щоб переконатися, що використовуються версії з останніми оновленнями безпеки та виправлення помилок.
Скрипт додає репозиторій NGINX Unit, а потім репозиторій NGINX, додаючи ключ репозиторіїв та файли налаштувань apt, що задають доступ до репозиторій через Інтернет.
Реальна установка NGINX Unit та NGINX відбувається у наступному розділі. Ми попередньо додаємо репозиторії, щоб не оновлювати метадані кілька разів, що робить установку швидше.
код скрипту
# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
echo " Installing NGINX Unit repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi
# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
echo " Installing NGINX repository"
curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi
Установка NGINX, NGINX Unit, PHP MariaDB, Certbot (Let's Encrypt) та їх залежностей
Як тільки всі репозиторії додані, оновлюємо метадані та встановлюємо програми. Пакети, які встановлюються скриптом, також включають розширення PHP, рекомендовані під час запуску WordPress.org
код скрипту
echo " Updating repository metadata"
apt-get -qq update
# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends
certbot
python3-certbot-nginx
php-cli
php-common
php-bcmath
php-curl
php-gd
php-imagick
php-mbstring
php-mysql
php-opcache
php-xml
php-zip
ghostscript
nginx
unit
unit-php
mariadb-server
Налаштування PHP для використання з NGINX Unit та WordPress
Скрипт створює файл налаштувань у каталозі conf.d. Тут задається максимальний розмір файлів, що завантажуються для PHP, включається виведення помилок PHP в STDERR, так що вони будуть записані в журнал NGINX Unit, а також перезапускається NGINX Unit.
код скрипту
# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"
if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
echo " Configuring PHP for use with NGINX Unit and WordPress"
# Add PHP configuration overrides
cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi
# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart
Завдання налаштувань бази даних MariaDB для WordPress
Ми вибрали MariaDB замість MySQL, оскільки має більшу активність спільноти, крім того, вона, можливо, надає більш високу продуктивність за умовчанням (мабуть, тут все простіше: щоб поставити MySQL, треба додати ще один репозиторій, прим. перекладача).
Скрипт створює нову базу даних та створює облікові дані для доступу WordPress через інтерфейс loopback:
код скрипту
# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"
Встановлення програми WordPress CLI
На цьому етапі скрипт встановлює програму WP-CLI. З його допомогою можна встановити та керувати налаштуваннями WordPress без необхідності ручного редагування файлів, оновлення бази або входу в панель керування. Також за його допомогою можна встановити теми та доповнення та виконати оновлення WordPress.
код скрипту
if [ ! -f /usr/local/bin/wp ]; then
# Install the WordPress CLI
echo " Installing the WordPress CLI tool"
curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
chmod +x /usr/local/bin/wp
fi
Встановлення та налаштування WordPress
Скрипт встановлює останню версію WordPress у каталог /var/www/wordpress, а також змінює налаштування:
З'єднання з базою даних працює через unix domain socket замість TCP на loopback, щоб скоротити трафік TCP.
WordPress додає префікс https:// URL, якщо клієнти з'єднуються з NGINX за протоколом HTTPS, а також відправляє віддалений hostname (як це надає NGINX) в PHP. Ми використовуємо шматочок коду, щоб це налаштувати.
WordPress потрібно HTTPS для входу
Структура URL за мовчанням ґрунтується на ресурсах
Виставляються правильні права файлової системи для каталогу WordPress.
код скрипту
if [ ! -d /var/www/wordpress ]; then
# Create WordPress directories
mkdir -p /var/www/wordpress
chown -R www-data:www-data /var/www
# Download WordPress using the WordPress CLI
echo " Installing WordPress"
su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data
WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""
# This snippet is injected into the wp-config.php file when it is created;
# it informs WordPress that we are behind a reverse proxy and as such
# allows it to generate links using HTTPS
cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
$_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
$_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM
# Create WordPress configuration
su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
rm /tmp/wp_forwarded_for.php
su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data
# Install WordPress
WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data
# Set permalink structure to a sensible default that isn't in the UI
su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data
# Remove sample file because it is cruft and could be a security problem
rm /var/www/wordpress/wp-config-sample.php
# Ensure that WordPress permissions are correct
find /var/www/wordpress -type d -exec chmod g+s {} ;
chmod g+w /var/www/wordpress/wp-content
chmod -R g+w /var/www/wordpress/wp-content/themes
chmod -R g+w /var/www/wordpress/wp-content/plugins
fi
Налаштування NGINX Unit
Скрипт налаштовує NGINX Unit для запуску PHP та обробки шляхів WordPress, ізолюючи простір імен процесів PHP та оптимізуючи налаштування продуктивності. Тут є три функції, на які варто звернути увагу:
Підтримка просторів імен визначається за умовою, яка базується на перевірці запуску скрипта в контейнері. Це потрібно, оскільки більшість налаштувань контейнерів не підтримують вкладений запуск контейнерів.
Якщо є підтримка просторів імен, вимикається простір імен мережу. Це потрібно, щоб дозволити WordPress одночасно підключатися до endpoints і бути доступним в інтернеті.
Максимальна кількість процесів визначається так: (Доступна пам'ять для запущених MariaDB і NGINX Uniy)/(межа оперативної пам'яті в PHP + 5)
Це значення встановлюється в установках NGINX Unit.
Також це значення має на увазі, що завжди є як мінімум два запущені процеси PHP, що важливо, оскільки WordPress робить багато асинхронних запитів до самого себе, а без додаткових процесів запуск, наприклад, WP-Cron, зламається. Ви, можливо, захочете збільшити або зменшити ці обмеження, ґрунтуючись на ваших локальних налаштуваннях, тому що створені налаштування тут консервативні. На більшості виробничих систем налаштування знаходяться між 10 та 100.
код скрипту
if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
NAMESPACES='"namespaces": {
"cgroup": true,
"credential": true,
"mount": true,
"network": false,
"pid": true,
"uname": true
}'
else
NAMESPACES='"namespaces": {}'
fi
PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."
echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
"settings": {
"http": {
"header_read_timeout": 30,
"body_read_timeout": 30,
"send_timeout": 30,
"idle_timeout": 180,
"max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
}
},
"listeners": {
"127.0.0.1:8080": {
"pass": "routes/wordpress"
}
},
"routes": {
"wordpress": [
{
"match": {
"uri": [
"*.php",
"*.php/*",
"/wp-admin/"
]
},
"action": {
"pass": "applications/wordpress/direct"
}
},
{
"action": {
"share": "/var/www/wordpress",
"fallback": {
"pass": "applications/wordpress/index"
}
}
}
]
},
"applications": {
"wordpress": {
"type": "php",
"user": "www-data",
"group": "www-data",
"processes": {
"max": ${MAX_PHP_PROCESSES},
"spare": 1
},
"isolation": {
${NAMESPACES}
},
"targets": {
"direct": {
"root": "/var/www/wordpress/"
},
"index": {
"root": "/var/www/wordpress/",
"script": "index.php"
}
}
}
}
}
EOM
curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config
Налаштування NGINX
Налаштування основних параметрів NGINX
Скрипт створює каталог для кешу NGINX, а потім створює основний файл налаштування nginx.conf. Зверніть увагу на кількість процесів-обробників та завдання максимального розміру файлу для завантаження. Також є рядок, на якому підключається файл налаштування стиснення, який визначається в наступному розділі, далі йдуть налаштування кешування.
Стиснення вмісту на льоту перед відправкою його клієнтам – відмінний спосіб покращення продуктивності сайту, але тільки якщо стиск налаштований правильно. Цей розділ скрипта базується на налаштуваннях звідси.
код скрипту
cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
application/atom+xml
application/geo+json
application/javascript
application/x-javascript
application/json
application/ld+json
application/manifest+json
application/rdf+xml
application/rss+xml
application/vnd.ms-fontobject
application/wasm
application/x-web-app-manifest+json
application/xhtml+xml
application/xml
font/eot
font/otf
font/ttf
image/bmp
image/svg+xml
text/cache-manifest
text/calendar
text/css
text/javascript
text/markdown
text/plain
text/xml
text/vcard
text/vnd.rim.location.xloc
text/vtt
text/x-component
text/x-cross-domain-policy;
EOM
Налаштування NGINX для WordPress
Далі скрипт створює файл налаштування для WordPress default.conf у каталозі conf.d. Тут налаштовується:
Активація сертифікатів TLS, отриманих від Let's Encrypt через Certbot (його налаштування буде в наступному розділі)
Налаштування параметрів безпеки TLS на основі рекомендацій від Let's Encrypt
Підключення кешування запитів, що пропускаються, на 1 годину за замовчуванням
Відключення журналювання доступу, а також журналування помилок, якщо файл не знайдено, для двох загальних файлів, що запитуються: favicon.ico і robots.txt
Заборона доступу до прихованих файлів та деяких файлів . Php, щоб запобігти нелегальному доступу або ненавмисному запуску
Вимкнення журналу доступу для статики та файлів шрифтів
Додавання маршрутизації для index.php та іншої статики.
код скрипту
cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
server 127.0.0.1:8080;
keepalive 32;
}
server {
listen 80;
listen [::]:80;
# ACME-challenge used by Certbot for Let's Encrypt
location ^~ /.well-known/acme-challenge/ {
root /var/www/certbot;
}
location / {
return 301 https://${TLS_HOSTNAME}$request_uri;
}
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name ${TLS_HOSTNAME};
root /var/www/wordpress/;
# Let's Encrypt configuration
ssl_certificate ${CERT_DIR}/fullchain.pem;
ssl_certificate_key ${CERT_DIR}/privkey.pem;
ssl_trusted_certificate ${CERT_DIR}/chain.pem;
include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
# OCSP stapling
ssl_stapling on;
ssl_stapling_verify on;
# Proxy caching
proxy_cache wp_cache;
proxy_cache_valid 200 302 1h;
proxy_cache_valid 404 1m;
proxy_cache_revalidate on;
proxy_cache_background_update on;
proxy_cache_lock on;
proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
# Deny all attempts to access hidden files such as .htaccess, .htpasswd,
# .DS_Store (Mac)
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban)
location ~ /. {
deny all;
}
# Deny access to any files with a .php extension in the uploads directory;
# works in subdirectory installs and also in multi-site network.
# Keep logging the requests to parse later (or to pass to firewall utilities
# such as fail2ban).
location ~* /(?:uploads|files)/.*.php$ {
deny all;
}
# WordPress: deny access to wp-content, wp-includes PHP files
location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
deny all;
}
# Deny public access to wp-config.php
location ~* wp-config.php {
deny all;
}
# Do not log access for static assets, media
location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
access_log off;
}
location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
add_header Access-Control-Allow-Origin "*";
access_log off;
}
location / {
try_files $uri @index_php;
}
location @index_php {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
proxy_pass http://unit_php_upstream;
}
location ~* .php$ {
proxy_socket_keepalive on;
proxy_http_version 1.1;
proxy_set_header Connection "";
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;
try_files $uri =404;
proxy_pass http://unit_php_upstream;
}
}
EOM
Налаштування Certbot для сертифікатів від Let's Encrypt та їх автоматичне продовження
Certbot — безкоштовний інструмент від Electronic Frontier Foundation (EFF), за допомогою якого можна отримувати та автоматично оновлювати сертифікати TLS від Let's Encrypt. Скрипт виконує такі дії, що призводять до налаштування Certbot для обробки сертифікатів від Let's Encrypt у NGINX:
Зупиняє NGINX
Завантажує рекомендовані параметри TLS
Запуск Certbot, щоб отримати сертифікати для сайту
Перезапуск NGINX для використання сертифікатів
Налаштовує щоденний запуск Certbot о 3:24 ночі для перевірки необхідності оновлення сертифікатів, а також, за необхідності, завантаження нових сертифікатів та перезавантаження NGINX.
код скрипту
echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop
mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot
if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
echo " Downloading recommended TLS parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT"
-o "${NGINX_CONF_DIR}/options-ssl-nginx.conf"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf"
|| echo "Couldn't download latest options-ssl-nginx.conf"
fi
if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
echo " Downloading recommended TLS DH parameters"
curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT"
-o "${NGINX_CONF_DIR}/ssl-dhparams.pem"
"https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem"
|| echo "Couldn't download latest ssl-dhparams.pem"
fi
# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
echo " Removing self-signed certificates"
rm -rf "${CERT_DIR}"
fi
if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
CERTBOT_STAGING_FLAG=""
else
CERTBOT_STAGING_FLAG="--staging"
fi
if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
echo " Generating certificates with Let's Encrypt"
certbot certonly --standalone
-m "${WORDPRESS_ADMIN_EMAIL}"
${CERTBOT_STAGING_FLAG}
--agree-tos --force-renewal --non-interactive
-d "${TLS_HOSTNAME}"
fi
echo " Starting NGINX in order to use new configuration"
service nginx start
# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
(crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi
Додаткове налаштування вашого сайту
Ми вище розповіли про те, як наш скрипт налаштовує NGINX та NGINX Unit для обслуговування готового до промислової роботи сайту з увімкненим TLSSSL. Ви можете також, залежно від ваших потреб, додати у майбутньому:
Підтримку Бротлі, покращений стиск на льоту за HTTPS
Postfix або msmtp, щоб WordPress міг надсилати пошту
Перевірка вашого сайту, щоб ви розуміли, скільки трафіку він може витримати
Для кращої продуктивності сайту ми рекомендуємо оновитися до NGINX Plus, наш комерційний продукт корпоративного рівня, заснований на NGINX з відкритим вихідним кодом. Його передплатники отримають модуль Brotli, що динамічно завантажується, а також (за додаткову оплату) NGINX ModSecurity WAF. Ми також пропонуємо NGINX App Protectмодуль WAF для NGINX Plus, заснований на технології, що веде в галузі безпеки, від F5.
NB За підтримкою високонавантаженого сайту ви можете звернутися до фахівців Південний міст. Забезпечимо швидку та надійну роботу вашого сайту чи сервісу під будь-яким навантаженням.