אַוטאָמאַטינג וואָרדפּרעסס ינסטאַלירונג מיט NGINX Unit און Ubuntu

עס איז אַ פּלאַץ פון מאַטעריאַל אויף ינסטאָלינג וואָרדפּרעסס; אַ Google זוכן פֿאַר "וואָרדפּרעסס ינסטאַלירן" וועט צוריקקומען וועגן אַ האַלב מיליאָן רעזולטאַטן. אָבער, עס זענען פאקטיש זייער ווייניק נוציק גוידעס וואָס קענען העלפֿן איר ינסטאַלירן און קאַנפיגיער וואָרדפּרעסס און די אַנדערלייינג אָפּערייטינג סיסטעם אַזוי אַז זיי קענען זיין געשטיצט איבער אַ לאַנג צייט. טאָמער די ריכטיק סעטטינגס אָפענגען שווער אויף דיין ספּעציפיש באדערפענישן, אָדער עס קען זיין ווייַל די דיטיילד דערקלערונג מאכט דעם אַרטיקל שווער צו לייענען.

אין דעם אַרטיקל, מיר וועלן פּרובירן צו שטעלן צוזאַמען די בעסטער פון ביידע וועלטן דורך צושטעלן אַ באַש שריפט צו אויטאָמאַטיש ינסטאַלירן וואָרדפּרעסס אויף ובונטו, און מיר וועלן דורכגיין עס, דערקלערן וואָס יעדער שטיק טוט און די האַנדל-אָפס וואָס מיר האָבן געמאכט אין דיזיינינג. עס. אויב איר זענט אַ יקספּיריאַנסט באַניצער, איר קענען האָפּקען דעם טעקסט פון דעם אַרטיקל און נאָר נעמען די שריפט פֿאַר מאַדאַפאַקיישאַן און נוצן אין דיין ינווייראַנמאַנץ. דער רעזולטאַט פון דעם שריפט איז אַ מנהג וואָרדפּרעסס ינסטאַלירונג מיט לעץ ענקריפּט שטיצן, פליסנדיק אויף NGINX Unit און פּאַסיק פֿאַר ינדאַסטרי.

די דעוועלאָפּעד אַרקאַטעקטשער פֿאַר דיפּלויינג וואָרדפּרעסס ניצן NGINX Unit איז דיסקרייבד אין עלטערע ארטיקל, מיר וועלן איצט אויך קאַנפיגיער טינגז וואָס זענען נישט קאַווערד דאָרט (ווי אין פילע אנדערע טוטאָריאַלז):

• וואָרדפּרעסס CLI
• לאָמיר ענקריפּט און TLSSSL סערטיפיקאַץ
• אָטאַמאַטיק באַווייַזן רינואַל
• NGINX קאַטשינג
• NGINX קאַמפּרעשאַן
• הטטפּס און הטטפּ / 2 שטיצן
• פּראָצעס אָטאַמיישאַן

דער אַרטיקל וועט באַשרייַבן ינסטאַלירונג אויף איין סערווער, וואָס וועט סיימאַלטייניאַסלי באַלעבאָס אַ סטאַטיק פּראַסעסינג סערווער, אַ PHP פּראַסעסינג סערווער און אַ דאַטאַבייס. ייַנמאָנטירונג מיט שטיצן פֿאַר קייפל ווירטואַל מחנות און באַדינונגס איז אַ פּאָטענציעל טעמע פֿאַר דער צוקונפֿט. אויב איר ווילט אַז מיר שרייַבן וועגן עפּעס וואָס איז נישט אין די אַרטיקלען, שרייַבן אין די באַמערקונגען.

באדערפענישן

• סערווירער קאַנטיינער (לקסק אָדער לקסד), אַ ווירטואַל מאַשין, אָדער אַ רעגולער ייַזנוואַרג סערווער, מיט לפּחות 512 מב פון באַראַן און Ubuntu 18.04 אָדער מער לעצטנס אינסטאַלירן.
• אינטערנעט צוטריט פּאָרץ 80 און 443
• די פעלד נאָמען פֿאַרבונדן מיט די עפנטלעך IP אַדרעס פון דעם סערווער
• אַקסעס מיט וואָרצל רעכט (סודאָ).

אַרקאַטעקטשער איבערבליק

די אַרקאַטעקטשער איז די זעלבע ווי דיסקרייבד פריער, אַ דריי-ריי וועב אַפּלאַקיישאַן. עס באשטייט פון PHP סקריפּס עקסאַקיוטאַד אויף די PHP מאָטאָר און סטאַטיק טעקעס פּראַסעסט דורך די וועב סערווער.

אַלגעמיינע פּרינציפּן

• פילע קאַנפיגיעריישאַן קאַמאַנדז אין אַ שריפט זענען אלנגעוויקלט אין אויב טנאָים פֿאַר ידעמאָטענסי: די שריפט קענען זיין לויפן עטלעכע מאָל אָן די ריזיקירן פון טשאַנגינג סעטטינגס וואָס זענען שוין גרייט.
• דער שריפט פרוווט צו ינסטאַלירן ווייכווארג פֿון ריפּאַזאַטאָריז, אַזוי איר קענען צולייגן סיסטעם דערהייַנטיקונגען אין איין באַפֿעל (apt upgrade פֿאַר ובונטו).
• טימז פּרובירן צו דעטעקט אַז זיי לויפן אין אַ קאַנטיינער אַזוי זיי קענען טוישן זייער סעטטינגס אַקאָרדינגלי.
• אין סדר צו שטעלן די נומער פון פאָדעם פּראַסעסאַז צו זיין לאָנטשט אין די סעטטינגס, די שריפט פרוווט צו טרעפן די אָטאַמאַטיק סעטטינגס פֿאַר ארבעטן אין קאַנטיינערז, ווירטואַל מאשינען און ייַזנוואַרג סערווערס.
• ווען דיסקרייבינג סעטטינגס, מיר שטענדיק טראַכטן ערשטער וועגן אָטאַמיישאַן, וואָס מיר האָפֿן וועט ווערן די יקער פֿאַר קריייטינג דיין אייגענע ינפראַסטראַקטשער ווי קאָד.
• כל קאַמאַנדז זענען לויפן פון די באַניצער וואָרצל, ווייַל זיי טוישן די יקערדיק סיסטעם סעטטינגס, אָבער וואָרדפּרעסס זיך לויפט ווי אַ רעגולער באַניצער.

באַשטעטיקן סוויווע וועריאַבאַלז

שטעלן די פאלגענדע סוויווע וועריאַבאַלז איידער פליסנדיק די שריפט:

• WORDPRESS_DB_PASSWORD - וואָרדפּרעסס דאַטאַבייס פּאַראָל
• WORDPRESS_ADMIN_USER - וואָרדפּרעסס אַדמין נאמען
• WORDPRESS_ADMIN_PASSWORD - וואָרדפּרעסס אַדמין פּאַראָל
• WORDPRESS_ADMIN_EMAIL - וואָרדפּרעסס אַדמין בליצפּאָסט
• WORDPRESS_URL - פול URL פון די וואָרדפּרעסס פּלאַץ, סטאַרטינג מיט https://.
• LETS_ENCRYPT_STAGING - ליידיק דורך פעליקייַט, אָבער דורך באַשטעטיקן די ווערט צו 1, איר וועט נוצן Let's Encrypt ס סטאַגינג סערווערס, וואָס זענען נויטיק צו אָפט בעטן סערטיפיקאַץ ווען טעסטינג דיין סעטטינגס, אַנדערש Let's Encrypt קען טעמפּערעראַלי פאַרשפּאַרן דיין IP אַדרעס רעכט צו דער גרויס נומער פון ריקוועס.

דער שריפט טשעקס אַז די וואָרדפּרעסס פֿאַרבונדענע וועריאַבאַלז זענען באַשטימט און עגזיץ אויב זיי זענען נישט.
שריפט שורות 572-576 קאָנטראָלירן די ווערט LETS_ENCRYPT_STAGING.

באַשטעטיקן דערייווד סוויווע וועריאַבאַלז

די שריפט אויף שורות 55-61 שטעלט די פאלגענדע ינווייראַנמענאַל וועריאַבאַלז, אָדער צו עטלעכע שווער-קאָדעד ווערט אָדער ניצן אַ ווערט דערייווד פון די וועריאַבאַלז שטעלן אין די פריערדיקע אָפּטיילונג:

• DEBIAN_FRONTEND="noninteractive" - דערציילט אַפּלאַקיישאַנז אַז זיי לויפן אין אַ שריפט און עס איז קיין מעגלעכקייט פון באַניצער ינטעראַקשאַן.
• WORDPRESS_CLI_VERSION="2.4.0" - WordPress CLI ווערסיע פון ​​​​די אַפּלאַקיישאַן.
• WORDPRESS_CLI_MD5= "dedd5a662b80cda66e9e25d44c23b25c" - טשעקסום פון די וואָרדפּרעסס CLI 2.4.0 עקסעקוטאַבלע טעקע (די ווערסיע איז אנגעוויזן אין די בייַטעוודיק WORDPRESS_CLI_VERSION). די שריפט אויף שורה 162 ניצט דעם ווערט צו באַשטעטיקן אַז די ריכטיק WordPress CLI טעקע איז דאַונלאָודיד.
• UPLOAD_MAX_FILESIZE="16M" - די מאַקסימום טעקע גרייס וואָס קענען זיין ופּלאָאַדעד צו וואָרדפּרעסס. די באַשטעטיקן איז געניצט אין עטלעכע ערטער, אַזוי עס איז גרינגער צו שטעלן עס אויף איין אָרט.
• TLS_HOSTNAME= "$(echo ${WORDPRESS_URL} | cut -d'/' -f3)" - סיסטעם האָסטנאַמע, יקסטראַקטיד פון די WORDPRESS_URL בייַטעוודיק. געוויינט צו קריגן צונעמען TLS / SSL סערטיפיקאַץ פון Let's Encrypt, ווי געזונט ווי פֿאַר ינערלעך וואָרדפּרעסס וועראַפאַקיישאַן.
• NGINX_CONF_DIR="/etc/nginx" - דרך צו דער וועגווייַזער מיט NGINX סעטטינגס, אַרייַנגערעכנט די הויפּט טעקע nginx.conf.
• CERT_DIR="/etc/letsencrypt/live/${TLS_HOSTNAME}" - דרך צו לאָזן ס ענקריפּט סערטיפיקאַץ פֿאַר די וואָרדפּרעסס פּלאַץ, באקומען פֿון די בייַטעוודיק TLS_HOSTNAME.

אַסיינינג האָסטנאַמע צו וואָרדפּרעסס סערווער

דער שריפט באַשטעטיקט די האָסטנאַמע פון ​​די סערווער אַזוי אַז די ווערט גלייַכן די פעלד נאָמען פון די פּלאַץ. דאָס איז ניט נייטיק, אָבער עס איז מער באַקוועם צו שיקן אַוטגאָוינג פּאָסט דורך סמטפּ ווען איר שטעלן אַ איין סערווער, ווי קאַנפיגיערד דורך די שריפט.

שריפט קאָד

# Change the hostname to be the same as the WordPress hostname
if [ ! "$(hostname)" == "${TLS_HOSTNAME}" ]; then
  echo " Changing hostname to ${TLS_HOSTNAME}"
  hostnamectl set-hostname "${TLS_HOSTNAME}"
fi

אַדינג האָסטנאַמע צו /etc/hosts

דערצו WP-Cron געוויינט צו לויפן פּעריאָדיש טאַסקס, ריקווייערז וואָרדפּרעסס צו קענען צוטריט זיך דורך הטטפּ. צו מאַכן זיכער אַז WP-Cron אַרבעט ריכטיק אין אַלע ינווייראַנמאַנץ, די שריפט מוסיף אַ שורה צו דער טעקע / עטק / צבאותאַזוי אַז וואָרדפּרעסס קענען אַקסעס זיך דורך די לופּבאַקק צובינד:

שריפט קאָד

# Add the hostname to /etc/hosts
if [ "$(grep -m1 "${TLS_HOSTNAME}" /etc/hosts)" = "" ]; then
  echo " Adding hostname ${TLS_HOSTNAME} to /etc/hosts so that WordPress can ping itself"
  printf "::1 %sn127.0.0.1 %sn" "${TLS_HOSTNAME}" "${TLS_HOSTNAME}" >> /etc/hosts
fi

ינסטאָלינג די מכשירים פארלאנגט פֿאַר סאַבסאַקוואַנט סטעפּס

די רעשט פון די שריפט ריקווייערז עטלעכע מגילה און אַסומז אַז די ריפּאַזאַטאָריז זענען דערהייַנטיקט. מיר דערהייַנטיקן די רשימה פון ריפּאַזאַטאָריז און ינסטאַלירן די נייטיק מכשירים:

שריפט קאָד

# Make sure tools needed for install are present
echo " Installing prerequisite tools"
apt-get -qq update
apt-get -qq install -y 
  bc 
  ca-certificates 
  coreutils 
  curl 
  gnupg2 
  lsb-release

אַדינג די NGINX Unit און NGINX ריפּאַזאַטאָריז

דער שריפט ינסטאָלז NGINX Unit און אָפֿן מקור NGINX פֿון די באַאַמטער NGINX ריפּאַזאַטאָריז צו ענשור אַז די ווערסיעס מיט די לעצטע זיכערהייט דערהייַנטיקונגען און זשוק פיקסיז זענען געניצט.

דער שריפט מוסיף די NGINX Unit ריפּאַזאַטאָרי און דערנאָך די NGINX ריפּאַזאַטאָרי, אַדינג די ריפּאַזאַטאָריז שליסל און סעטטינגס טעקעס apt, דיפיינינג אַקסעס צו ריפּאַזאַטאָריז דורך די אינטערנעט.

די פאַקטיש ייַנמאָנטירונג פון די NGINX Unit און NGINX אַקערז אין דער ווייַטער אָפּטיילונג. מיר פאַר-לייגן ריפּאַזאַטאָריז צו ויסמיידן אַפּדייטינג מעטאַדאַטאַ עטלעכע מאָל, מאכן ינסטאַלירונג פאַסטער.

שריפט קאָד

# Install the NGINX Unit repository
if [ ! -f /etc/apt/sources.list.d/unit.list ]; then
  echo " Installing NGINX Unit repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://packages.nginx.org/unit/ubuntu/ $(lsb_release -cs) unit" > /etc/apt/sources.list.d/unit.list
fi

# Install the NGINX repository
if [ ! -f /etc/apt/sources.list.d/nginx.list ]; then
  echo " Installing NGINX repository"
  curl -fsSL https://nginx.org/keys/nginx_signing.key | apt-key add -
  echo "deb https://nginx.org/packages/mainline/ubuntu $(lsb_release -cs) nginx" > /etc/apt/sources.list.d/nginx.list
fi

ינסטאָלינג NGINX, NGINX Unit, PHP MariaDB, Certbot (זאל ס ענקריפּט) און זייער דיפּענדאַנסיז

אַמאָל אַלע די ריפּאַזאַטאָריז זענען מוסיף, מיר דערהייַנטיקן די מעטאַדאַטאַ און ינסטאַלירן די אַפּלאַקיישאַנז. די פּאַקאַדזשאַז אינסטאַלירן דורך די שריפט אויך אַרייַננעמען PHP יקסטענשאַנז רעקאַמענדיד ווען פליסנדיק WordPress.org

שריפט קאָד

echo " Updating repository metadata"
apt-get -qq update

# Install PHP with dependencies and NGINX Unit
echo " Installing PHP, NGINX Unit, NGINX, Certbot, and MariaDB"
apt-get -qq install -y --no-install-recommends 
  certbot 
  python3-certbot-nginx 
  php-cli 
  php-common 
  php-bcmath 
  php-curl 
  php-gd 
  php-imagick 
  php-mbstring 
  php-mysql 
  php-opcache 
  php-xml 
  php-zip 
  ghostscript 
  nginx 
  unit 
  unit-php 
  mariadb-server

באַשטעטיקן PHP פֿאַר נוצן מיט NGINX Unit און WordPress

דער שריפט קריייץ אַ סעטטינגס טעקע אין די וועגווייַזער קאָנפ.ד. דאָס שטעלט די מאַקסימום טעקע ופּלאָאַד גרייס פֿאַר PHP, ינייבאַלז פפּ ערראָרס צו זיין פּראָדוקציע צו STDERR אַזוי זיי וועלן זיין לאָגד צו די NGINX יוניט, און ריסטאַרט די NGINX יוניט.

שריפט קאָד

# Find the major and minor PHP version so that we can write to its conf.d directory
PHP_MAJOR_MINOR_VERSION="$(php -v | head -n1 | cut -d' ' -f2 | cut -d'.' -f1,2)"

if [ ! -f "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" ]; then
  echo " Configuring PHP for use with NGINX Unit and WordPress"
  # Add PHP configuration overrides
  cat > "/etc/php/${PHP_MAJOR_MINOR_VERSION}/embed/conf.d/30-wordpress-overrides.ini" << EOM
; Set a larger maximum upload size so that WordPress can handle
; bigger media files.
upload_max_filesize=${UPLOAD_MAX_FILESIZE}
post_max_size=${UPLOAD_MAX_FILESIZE}
; Write error log to STDERR so that error messages show up in the NGINX Unit log
error_log=/dev/stderr
EOM
fi

# Restart NGINX Unit because we have reconfigured PHP
echo " Restarting NGINX Unit"
service unit restart

באַשטעטיקן MariaDB דאַטאַבאַסע סעטטינגס פֿאַר וואָרדפּרעסס

מיר אויסדערוויילט MariaDB איבער MySQL ווייַל עס האט מער קהל אַקטיוויטעטן און קענען אויך גיט בעסער פאָרשטעלונג דורך פעליקייַט (מיסטאָמע, אַלץ איז סימפּלער דאָ: צו ינסטאַלירן MySQL, איר דאַרפֿן צו לייגן אן אנדער ריפּאַזאַטאָרי, בעערעך. איבערזעצער).

דער שריפט קריייץ אַ נייַע דאַטאַבייס און קריייץ וואָרדפּרעסס אַקסעס קראַדענטשאַלז דורך די לופּבאַקק צובינד:

שריפט קאָד

# Set up the WordPress database
echo " Configuring MariaDB for WordPress"
mysqladmin create wordpress || echo "Ignoring above error because database may already exist"
mysql -e "GRANT ALL PRIVILEGES ON wordpress.* TO "wordpress"@"localhost" IDENTIFIED BY "$WORDPRESS_DB_PASSWORD"; FLUSH PRIVILEGES;"

ינסטאָלינג די WordPress CLI פּראָגראַם

אין דעם שריט די שריפט ינסטאָלז די פּראָגראַם WP-CLI. מיט עס, איר קענען ינסטאַלירן און פירן וואָרדפּרעסס סעטטינגס אָן מאַניואַלי רעדאַגירן טעקעס, דערהייַנטיקן די דאַטאַבייס אָדער קלאָץ אין די קאָנטראָל טאַפליע. עס קענען אויך זיין געוויינט צו ינסטאַלירן טעמעס און אַדישאַנז און דערהייַנטיקן וואָרדפּרעסס.

שריפט קאָד

if [ ! -f /usr/local/bin/wp ]; then
  # Install the WordPress CLI
  echo " Installing the WordPress CLI tool"
  curl --retry 6 -Ls "https://github.com/wp-cli/wp-cli/releases/download/v${WORDPRESS_CLI_VERSION}/wp-cli-${WORDPRESS_CLI_VERSION}.phar" > /usr/local/bin/wp
  echo "$WORDPRESS_CLI_MD5 /usr/local/bin/wp" | md5sum -c -
  chmod +x /usr/local/bin/wp
fi

ינסטאָלינג און קאַנפיגיער וואָרדפּרעסס

דער שריפט ינסטאָלז די לעצטע ווערסיע פון ​​וואָרדפּרעסס אין די וועגווייַזער /var/www/wordpress, און אויך ענדערונגען די סעטטינגס:

• די דאַטאַבייס קשר אַרבעט איבער אַ יוניקס פעלד כאָלעל אַנשטאָט פון TCP אויף לופּבאַקק צו רעדוצירן TCP פאַרקער.
• וואָרדפּרעסס מוסיף אַ פּרעפיקס https:// צו די URL אויב קלייאַנץ פאַרבינדן צו NGINX איבער הטטפּס, און אויך סענדז די ווייַט האָסטנאַמע (ווי צוגעשטעלט דורך NGINX) צו PHP. מיר נוצן אַ שטיק פון קאָד צו באַשטעטיקן דעם.
• וואָרדפּרעסס דאַרף הטטפּס צו לאָגין
• URL סטרוקטור איז בישטיקע מיטל באזירט
• ריכטיק טעקע סיסטעם פּערמישאַנז זענען באַשטימט פֿאַר די וואָרדפּרעסס וועגווייַזער.

שריפט קאָד

if [ ! -d /var/www/wordpress ]; then
  # Create WordPress directories
  mkdir -p /var/www/wordpress
  chown -R www-data:www-data /var/www

  # Download WordPress using the WordPress CLI
  echo " Installing WordPress"
  su -s /bin/sh -c 'wp --path=/var/www/wordpress core download' www-data

  WP_CONFIG_CREATE_CMD="wp --path=/var/www/wordpress config create --extra-php --dbname=wordpress --dbuser=wordpress --dbhost="localhost:/var/run/mysqld/mysqld.sock" --dbpass="${WORDPRESS_DB_PASSWORD}""

  # This snippet is injected into the wp-config.php file when it is created;
  # it informs WordPress that we are behind a reverse proxy and as such
  # allows it to generate links using HTTPS
  cat > /tmp/wp_forwarded_for.php << 'EOM'
/* Turn HTTPS 'on' if HTTP_X_FORWARDED_PROTO matches 'https' */
if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strpos($_SERVER['HTTP_X_FORWARDED_PROTO'], 'https') !== false) {
    $_SERVER['HTTPS'] = 'on';
}
if (isset($_SERVER['HTTP_X_FORWARDED_HOST'])) {
    $_SERVER['HTTP_HOST'] = $_SERVER['HTTP_X_FORWARDED_HOST'];
}
EOM

  # Create WordPress configuration
  su -s /bin/sh -p -c "cat /tmp/wp_forwarded_for.php | ${WP_CONFIG_CREATE_CMD}" www-data
  rm /tmp/wp_forwarded_for.php
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress config set 'FORCE_SSL_ADMIN' 'true'" www-data

  # Install WordPress
  WP_SITE_INSTALL_CMD="wp --path=/var/www/wordpress core install --url="${WORDPRESS_URL}" --title="${WORDPRESS_SITE_TITLE}" --admin_user="${WORDPRESS_ADMIN_USER}" --admin_password="${WORDPRESS_ADMIN_PASSWORD}" --admin_email="${WORDPRESS_ADMIN_EMAIL}" --skip-email"
  su -s /bin/sh -p -c "${WP_SITE_INSTALL_CMD}" www-data

  # Set permalink structure to a sensible default that isn't in the UI
  su -s /bin/sh -p -c "wp --path=/var/www/wordpress option update permalink_structure '/%year%/%monthnum%/%postname%/'" www-data

  # Remove sample file because it is cruft and could be a security problem
  rm /var/www/wordpress/wp-config-sample.php

  # Ensure that WordPress permissions are correct
  find /var/www/wordpress -type d -exec chmod g+s {} ;
  chmod g+w /var/www/wordpress/wp-content
  chmod -R g+w /var/www/wordpress/wp-content/themes
  chmod -R g+w /var/www/wordpress/wp-content/plugins
fi

באַשטעטיקן די NGINX אַפּאַראַט

דער שריפט קאַנפיגיער NGINX Unit צו לויפן PHP און שעפּן וואָרדפּרעסס פּאַטס, ייסאַלייטינג די נאָמען פון PHP פּראַסעסאַז און אָפּטימיזינג פאָרשטעלונג סעטטינגס. עס זענען דריי פֿעיִקייטן וואָס זענען ווערט צו באַצאָלן ופמערקזאַמקייט צו:

• נאַמעספּאַסע שטיצן איז באשלאסן דורך צושטאַנד, באזירט אויף קאָנטראָלירונג אַז די שריפט איז פליסנדיק אין דעם קאַנטיינער. דאָס איז נייטיק ווייַל רובֿ קאַנטיינער סעטאַפּס שטיצן נישט נעסטעד פליסנדיק פון קאַנטיינערז.
• אויב עס איז שטיצן פֿאַר נאַמעספּאַסעס, די נאַמעספּאַסע איז פאַרקריפּלט נעץ. דאָס איז נייטיק צו לאָזן וואָרדפּרעסס צו סיימאַלטייניאַסלי פאַרבינדן צו ענדפּוינץ און זיין צוטריטלעך אויף דער אינטערנעץ.
• די מאַקסימום נומער פון פּראַסעסאַז איז באשלאסן ווי גייט: (פאַראַנען זכּרון פֿאַר פליסנדיק MariaDB און NGINX Uniy) / (באַראַן שיעור אין PHP + 5)
  דער ווערט איז באַשטימט אין די NGINX Unit סעטטינגס.

דער ווערט אויך ימפּלייז אַז עס זענען שטענדיק בייַ מינדסטער צוויי PHP פּראַסעסאַז פליסנדיק, וואָס איז וויכטיק ווייַל וואָרדפּרעסס מאכט אַ פּלאַץ פון ייסינגקראַנאַס ריקוועס צו זיך, און אָן נאָך פּראַסעסאַז פליסנדיק, למשל, WP-Cron וועט ברעכן. איר קען וועלן צו פאַרגרעסערן אָדער פאַרמינערן די לימאַץ באזירט אויף דיין היגע סעטטינגס, ווייַל די סעטטינגס באשאפן דאָ זענען קאָנסערוואַטיווע. אין רובֿ פּראָדוקציע סיסטעמען, די סעטטינגס זענען צווישן 10 און 100.

שריפט קאָד

if [ "${container:-unknown}" != "lxc" ] && [ "$(grep -m1 -a container=lxc /proc/1/environ | tr -d '')" == "" ]; then
  NAMESPACES='"namespaces": {
        "cgroup": true,
        "credential": true,
        "mount": true,
        "network": false,
        "pid": true,
        "uname": true
    }'
else
  NAMESPACES='"namespaces": {}'
fi

PHP_MEM_LIMIT="$(grep 'memory_limit' /etc/php/7.4/embed/php.ini | tr -d ' ' | cut -f2 -d= | numfmt --from=iec)"
AVAIL_MEM="$(grep MemAvailable /proc/meminfo | tr -d ' kB' | cut -f2 -d: | numfmt --from-unit=K)"
MAX_PHP_PROCESSES="$(echo "${AVAIL_MEM}/${PHP_MEM_LIMIT}+5" | bc)"
echo " Calculated the maximum number of PHP processes as ${MAX_PHP_PROCESSES}. You may want to tune this value due to variations in your configuration. It is not unusual to see values between 10-100 in production configurations."

echo " Configuring NGINX Unit to use PHP and WordPress"
cat > /tmp/wordpress.json << EOM
{
  "settings": {
    "http": {
      "header_read_timeout": 30,
      "body_read_timeout": 30,
      "send_timeout": 30,
      "idle_timeout": 180,
      "max_body_size": $(numfmt --from=iec ${UPLOAD_MAX_FILESIZE})
    }
  },
  "listeners": {
    "127.0.0.1:8080": {
      "pass": "routes/wordpress"
    }
  },
  "routes": {
    "wordpress": [
      {
        "match": {
          "uri": [
            "*.php",
            "*.php/*",
            "/wp-admin/"
          ]
        },
        "action": {
          "pass": "applications/wordpress/direct"
        }
      },
      {
        "action": {
          "share": "/var/www/wordpress",
          "fallback": {
            "pass": "applications/wordpress/index"
          }
        }
      }
    ]
  },
  "applications": {
    "wordpress": {
      "type": "php",
      "user": "www-data",
      "group": "www-data",
      "processes": {
        "max": ${MAX_PHP_PROCESSES},
        "spare": 1
      },
      "isolation": {
        ${NAMESPACES}
      },
      "targets": {
        "direct": {
          "root": "/var/www/wordpress/"
        },
        "index": {
          "root": "/var/www/wordpress/",
          "script": "index.php"
        }
      }
    }
  }
}
EOM

curl -X PUT --data-binary @/tmp/wordpress.json --unix-socket /run/control.unit.sock http://localhost/config

באַשטעטיקן NGINX

קאַנפיגיער יקערדיק NGINX סעטטינגס

דער שריפט קריייץ אַ וועגווייַזער פֿאַר די NGINX קאַש און דעמאָלט קריייץ די הויפּט קאַנפיגיעריישאַן טעקע nginx.conf. באַצאָלן ופמערקזאַמקייַט צו די נומער פון האַנדלער פּראַסעסאַז און די מאַקסימום טעקע גרייס באַשטעטיקן פֿאַר אראפקאפיע. עס איז אויך אַ שורה אויף וואָס די קאַמפּרעשאַן סעטטינגס טעקע, דיפיינד אין דער ווייַטער אָפּטיילונג, איז קאָננעקטעד, נאכגעגאנגען דורך קאַטשינג סעטטינגס.

שריפט קאָד

# Make directory for NGINX cache
mkdir -p /var/cache/nginx/proxy

echo " Configuring NGINX"
cat > ${NGINX_CONF_DIR}/nginx.conf << EOM
user nginx;
worker_processes auto;
error_log  /var/log/nginx/error.log warn;
pid        /var/run/nginx.pid;
events {
    worker_connections  1024;
}
http {
    include       ${NGINX_CONF_DIR}/mime.types;
    default_type  application/octet-stream;
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';
    access_log  /var/log/nginx/access.log  main;
    sendfile        on;
    client_max_body_size ${UPLOAD_MAX_FILESIZE};
    keepalive_timeout  65;
    # gzip settings
    include ${NGINX_CONF_DIR}/gzip_compression.conf;
    # Cache settings
    proxy_cache_path /var/cache/nginx/proxy
        levels=1:2
        keys_zone=wp_cache:10m
        max_size=10g
        inactive=60m
        use_temp_path=off;
    include ${NGINX_CONF_DIR}/conf.d/*.conf;
}
EOM

באַשטעטיקן NGINX קאַמפּרעשאַן

קאַמפּרעסינג אינהאַלט אויף די פליען איידער שיקן עס צו קלייאַנץ איז אַ גרויס וועג צו פֿאַרבעסערן פּלאַץ פאָרשטעלונג, אָבער בלויז אויב קאַמפּרעשאַן איז קאַנפיגיערד ריכטיק. דער אָפּטיילונג פון די שריפט איז באזירט אויף די סעטטינגס פונ דאַנעט.

שריפט קאָד

cat > ${NGINX_CONF_DIR}/gzip_compression.conf << 'EOM'
# Credit: https://github.com/h5bp/server-configs-nginx/
# ----------------------------------------------------------------------
# | Compression                                                        |
# ----------------------------------------------------------------------
# https://nginx.org/en/docs/http/ngx_http_gzip_module.html
# Enable gzip compression.
# Default: off
gzip on;
# Compression level (1-9).
# 5 is a perfect compromise between size and CPU usage, offering about 75%
# reduction for most ASCII files (almost identical to level 9).
# Default: 1
gzip_comp_level 6;
# Don't compress anything that's already small and unlikely to shrink much if at
# all (the default is 20 bytes, which is bad as that usually leads to larger
# files after gzipping).
# Default: 20
gzip_min_length 256;
# Compress data even for clients that are connecting to us via proxies,
# identified by the "Via" header (required for CloudFront).
# Default: off
gzip_proxied any;
# Tell proxies to cache both the gzipped and regular version of a resource
# whenever the client's Accept-Encoding capabilities header varies;
# Avoids the issue where a non-gzip capable client (which is extremely rare
# today) would display gibberish if their proxy gave them the gzipped version.
# Default: off
gzip_vary on;
# Compress all output labeled with one of the following MIME-types.
# `text/html` is always compressed by gzip module.
# Default: text/html
gzip_types
  application/atom+xml
  application/geo+json
  application/javascript
  application/x-javascript
  application/json
  application/ld+json
  application/manifest+json
  application/rdf+xml
  application/rss+xml
  application/vnd.ms-fontobject
  application/wasm
  application/x-web-app-manifest+json
  application/xhtml+xml
  application/xml
  font/eot
  font/otf
  font/ttf
  image/bmp
  image/svg+xml
  text/cache-manifest
  text/calendar
  text/css
  text/javascript
  text/markdown
  text/plain
  text/xml
  text/vcard
  text/vnd.rim.location.xloc
  text/vtt
  text/x-component
  text/x-cross-domain-policy;
EOM

באַשטעטיקן NGINX פֿאַר וואָרדפּרעסס

דערנאָך, דער שריפט קריייץ אַ קאַנפיגיעריישאַן טעקע פֿאַר וואָרדפּרעסס default.conf אין דעם קאַטאַלאָג קאָנפ.ד. דאָ עס איז קאַנפיגיערד:

• אַקטאַווייטינג TLS סערטיפיקאַץ באקומען פון Let's Encrypt דורך Certbot (קאַנפיגיערינג עס וועט זיין אין דער ווייַטער אָפּטיילונג)
• קאַנפיגיער TLS זיכערהייט סעטטינגס באזירט אויף רעקאַמאַנדיישאַנז פון Let's Encrypt
• געבן סקיפּט בעטן קאַטשינג פֿאַר 1 שעה דורך פעליקייַט
• דיסייבאַל אַקסעס לאָגינג, ווי געזונט ווי טעות לאָגינג אויב די טעקע איז ניט געפֿונען, פֿאַר צוויי פּראָסט געבעטן טעקעס: favicon.ico און robots.txt
• לייקענען צוטריט צו פאַרבאָרגן טעקעס און עטלעכע טעקעס .פפּצו פאַרמייַדן ומלעגאַל אַקסעס אָדער אַנינטענשאַנאַל קאַטער
• דיסייבאַל אַקסעס לאָגינג פֿאַר סטאַטיק און שריפֿט טעקעס
• באַשטעטיקן דעם טיטל אַקסעס-קאָנטראָל-אַלאַו-אָריגין פֿאַר שריפֿט טעקעס
• אַדינג רוטינג פֿאַר index.php און אנדערע סטאַטיקס.

שריפט קאָד

cat > ${NGINX_CONF_DIR}/conf.d/default.conf << EOM
upstream unit_php_upstream {
    server 127.0.0.1:8080;
    keepalive 32;
}
server {
    listen 80;
    listen [::]:80;
    # ACME-challenge used by Certbot for Let's Encrypt
    location ^~ /.well-known/acme-challenge/ {
      root /var/www/certbot;
    }
    location / {
      return 301 https://${TLS_HOSTNAME}$request_uri;
    }
}
server {
    listen      443 ssl http2;
    listen [::]:443 ssl http2;
    server_name ${TLS_HOSTNAME};
    root        /var/www/wordpress/;
    # Let's Encrypt configuration
    ssl_certificate         ${CERT_DIR}/fullchain.pem;
    ssl_certificate_key     ${CERT_DIR}/privkey.pem;
    ssl_trusted_certificate ${CERT_DIR}/chain.pem;
    include ${NGINX_CONF_DIR}/options-ssl-nginx.conf;
    ssl_dhparam ${NGINX_CONF_DIR}/ssl-dhparams.pem;
    # OCSP stapling
    ssl_stapling on;
    ssl_stapling_verify on;
    # Proxy caching
    proxy_cache wp_cache;
    proxy_cache_valid 200 302 1h;
    proxy_cache_valid 404 1m;
    proxy_cache_revalidate on;
    proxy_cache_background_update on;
    proxy_cache_lock on;
    proxy_cache_use_stale error timeout http_500 http_502 http_503 http_504;
    location = /favicon.ico {
        log_not_found off;
        access_log off;
    }
    location = /robots.txt {
        allow all;
        log_not_found off;
        access_log off;
    }

    # Deny all attempts to access hidden files such as .htaccess, .htpasswd,
    # .DS_Store (Mac)
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban)
    location ~ /. {
        deny all;
    }
    # Deny access to any files with a .php extension in the uploads directory;
    # works in subdirectory installs and also in multi-site network.
    # Keep logging the requests to parse later (or to pass to firewall utilities
    # such as fail2ban).
    location ~* /(?:uploads|files)/.*.php$ {
        deny all;
    }
    # WordPress: deny access to wp-content, wp-includes PHP files
    location ~* ^/(?:wp-content|wp-includes)/.*.php$ {
        deny all;
    }
    # Deny public access to wp-config.php
    location ~* wp-config.php {
        deny all;
    }
    # Do not log access for static assets, media
    location ~* .(?:css(.map)?|js(.map)?|jpe?g|png|gif|ico|cur|heic|webp|tiff?|mp3|m4a|aac|ogg|midi?|wav|mp4|mov|webm|mpe?g|avi|ogv|flv|wmv)$ {
        access_log off;
    }
    location ~* .(?:svgz?|ttf|ttc|otf|eot|woff2?)$ {
        add_header Access-Control-Allow-Origin "*";
        access_log off;
    }
    location / {
        try_files $uri @index_php;
    }
    location @index_php {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        proxy_pass       http://unit_php_upstream;
    }
    location ~* .php$ {
        proxy_socket_keepalive on;
        proxy_http_version 1.1;
        proxy_set_header Connection "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header Host $host;
        try_files        $uri =404;
        proxy_pass       http://unit_php_upstream;
    }
}
EOM

קאַנפיגיער Certbot פֿאַר זאל ס ענקריפּט סערטיפיקאַץ און אויטאָמאַטיש רינוינג זיי

סערטבאָט איז אַ פריי געצייַג פון די עלעקטראָניש פראָנטיער וויקיפּעדיע (EFF) וואָס אַלאַוז איר צו באַקומען און אויטאָמאַטיש באַנייַען TLS סערטיפיקאַץ פֿון Let's Encrypt. דער שריפט פּערפאָרמז די פאלגענדע סטעפּס צו קאַנפיגיער Certbot צו פּראָצעס סערטיפיקאַץ פֿון Let's Encrypt אין NGINX:

• סטאַפּס NGINX
• דאַונלאָודז רעקאַמענדיד TLS סעטטינגס
• לויפט Certbot צו באַקומען סערטיפיקאַץ פֿאַר דעם פּלאַץ
• ריסטאַרט NGINX צו נוצן סערטיפיקאַץ
• קאַנפיגיער סערטבאָט צו לויפן טעגלעך בייַ 3:24 צו קאָנטראָלירן פֿאַר באַווייַזן רינואַלז און, אויב נייטיק, אראפקאפיע נייַ סערטיפיקאַץ און ריסטאַרט NGINX.

שריפט קאָד

echo " Stopping NGINX in order to set up Let's Encrypt"
service nginx stop

mkdir -p /var/www/certbot
chown www-data:www-data /var/www/certbot
chmod g+s /var/www/certbot

if [ ! -f ${NGINX_CONF_DIR}/options-ssl-nginx.conf ]; then
  echo " Downloading recommended TLS parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:36:07 GMT" 
    -o "${NGINX_CONF_DIR}/options-ssl-nginx.conf" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot-nginx/certbot_nginx/_internal/tls_configs/options-ssl-nginx.conf" 
    || echo "Couldn't download latest options-ssl-nginx.conf"
fi

if [ ! -f ${NGINX_CONF_DIR}/ssl-dhparams.pem ]; then
  echo " Downloading recommended TLS DH parameters"
  curl --retry 6 -Ls -z "Tue, 14 Apr 2020 16:49:18 GMT" 
    -o "${NGINX_CONF_DIR}/ssl-dhparams.pem" 
    "https://raw.githubusercontent.com/certbot/certbot/master/certbot/certbot/ssl-dhparams.pem" 
    || echo "Couldn't download latest ssl-dhparams.pem"
fi

# If tls_certs_init.sh hasn't been run before, remove the self-signed certs
if [ ! -d "/etc/letsencrypt/accounts" ]; then
  echo " Removing self-signed certificates"
  rm -rf "${CERT_DIR}"
fi

if [ "" = "${LETS_ENCRYPT_STAGING:-}" ] || [ "0" = "${LETS_ENCRYPT_STAGING}" ]; then
  CERTBOT_STAGING_FLAG=""
else
  CERTBOT_STAGING_FLAG="--staging"
fi

if [ ! -f "${CERT_DIR}/fullchain.pem" ]; then
  echo " Generating certificates with Let's Encrypt"
  certbot certonly --standalone 
         -m "${WORDPRESS_ADMIN_EMAIL}" 
         ${CERTBOT_STAGING_FLAG} 
         --agree-tos --force-renewal --non-interactive 
         -d "${TLS_HOSTNAME}"
fi

echo " Starting NGINX in order to use new configuration"
service nginx start

# Write crontab for periodic Let's Encrypt cert renewal
if [ "$(crontab -l | grep -m1 'certbot renew')" == "" ]; then
  echo " Adding certbot to crontab for automatic Let's Encrypt renewal"
  (crontab -l 2>/dev/null; echo "24 3 * * * certbot renew --nginx --post-hook 'service nginx reload'") | crontab -
fi

נאָך קוסטאָמיזאַטיאָן פון דיין פּלאַץ

מיר גערעדט אויבן וועגן ווי אונדזער שריפט קאַנפיגיער NGINX און NGINX Unit צו דינען אַ פּראָדוקציע-גרייט וועבזייטל מיט TLSSSL ענייבאַלד. איר קען אויך, דיפּענדינג אויף דיין באדערפענישן, לייגן אין דער צוקונפֿט:

• שטיצן בראָטלי, ימפּרוווד אויף-דעם-פליען קאַמפּרעשאַן איבער הטטפּס
• מאָדסעקוריטי с כּללים פֿאַר וואָרדפּרעססצו פאַרמייַדן אָטאַמייטיד אנפאלן אויף דיין פּלאַץ
• באַקקופּ פֿאַר וואָרדפּרעסס, פּאַסיק פֿאַר איר
• שוץ דורך אַפּפּאַרמאָר (אויף ובונטו)
• פּאָסטפיקס אָדער מסמטפּ אַזוי וואָרדפּרעסס קענען שיקן פּאָסט
• קאָנטראָלירן דיין פּלאַץ אַזוי איר פֿאַרשטיין ווי פיל פאַרקער עס קענען שעפּן

פֿאַר אפילו בעסער פּלאַץ פאָרשטעלונג, מיר רעקאָמענדירן אַפּגריידינג צו NGINX Plus, אונדזער געשעפט-מיינונג געשעפט פּראָדוקט באזירט אויף די אָפֿן מקור NGINX. זיין אבאנענטן וועלן באַקומען אַ דינאַמיקאַללי לאָודיד Brotli מאָדולע, ווי געזונט ווי (פֿאַר אַן נאָך אָפּצאָל) NGINX ModSecurity WAF. מיר אויך פאָרשלאָגן NGINX אַפּ פּראָטעקט, אַ WAF מאָדולע פֿאַר NGINX Plus באזירט אויף אינדוסטריע-לידינג זיכערהייט טעכנאָלאָגיע פֿון F5.

נב פֿאַר שטיצן פון אַ הויך-מאַסע וועבזייטל, איר קענט קאָנטאַקט ספּעשאַלאַסץ Southbridge. מיר וועלן ענשור שנעל און פאַרלאָזלעך אָפּעראַציע פון ​​דיין וועבזייטל אָדער דינסט אונטער קיין מאַסע.

מקור: www.habr.com