Изпълняване на WordPress на OpenBSD 6.5 с OpenBSDs HTTPD

Въведение

Колкото по-близо поддържате вашата OpenBSD инсталация по подразбиране и без толкова добавени пакети, толкова по-сигурна ще бъде тя. Докато по-често срещаната настройка за WordPress е използването на Apache и PHP, определено е възможно (и за предпочитане) да използвате вградения httpd на OpenBSD. Този урок ще ви помогне да започнете с пълна настройка на сертификат Let's Encrypt, уеб сървър и WordPress. Ще ви е необходим root достъп, за да можете да направите това.

Първоначална конфигурация

Ако все още не сте го направили, ще трябва да създадете /etc/doas.confфайл. В doasзаповедта е лесна подмяна OpenBSD за sudo.

su -
echo "permit nopass keepenv :wheel" > /etc/doas.conf

Трябва да кажем на OpenBSD къде се намират пакетите. Това се случва във /etc/installurlфайла.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Сега трябва да добавим PHP и някои допълнителни модули, от които WordPress ще се нуждае, за да обработва неща като изображения и криптиране. Когато бъдете подканени, изберете да инсталирате най-новия пакет на PHP. Едно нещо, което трябва да направите, е да копирате iniфайловете на модула от примерната директория в основната. Това трябва да се направи, за да се активират допълнителните PHP модули.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli pecl73-mcrypt pecl73-imagick 
doas su -
cp /etc/php-7.3.sample/* /etc/php-7.3/.

Получете сертификати Let's Encrypt

OpenBSD има страхотно приложение, наречено acme-client. Тази малка иновация е това, което ще генерира ключ за вашия акаунт, частен ключ и ще получите сертификат за вас. acme-клиентът зависи от наличието на уеб сървър, така че ние дефинираме бърза дефиниция на сървъра по подразбиране.

С любимия си редактор създайте /etc/httpd.conf. Ще добавим другите дефиниции на сървъра към файла по-късно. Това, което трябва да направим сега, е да подготвим httpd за изпълнение на предизвикателството-отговор, за да получим безплатен, валиден SSL сертификат.

prefork 5
types { include "/usr/share/misc/mime.types" }

server "default" {
    listen on egress port 80
    root "/htdocs"
    directory index "index.html"

    location "/.well-known/acme-challenge/*" {
        request strip 2
        root "/acme"
    }
}

Също така, като използвате любимия си редактор, създайте /etc/acme-client.conf.

authority letsencrypt {
    api url "https://acme-v01.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-privkey.pem"
}

authority letsencrypt-staging {
    api url "https://acme-staging.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-staging-privkey.pem"
}

domain example.com {
    alternative names { www.example.com }
    domain key "/etc/ssl/private/example.com.key"
    domain full chain certificate "/etc/ssl/example.com.fullchain.pem"
    sign with letsencrypt
}

Активирайте и стартирайте httpd, след което вземете издаден сертификат. Ще видите, че е издаден сертификат.

doas rcctl enable httpd php73_fpm
doas rcctl start httpd
doas acme-client -ADFv example.com
doas rcctl stop httpd

Добавяне на определения на сървъра

Добавете следните конфигурационни редове към /etc/httpd.conf, непосредствено след дефинициите Let's Encrypt. Настройте httpd да извършва пренасочване от http към https, защото имате безплатен SSL сертификат и никога не искате да рискувате да изпратите потребителско име и парола през несигурна връзка. Обърнете внимание на реда, location "/posts/*"това е частта, която прави постоянните връзки на WordPress да изглеждат красиво. Също така, тази конфигурация съдържа начин да помогне за предотвратяване на опитите с груба сила за влизане в администраторския сайт на WordPress.

server "example.com" {
    listen on egress port 80
    alias "www.example.com"
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "example.com" {
    listen on egress tls port 443
    alias "www.example.com"
    root "/htdocs/example.com
    directory index "index.php"

     location "/posts/*" {
        fastcgi {
             param SCRIPT_FILENAME "/htdocs/example.com/index.php"
             socket "/run/php-fpm.sock"
        }
     }

     location "/wp-json/*" {
        fastcgi {
           param SCRIPT_FILENAME "/htdocs/example.com/index.php"
            socket "/run/php-fpm.sock"
        }
     }

    location "/wp-login.php*" {
        authenticate "WordPress" with "/htdocs/htpasswd"
        fastcgi socket "/run/php-fpm.sock"
     }

    #Uncomment the following lines to disable xmlrpc. You increase security 
    #at the expense of being able to use to use 
    #the Android and iPhone WordPress App.
    #location "xmlrpc.php*" {
    #    block return 404
    #}        

    location "*.php*" {
        fastcgi socket "/run/php-fpm.sock"
     }

    tls {
        certificate "/etc/ssl/example.com.fullchain.pem"
        key "/etc/ssl/private/example.com.key"
    }
}

Създайте файл с потребителско име и парола за допълнително ниво на сигурност на администраторския сайт на WordPress. Изберете добра парола. Това ще ви подкани да въведете потребителско име и парола, за да стартирате wp-login.phpскрипта.

doas su
cd /var/www/htdocs
htpasswd htpasswd wp_user
chown www:www htpasswd
chmod 0640 htpasswd

Подгответе и конфигурирайте MariaDB

MariaDB е заместваща вилка на MySQL. Трябва да извършим първоначална работа по конфигуриране и подготовка на база данни за WordPress.

Преди да можем да използваме MariaDB ефективно, трябва да позволим на демона mysql да използва повече ресурси, отколкото е по подразбиране. За да направите това, направете следните промени, /etc/login.confкато добавите този запис в долната част.

mysqld:\
    :openfiles-cur=1024:\
    :openfiles-max=2048:\
    :tc=daemon:

Активирайте и стартирайте MariaDB. Тази процедура ще зададе root парола и по желание ще премахне тестовата база данни. Добра идея е да следвате предложенията на етапа на защитена инсталация.

 doas mysql_install_db
 doas rcctl enable mysqld
 doas rcctl start mysqld
 doas mysql_secure_installation

Създайте базата данни на WordPress и потребител на базата данни.

mysql -u root -p 
CREATE DATABASE wordpress;
GRANT ALL PRIVILEGES ON wordpress.* TO 'wp_user'@'localhost' IDENTIFIED BY '<password>';
FLUSH PRIVILEGES;
EXIT

Инсталирайте и конфигурирайте WordPress

WordPress не е имал официален OpenBSD порт от доста време, защото почти работи веднага след изваждането. Изтеглете, извлечете и преместете инсталационната папка на WordPress.

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar xvfz latest.tar.gz
doas mv wordpress /var/www/htdocs/example.com
chown -R www:www /var/www/htdocs/example.com

Трябва да копираме /etc/resolve.confи /etc/hostsда /var/www/etc. Това е така, за да може WordPress успешно да достигне до пазара. Това ще ви е необходимо, за да изтеглите плъгини и теми чрез администраторския сайт на WordPress.

doas mkdir /var/www/etc
doas cp /etc/hosts /var/www/etc/.
doas cp /etc/resolv.conf /var/www/etc/.

Стартирайте httpd и php73_fpm.

doas rcctl start httpd php73_fpm

Прегледайте URL адреса, който сте използвали в дефиницията на вашия сървър. Ще видите съветника за инсталиране на WordPress. За опцията сървър на база данни заменете localhost с 127.0.0.1.

След като WordPress бъде инсталиран, е време да настроите постоянните връзки, така че да изглеждат по-удобни за SEO. От администраторския екран на WordPress отидете на Settings -> Permalinks. Кликнете върху Custom Structureи въведете /posts/%postname%. След като направите тази промяна, щракнете върху Save Changesбутона. Вече имате много по-добре изглеждащи връзки. Например, постоянна връзка ще изглежда така:https://example.com/posts/example-blog-post