WordPressi käitamine OpenBSD 6.6-s koos OpenBSD HTTPD-ga

• Sissejuhatus
• Esialgne konfiguratsioon
• Hankige Let's Encrypt sertifikaadid
• HTTPD konfigureerimine WordPressi jaoks
• Valmistage ette ja konfigureerige PHP ja PHP-FPM
• Valmistage ette ja konfigureerige MariaDB
• Installige ja konfigureerige WordPress
• WordPressi veebisaidi ja andmebaasi varundamine
• WordPressi veebisaidi taastamine

Sissejuhatus

Arvestades OpenBSD kalduvust turvalisuse poole, on mõttekas ainult oma WordPressi veebisaiti sellega toita, eriti kuna WordPress ja PHP kipuvad olema skriptilapsed liikuvad sihtmärgid. Kuna OpenBSD httpd on mõeldud peamiselt staatiliste lehtede teenindamiseks, on POST-i toimingud reserveeritud fastcgi ja slowcgi protsesside jaoks. See raskendab petturitel potentsiaalselt veebiserveri protsessi katkestamist ja juurdepääsu teie serverile. POST-i toimingud suunatakse fastcgi protsessi ja kasutavad välist tõlki. Selles artiklis käsitletakse mitte ainult WordPressi saidi seadistamist, vaid ka mõningaid põhilisi hooldustehnikaid ning seda, kuidas oma saiti ja selle andmebaasi varundada ja taastada. Kõikjal, kus näete example.comdomeeni, asendage see oma domeeniga.

Esialgne konfiguratsioon

Kui te pole seda veel teinud, peate looma /etc/doas.conffaili. Käsk doas on OpenBSD lihtne sudo asendus. Mugavuse huvides olen lisanud nopassi võimaluse, et te ei peaks doas'i kasutamisel parooli uuesti sisestama. Kui soovite seda mitte kasutada, jätke lihtsalt nopass välja.

su - echo "permit nopass keepenv :wheel" > /etc/doas.conf

Olenevalt sellest, kuidas OpenBSD juurutamiseks oli pakitud, ei pruugi paketihalduril hoidlat olla seadistatud. OpenBSD ametliku hoidla seadistamiseks peame /etc/installurlfaili looma .

doas su echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl exit

Nüüd peame lisama PHP ja mõned lisamoodulid, mida WordPress vajab, et käsitleda selliseid asju nagu pildid ja krüptimine. Kui küsitakse, installige uusim PHP pakett. Üks asi, mida peate tegema, on kopeerida mooduli ini failid näidiskataloogist põhikataloogi. Seda tuleb teha täiendavate PHP-moodulite lubamiseks.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli php-zip pecl73-mcrypt pecl73-imagick wget doas cp /etc/php-7.3.sample/* /etc/php-7.3/.

Hankige Let's Encrypt sertifikaadid

Tänapäeva maailmas tuleb veebisaite teenindada SSL-i kaudu, vastasel juhul peavad otsingumootorid neid alandama. Õnneks on OpenBSD-l suurepärane rakendus nimega acme-client. acme-klient genereerib automaatselt uue privaatvõtme ja taotleb uut täielikult kehtivat sertifikaati. acme-klient sõltub veebiserveri olemasolust, seega peame looma kiire vaikeserveri määratluse.

Looge oma lemmikredaktoriga /etc/httpd.conf. Ülejäänud serveri definitsioonid lisame faili hiljem. Praegu piisab sellest, et acme-klient korralikult toimiks.

prefork 5 types { include "/usr/share/misc/mime.types" } server "default" { listen on egress port 80 root "/htdocs" directory index "index.html" location "/.well-known/acme-challenge/*" { request strip 2 root "/acme" } }

Kasutage ka oma lemmikredaktorit, looge /etc/acme-client.conf.

authority letsencrypt { api url "https://acme-v02.api.letsencrypt.org/directory" account key "/etc/acme/letsencrypt-privkey.pem" } authority letsencrypt-staging { api url "https://acme-staging-v02.api.letsencrypt.org/directory" account key "/etc/acme/letsencrypt-staging-privkey.pem" } domain example.com { alternative names { www.example.com } domain key "/etc/ssl/private/example.com.key" domain full chain certificate "/etc/ssl/example.com.crt" sign with letsencrypt }

Nüüd peame lubama ja käivitama httpd. Kui oleme seda teinud, saame käivitada acme-client ja oodata, kuni see saab meie värske, uue sertifikaadi. Pärast seda lisame cron töö, et iga 7 päeva järel automaatselt uut taotleda, et me ei peaks aegumise pärast muretsema.

doas rcctl enable httpd doas rcctl start httpd doas acme-client -v example.com

Nüüd loome cron töö. Lisage see rida kõige viimase sissekande alla. Sel juhul ütleme acme-kliendile, et ta taotleks uut sertifikaati igal laupäeval kell 1:00.

doas crontab -e 0 1 * * 6 acme-client -F example.com && rcctl reload httpd

HTTPD konfigureerimine WordPressi jaoks

Nüüd on aeg seadistada httpd WordPressi jaoks. Selle asemel, et paigutada oma veebisaidi määratlus otse /etc/httpd.confkausta , paigutame selle eraldi faili nimega /etc/httpd.conf.example.comja lisame selle põhikonfiguratsioonifaili. Üldiselt on hea tava need kaks eraldada, hoides saidiülesed määratlused oma põhikonfiguratsioonifailis ja domeenispetsiifilised sätted teises.

Lisage /etc/httpd.conffaili allossa järgmine rida :

include "/etc/httpd.conf.example.com"

Nüüd looge oma lemmikredaktoriga oma /etc/httpd.conf.example.com. Mugavuse huvides loome teie domeeni jaoks eraldi logifailid. See muudab teie saidiga seotud võimalike probleemide lahendamise lihtsamaks.

server "example.com" { listen on egress port 80 alias "www.example.com" # Automatically redirect to SSL block return 302 "https://$SERVER_NAME$REQUEST_URI" log { access "access-example.com" error "error-example.com" } } server "example.com" { listen on egress tls port 443 alias "www.example.com" root "/htdocs/wordpress" directory index "index.php" log { access "access-example.com" error "error-example.com" } tcp { nodelay, backlog 10 } tls { certificate "/etc/ssl/example.com.crt" key "/etc/ssl/private/example.com.key" } hsts { # max-age value is the number of seconds in 1 year max-age 31556952 preload subdomains } location "/.well-known/acme-challenge/*" { root "/acme" request strip 2 } location "/posts/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/page/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/feed/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/comments/feed/*" { fastcgi { param SCRIPT_FILENAME \ "htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/wp-json/*" { fastcgi { param SCRIPT_FILENAME \ "htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/wp-login.php*" { authenticate "WordPress" with "/htdocs/htpasswd" fastcgi socket "/run/php-fpm.sock" } location "*.php*" { fastcgi socket "/run/php-fpm.sock" } }

Turvalisuse suurendamiseks rakendame WordPressi haldussaidile sisselogimisel täiendava kasutajanime ja parooli küsimise. Kuna skriptilapsed armastavad WordPressi sisselogimist korduvalt proovida ja jõhkralt jõustada, loome täiendava sisselogimise veebiserveri tasemel. Tavaliselt saavad nad umbes 5 oletust enne, kui WordPress viskab 401 Volitamata vea.

doas su cd /var/www/htdocs doas htpasswd htpasswd <user> doas chown www:www htpasswd doas chmod 0640 htpasswd doas rcctl reload httpd

Valmistage ette ja konfigureerige PHP ja PHP-FPM

Peame php-s muutma, et teie WordPressi installimine saaks e-kirju saata. WordPress ja mõned pistikprogrammid tuginevad võimalusele saata e-kirju, mis teavitavad teid täiendustest, hoiatustest ja muudatustest. E-kirjade saatmise võimetus võib WordPressi teatud funktsioone rikkuda. Kuna httpd töötab chrootitud keskkonnas, peame php-le ütlema, kuidas e-kirju saata. Lisaks peame php-fpm jaoks tegema mõned jõudlusnädalad.

Otsige sendmail_pathsisse rida /etc/php-7.3.inija tehke järgmine muudatus:

; For Unix only. You may supply arguments as well (default: "sendmail -t -i"). ; sendmail_path = sendmail_path = /bin/femail -t -i

Otsige üles järgmised read /etc/php-fpm.confja muutke neid järgmiselt.

pm.start_servers = 5 pm.min_spare_servers = 1 pm.max_spare_servers = 6

Järgmine samm on php-fpm lubamine ja käivitamine.

doas rcctl enable php73_fpm doas rcctl start php73_fpm

Valmistage ette ja konfigureerige MariaDB

MariaDB on MySQL-i asendushark. Peame WordPressi jaoks tegema esialgse konfiguratsiooni ja andmebaasi ettevalmistamise tööd.

Enne kui saame MariaDB tõhusalt kasutada, peame lubama mysql-deemonil kasutada vaikeväärtusest rohkem ressursse. Selleks tehke järgmised muudatused /etc/login.conf, lisades selle allosas oleva kirje.

mysqld:\ :openfiles-cur=1024:\ :openfiles-max=2048:\ :tc=daemon:

Peame MariaDB konfiguratsioonifailis tegema mõned muudatused /etc/my.cnf. Kui mysql klient ja server suhtlevad TCP asemel UNIX-i domeenisokli kaudu, saab teie serveri mälukasutust madalamal hoida. Te ei pea tegema kõiki allpool soovitatud muudatusi. Kaks olulist muutmist on socketrida ja selle kommenteerimine bind-address. See liigutab pesa /var/wwwchroot-keskkonnas, et WordPress saaks andmebaasiga ühenduse luua. Kommenteerides bind-addressrida, takistame MariaDB-l TCP-porti kuulamast.

[client-server] socket=/var/www/var/run/mysql/mysql.sock #port=3306 # This will be passed to all MariaDB clients [client] #password=my_password # The MariaDB server [mysqld] # To listen to all IPv4 network addresses, use "bind-address = 0.0.0.0" #bind-address=127.0.0.1 # Directory where you want to put your data #data=/var/mysql # This is the prefix name to be used for all log, error and replication files #log-basename=mysqld # Logging #log-bin=/var/mysql/mariadb-bin #max_binlog_size=100M #binlog_format=row #expire_logs_days = 7 #general-log #slow_query_log query_cache_type = 1 query_cache_limit = 1M query_cache_size = 16M

Nüüd peame käivitama MariaDB installi binaarfaili ning lubama ja käivitama MariaDB. See protseduur määrab juurparooli ja valikuliselt loobub testandmebaasist. Turvalise installimise etapis on hea mõte järgida kõiki soovitusi.

doas mysql_install_db doas rcctl enable mysqld doas rcctl start mysqld doas mysql_secure_installation

Looge WordPressi andmebaas ja andmebaasi kasutaja. Ärge unustage asendada <wp_user>oma valitud andmebaasi kasutajanimega ja teie valitud <password>keerulise parooliga.

mysql -u root -p CREATE DATABASE wordpress; GRANT ALL PRIVILEGES ON wordpress.* TO '<wp_user>'@'localhost' IDENTIFIED BY '<password>'; FLUSH PRIVILEGES; EXIT

Installige ja konfigureerige WordPress

WordPressil pole juba mõnda aega ametlikku OpenBSD-porti olnud, sest see töötab peaaegu kohe karbist välja võttes. Laadige alla, ekstraktige ja teisaldage WordPressi installikaust.

cd /tmp wget https://wordpress.org/latest.tar.gz tar xvfz latest.tar.gz doas mv wordpress /var/www/htdocs/. doas chown -R www:www /var/www/htdocs/wordpress doas chmod 0755 /var/www/htdocs/wordpress cd /var/www/htdocs/wordpress/ find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \;

Peame kopeerima /etc/resolv.confja /etc/hostskataloogi, mille me loome nimega /var/www/etc. Seda selleks, et WordPress saaks edukalt turule jõuda. Seda on vaja pistikprogrammide ja teemade allalaadimiseks WordPressi administraatori saidi kaudu. Samuti on oluline, et Jet Packi pistikprogramm töötaks korralikult.

doas mkdir /var/www/etc doas cp /etc/hosts /var/www/etc/. doas cp /etc/resolv.conf /var/www/etc/.

Siit sirvige oma WordPressi veebisaiti, kasutades https-i veebiserveri määratluses määratud URL-i kaudu. Kui kõik töötab õigesti, peaksite nägema WordPressi installiviisardi. Kui jõuate andmebaasiserveri määramise võimaluseni, peaksite kasutamalocalhost:/var/run/mysql/mysql.sock

Kui WordPress on installitud, on aeg seadistada püsilingid, et need näeksid SEO-sõbralikumad välja. Minge WordPressi administraatorikuval lehele Settings -> Permalinks. Klõpsake valikul Kohandatud struktuur ja tippige /posts/%postname%. Pärast selle muudatuse tegemist klõpsake nuppu Salvesta muudatused. Nüüd on teil palju ilusamad lingid. Näiteks näeb püsilink välja selline:https://example.com/posts/example-blog-post

Siit alates peaks teil olema valmis põhiveebisait. Veenduge, et installite pistikprogrammid, nagu Jet Pack ja WP-Super Cache. WP-Super Cache pistikprogramm aitab teie veebisaiti kiirendada, salvestades veebilehti vahemällu ja välistades pidevad andmebaasiotsingud ning JetPack annab teile suurepärase vaatajaskonna statistika.

WordPressi veebisaidi ja andmebaasi varundamine

On ütlematagi selge, et veebisaidi ja andmebaasi varundamine on väga oluline. Õnneks on seda suhteliselt lihtne teha. Varundage mõlemad oma kodukataloogi ja seejärel saate need kopeerida scp kaudu teise asukohta. Pildi saate luua ka Vultri juhtpaneeli kaudu. Hea mõte on teha mõlemat.

cd /var/www/htdocs tar cvfz wordpress.tgz wordpress/ cp wordpress.tgz /home/user mysqldump -u root -p wordpress > wordpress.sql && gzip wordpress.sql

WordPressi veebisaidi taastamine

Kui teie andmebaas on rikutud ja taastamine on vajalik, tehke järgmist.

gunzip wordpress.sql.gz mysql -u root -p wordpress DROP USER '<user>'@'localhost'; DROP DATABASE wordpress; CREATE DATABASE wordpress; GRANT ALL PRIVILEGES ON wordpress.* TO '<wp_user>'@'localhost' IDENTIFIED BY '<password>'; FLUSH PRIVILEGES; EXIT mysql -u root -p wordpress < wordpress.sql

Kui olete muutnud WordPressi skriptifaili, mis rikkus midagi, saate WordPressi alati administraatori juhtpaneeli kaudu uuesti installida. Otsige üles Updatesjaotis ja klõpsake lingil. Otsige nuppu sildiga Re-install Now. See parandab vähemalt katkise, kuid suurem osa teie konfiguratsioonist peaks jääma puutumata.

Kui teie andmebaas on heas korras, kuid olete kogemata faili redigeerinud ja rikkunud asju nii palju, et te ei pääse isegi WordPressi administraatorikonsooli, tehke järgmist.

rm /var/www/htdocs/wordpress cp /home/user/wordpress.tgz /tmp tar xvfz wordpress.tgz mv wordpress /var/www/htdocs/. chown -R www:www /var/www/htdocs/wordpress cd /var/www/htdocs/wordpress find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \;