Keyrir WordPress á OpenBSD 6.6 með OpenBSDs HTTPD

• Kynning
• Upphafleg stilling
• Fáðu Let's Encrypt vottorð
• Stilla HTTPD fyrir WordPress
• Undirbúa og stilla PHP og PHP-FPM
• Undirbúa og stilla MariaDB
• Settu upp og stilltu WordPress
• Afritaðu WordPress vefsíðuna þína og gagnagrunn
• Endurheimt WordPress vefsíðuna þína

Kynning

Í ljósi þess hve OpenBSD er tilhneigingu til öryggi, þá er bara skynsamlegt að knýja WordPress vefsíðuna þína með því, sérstaklega vegna þess að WordPress og PHP hafa tilhneigingu til að vera hreyfanleg skotmörk fyrir handritsbörn. Þar sem httpd frá OpenBSD er aðallega hannað til að þjóna kyrrstæðum síðum, eru POST aðgerðir fráteknar fyrir fastcgi og slowcgi ferli. Þetta gerir það erfiðara fyrir fantur leikara að brjóta hugsanlega ferli vefþjónsins og fá aðgang að netþjóninum þínum. POST aðgerðir eru sendar í fastcgi ferlið og nota utanaðkomandi túlk. Þessi grein mun ekki aðeins fjalla um uppsetningu WordPress síðunnar þinnar heldur nokkrar grunnviðhaldstækni og hvernig á að taka öryggisafrit og endurheimta síðuna þína og gagnagrunn hennar. Hvar sem þú sérð example.comsem lén, vinsamlegast skiptu því út fyrir lénið þitt.

Upphafleg stilling

Ef þú hefur ekki þegar gert það þarftu að búa til /etc/doas.confskrá. Doas skipunin er auðveld staðgengill OpenBSD fyrir sudo. Til hægðarauka hef ég bætt við nopass valkostinum svo þú þurfir ekki að slá inn lykilorðið þitt aftur þegar þú notar doas. Ef þú vilt ekki hafa þetta skaltu einfaldlega sleppa nopass.

su - echo "permit nopass keepenv :wheel" > /etc/doas.conf

Það fer eftir því hvernig OpenBSD var pakkað fyrir uppsetningu, stundum gæti pakkastjórinn ekki verið með geymslu stillt. Til að stilla OpenBSD opinberu geymsluna verðum við að búa til /etc/installurlskrána.

doas su echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl exit

Nú verðum við að bæta við PHP og nokkrum aukaeiningum sem WordPress mun þurfa til að takast á við hluti eins og myndir og dulkóðun. Þegar beðið er um það skaltu velja að setja upp nýjasta PHP pakkann. Eitt sem þú þarft að gera er að afrita mát ini skrárnar úr sýnishornsskránni yfir í aðalskrána. Þetta verður að gera til að virkja viðbótar PHP einingarnar.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli php-zip pecl73-mcrypt pecl73-imagick wget doas cp /etc/php-7.3.sample/* /etc/php-7.3/.

Fáðu Let's Encrypt vottorð

Í heimi nútímans verður að þjóna vefsíðum með SSL eða horfast í augu við að þær séu lækkaðar af leitarvélum. Sem betur fer er OpenBSD með frábært forrit sem heitir acme-client. Acme-viðskiptavinurinn mun sjálfkrafa búa til nýjan einkalykil og biðja um nýtt fullgilt vottorð. Acme-viðskiptavinurinn er háður því að hafa vefþjón á sínum stað svo við þurfum að búa til fljótlega sjálfgefna miðlaraskilgreiningu.

Búðu til með uppáhalds ritlinum þínum /etc/httpd.conf. Við munum bæta hinum skilgreiningum miðlarans við skrána síðar. Í bili mun þetta vera nóg svo að acme-client virki rétt.

prefork 5 types { include "/usr/share/misc/mime.types" } server "default" { listen on egress port 80 root "/htdocs" directory index "index.html" location "/.well-known/acme-challenge/*" { request strip 2 root "/acme" } }

Notaðu líka uppáhalds ritilinn þinn til að búa til /etc/acme-client.conf.

authority letsencrypt { api url "https://acme-v02.api.letsencrypt.org/directory" account key "/etc/acme/letsencrypt-privkey.pem" } authority letsencrypt-staging { api url "https://acme-staging-v02.api.letsencrypt.org/directory" account key "/etc/acme/letsencrypt-staging-privkey.pem" } domain example.com { alternative names { www.example.com } domain key "/etc/ssl/private/example.com.key" domain full chain certificate "/etc/ssl/example.com.crt" sign with letsencrypt }

Nú verðum við að virkja og ræsa httpd. Þegar við gerum þetta, þá getum við keyrt acme-client og beðið eftir því að fá ferskt, nýja vottorðið okkar. Eftir að við gerum þetta munum við bæta við cron vinnu til að biðja sjálfkrafa um nýtt á 7 daga fresti svo við þurfum ekki að hafa áhyggjur af því að það rennur út.

doas rcctl enable httpd doas rcctl start httpd doas acme-client -v example.com

Nú búum við til cron starfið. Bættu þessari línu við fyrir neðan síðustu færsluna. Í þessu tilviki erum við að segja acme-client að biðja um nýja skírteinið klukkan 01:00 alla laugardaga.

doas crontab -e 0 1 * * 6 acme-client -F example.com && rcctl reload httpd

Stilla HTTPD fyrir WordPress

Nú er kominn tími til að setja upp httpd fyrir WordPress. Í stað þess að setja skilgreiningu vefsíðu okkar beint í /etc/httpd.conf, ætlum við að setja hana í sérstaka skrá sem kallast /etc/httpd.conf.example.comog hafa hana með í aðalstillingarskránni. Það er almennt góð venja að aðskilja þetta tvennt, halda skilgreiningum alls staðar í aðalstillingarskránni þinni og lénssértækum stillingum í annarri.

Bættu eftirfarandi línu neðst á /etc/httpd.confskrána þína:

include "/etc/httpd.conf.example.com"

Notaðu núna uppáhalds ritilinn þinn og búðu til /etc/httpd.conf.example.com. Til hægðarauka ætlum við að búa til sérstakar annálaskrár fyrir lénið þitt. Þetta gerir það auðveldara þegar reynt er að elta uppi hugsanleg vandamál með síðuna þína.

server "example.com" { listen on egress port 80 alias "www.example.com" # Automatically redirect to SSL block return 302 "https://$SERVER_NAME$REQUEST_URI" log { access "access-example.com" error "error-example.com" } } server "example.com" { listen on egress tls port 443 alias "www.example.com" root "/htdocs/wordpress" directory index "index.php" log { access "access-example.com" error "error-example.com" } tcp { nodelay, backlog 10 } tls { certificate "/etc/ssl/example.com.crt" key "/etc/ssl/private/example.com.key" } hsts { # max-age value is the number of seconds in 1 year max-age 31556952 preload subdomains } location "/.well-known/acme-challenge/*" { root "/acme" request strip 2 } location "/posts/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/page/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/feed/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/comments/feed/*" { fastcgi { param SCRIPT_FILENAME \ "htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/wp-json/*" { fastcgi { param SCRIPT_FILENAME \ "htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/wp-login.php*" { authenticate "WordPress" with "/htdocs/htpasswd" fastcgi socket "/run/php-fpm.sock" } location "*.php*" { fastcgi socket "/run/php-fpm.sock" } }

Til að auka öryggi ætlum við að innleiða viðbótarbeiðni um notandanafn og lykilorð þegar þú skráir þig inn á WordPress stjórnunarsíðuna. Þar sem krakkar með smáforrit vilja ítrekað reyna að þvinga WordPress innskráningu fram, búum við til viðbótarinnskráningu á vefþjónsstigi. Venjulega fá þeir um það bil 5 getgátur áður en WordPress kastar 401 óviðkomandi villu.

doas su cd /var/www/htdocs doas htpasswd htpasswd <user> doas chown www:www htpasswd doas chmod 0640 htpasswd doas rcctl reload httpd

Undirbúa og stilla PHP og PHP-FPM

Við verðum að gera breytingu á php svo að WordPress uppsetningin þín geti sent tölvupósta. WordPress og sum viðbætur treysta á getu til að senda tölvupóst sem tilkynnir þér um uppfærslur, viðvaranir og breytingar. Vanhæfni til að senda tölvupóst getur brotið ákveðna eiginleika WordPress. Þar sem httpd keyrir í chrooted umhverfi, verðum við að segja php hvernig á að senda tölvupóst. Ennfremur verðum við að gera nokkrar frammistöðutveisur til php-fpm.

Leitaðu að sendmail_pathlínunni /etc/php-7.3.iniog gerðu eftirfarandi breytingu:

; For Unix only. You may supply arguments as well (default: "sendmail -t -i"). ; sendmail_path = sendmail_path = /bin/femail -t -i

Leitaðu að eftirfarandi línum /etc/php-fpm.confog breyttu þeim sem hér segir:

pm.start_servers = 5 pm.min_spare_servers = 1 pm.max_spare_servers = 6

Næsta skref er að virkja og ræsa php-fpm.

doas rcctl enable php73_fpm doas rcctl start php73_fpm

Undirbúa og stilla MariaDB

MariaDB er drop-in varagafli MySQL. Við þurfum að gera smá grunnstillingar og gagnagrunnsvinnu fyrir WordPress.

Áður en við getum notað MariaDB á áhrifaríkan hátt þurfum við að leyfa mysql púknum að nota fleiri auðlindir en sjálfgefið. Til að gera þetta skaltu gera eftirfarandi breytingar á /etc/login.confmeð því að bæta þessari færslu við neðst.

mysqld:\ :openfiles-cur=1024:\ :openfiles-max=2048:\ :tc=daemon:

Við verðum að gera nokkrar breytingar á MariaDB stillingarskránni, /etc/my.cnf. Með því að láta mysql biðlarann ​​og netþjóninn eiga samskipti í gegnum UNIX lénstengi í stað TCP, getur minnisnotkun netþjónsins haldið minni. Þú þarft ekki að gera allar breytingarnar sem lagðar eru til hér að neðan. Þau tvö mikilvægu atriði sem þarf að breyta eru socketlínan og að gera athugasemdir við bind-addresslínuna. Þetta færir fals inn í /var/wwwchroot umhverfið svo WordPress geti tengst gagnagrunninum. Með því að gera athugasemdir við bind-addresslínuna komum við í veg fyrir að MariaDB hlusti á TCP tengi.

[client-server] socket=/var/www/var/run/mysql/mysql.sock #port=3306 # This will be passed to all MariaDB clients [client] #password=my_password # The MariaDB server [mysqld] # To listen to all IPv4 network addresses, use "bind-address = 0.0.0.0" #bind-address=127.0.0.1 # Directory where you want to put your data #data=/var/mysql # This is the prefix name to be used for all log, error and replication files #log-basename=mysqld # Logging #log-bin=/var/mysql/mariadb-bin #max_binlog_size=100M #binlog_format=row #expire_logs_days = 7 #general-log #slow_query_log query_cache_type = 1 query_cache_limit = 1M query_cache_size = 16M

Nú þurfum við að keyra MariaDB uppsetningartvíundina og virkja og ræsa MariaDB. Þessi aðferð mun setja rót lykilorð og mögulega sleppa prófunargagnagrunninum. Það er góð hugmynd að fylgja öllum tillögum á öruggu uppsetningarstigi.

doas mysql_install_db doas rcctl enable mysqld doas rcctl start mysqld doas mysql_secure_installation

Búðu til WordPress gagnagrunninn og gagnagrunnsnotandann. Mundu að skipta <wp_user>út fyrir valið notandanafn gagnagrunns og <password>með flóknu lykilorði að eigin vali.

mysql -u root -p CREATE DATABASE wordpress; GRANT ALL PRIVILEGES ON wordpress.* TO '<wp_user>'@'localhost' IDENTIFIED BY '<password>'; FLUSH PRIVILEGES; EXIT

Settu upp og stilltu WordPress

WordPress hefur ekki haft opinbera OpenBSD tengi í nokkurn tíma vegna þess að það virkar nokkurn veginn beint úr kassanum. Sæktu, dragðu út og færðu WordPress uppsetningarmöppuna.

cd /tmp wget https://wordpress.org/latest.tar.gz tar xvfz latest.tar.gz doas mv wordpress /var/www/htdocs/. doas chown -R www:www /var/www/htdocs/wordpress doas chmod 0755 /var/www/htdocs/wordpress cd /var/www/htdocs/wordpress/ find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \;

Við verðum að afrita /etc/resolv.confog /etc/hostsyfir í möppu sem við ætlum að búa til sem heitir /var/www/etc. Þetta er til þess að WordPress geti náð árangri á markaðnum. Þú þarft þetta til að hlaða niður viðbætur og þemu í gegnum WordPress admin síðuna. Það er líka mikilvægt að Jet Pack viðbótin virki rétt.

doas mkdir /var/www/etc doas cp /etc/hosts /var/www/etc/. doas cp /etc/resolv.conf /var/www/etc/.

Héðan skaltu fletta að WordPress vefsíðunni þinni með því að nota https í gegnum vefslóðina sem þú tilgreindir í skilgreiningu vefþjónsins. Ef allt virkar rétt ættirðu að sjá WordPress uppsetningarhjálpina. Þegar þú kemur að möguleikanum á að tilgreina gagnagrunnsþjón ættirðu að notalocalhost:/var/run/mysql/mysql.sock

Þegar WordPress hefur verið sett upp er kominn tími til að setja upp permalinkana þannig að þeir líti út fyrir að vera SEO vingjarnlegri. Farðu á WordPress stjórnunarskjáinn Settings -> Permalinks. Smelltu á Sérsniðin uppbygging og sláðu inn /posts/%postname%. Eftir að hafa gert þessa breytingu, smelltu á Vista breytingar hnappinn. Þú ert núna með miklu fallegri tengla. Til dæmis mun permalink líta svona út:https://example.com/posts/example-blog-post

Héðan ættir þú að hafa grunnvefsíðu tilbúinn til notkunar. Gakktu úr skugga um að þú setjir upp viðbætur eins og Jet Pack og WP-Super Cache. WP-Super Cache viðbótin hjálpar til við að flýta fyrir vefsíðunni þinni með því að vista vefsíður í skyndiminni og útrýma stöðugum gagnagrunnsuppflettingum og JetPack gefur þér frábæra áhorfstölfræði.

Afritaðu WordPress vefsíðuna þína og gagnagrunn

Það ætti að vera sjálfsagt að taka öryggisafrit af vefsíðunni þinni og gagnagrunni er mjög mikilvægt. Sem betur fer er þetta tiltölulega auðvelt að gera. Afritaðu bæði í heimaskrána þína og síðan geturðu afritað þau í gegnum scp á annan stað. Þú getur líka búið til skyndimynd í gegnum Vultr stjórnborðið. Það er góð hugmynd að gera bæði.

cd /var/www/htdocs tar cvfz wordpress.tgz wordpress/ cp wordpress.tgz /home/user mysqldump -u root -p wordpress > wordpress.sql && gzip wordpress.sql

Endurheimt WordPress vefsíðuna þína

Ef gagnagrunnurinn þinn skemmdist og endurheimt er nauðsynleg skaltu framkvæma eftirfarandi:

gunzip wordpress.sql.gz mysql -u root -p wordpress DROP USER '<user>'@'localhost'; DROP DATABASE wordpress; CREATE DATABASE wordpress; GRANT ALL PRIVILEGES ON wordpress.* TO '<wp_user>'@'localhost' IDENTIFIED BY '<password>'; FLUSH PRIVILEGES; EXIT mysql -u root -p wordpress < wordpress.sql

Ef þú hefur gert breytingar á WordPress handritaskrá sem braut eitthvað geturðu alltaf sett WordPress upp aftur í gegnum stjórnborðið. Leitaðu að Updateshlutanum og smelltu á hlekkinn. Leitaðu að hnappi sem er merktur Re-install Now. Þetta mun að minnsta kosti laga það sem er bilað en flestar stillingar þínar ættu að vera ósnortnar.

Ef gagnagrunnurinn þinn er í góðu formi, en þú hefur óvart breytt skrá og brotið hluti að því marki að þú kemst ekki einu sinni í WordPress stjórnborðið, gerðu eftirfarandi:

rm /var/www/htdocs/wordpress cp /home/user/wordpress.tgz /tmp tar xvfz wordpress.tgz mv wordpress /var/www/htdocs/. chown -R www:www /var/www/htdocs/wordpress cd /var/www/htdocs/wordpress find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \;