WordPress darbināšana uz OpenBSD 6.6 ar OpenBSD HTTPD

• Ievads
• Sākotnējā konfigurācija
• Iegūstiet Let's Encrypt sertifikātus
• HTTPD konfigurēšana darbam ar WordPress
• Sagatavojiet un konfigurējiet PHP un PHP-FPM
• Sagatavojiet un konfigurējiet MariaDB
• Instalējiet un konfigurējiet WordPress
• Jūsu WordPress vietnes un datu bāzes dublēšana
• Jūsu WordPress vietnes atjaunošana

Ievads

Ņemot vērā OpenBSD tieksmi pēc drošības, ir jēga tikai ar to darbināt savu WordPress vietni, jo īpaši tāpēc, ka WordPress un PHP mēdz būt kustīgi mērķi skriptu bērniem. Tā kā OpenBSD httpd ir paredzēts galvenokārt statisku lapu apkalpošanai, POST darbības ir rezervētas fastcgi un slowcgi procesiem. Tādējādi negodīgam dalībniekam ir grūtāk potenciāli pārtraukt tīmekļa servera procesu un piekļūt jūsu serverim. POST darbības tiek virzītas uz fastcgi procesu un izmanto ārēju tulku. Šajā rakstā tiks apspriesta ne tikai jūsu WordPress vietnes iestatīšana, bet arī daži pamata uzturēšanas paņēmieni un vietnes un tās datu bāzes dublēšana un atjaunošana. Visur, kur redzat example.comdomēnu, lūdzu, aizstājiet to ar savu domēnu.

Sākotnējā konfigurācija

Ja vēl neesat to izdarījis, jums būs jāizveido /etc/doas.conffails. Komanda doas ir OpenBSD vienkārša sudo aizstāšana. Ērtības labad esmu pievienojis opciju nopass, lai, lietojot doas, jums nebūtu atkārtoti jāievada parole. Ja nevēlaties to darīt, vienkārši izlaidiet nopass.

su - echo "permit nopass keepenv :wheel" > /etc/doas.conf

Atkarībā no tā, kā OpenBSD tika iepakots izvietošanai, dažreiz pakotņu pārvaldniekam var nebūt konfigurēta repozitorija. Lai konfigurētu OpenBSD oficiālo repozitoriju, mums ir jāizveido /etc/installurlfails.

doas su echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl exit

Tagad mums ir jāpievieno PHP un daži papildu moduļi, kas WordPress būs nepieciešami, lai apstrādātu tādas lietas kā attēli un šifrēšana. Kad tiek prasīts, izvēlieties instalēt jaunāko PHP pakotni. Viena lieta, kas jums jādara, ir kopēt moduļa ini failus no parauga direktorijas uz galveno. Tas ir jādara, lai iespējotu papildu PHP moduļus.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli php-zip pecl73-mcrypt pecl73-imagick wget doas cp /etc/php-7.3.sample/* /etc/php-7.3/.

Iegūstiet Let's Encrypt sertifikātus

Mūsdienu pasaulē tīmekļa vietnes ir jāapkalpo, izmantojot SSL, pretējā gadījumā meklētājprogrammas var tikt pazeminātas. Par laimi, OpenBSD ir lieliska lietojumprogramma, ko sauc par acme-client. acme-klients automātiski ģenerēs jaunu privāto atslēgu un pieprasīs jaunu pilnībā derīgu sertifikātu. ACme-klients ir atkarīgs no tā, vai ir izveidots tīmekļa serveris, tāpēc mums būs jāizveido ātra noklusējuma servera definīcija.

Izmantojot savu iecienītāko redaktoru, izveidojiet /etc/httpd.conf. Pārējās servera definīcijas failam pievienosim vēlāk. Pagaidām ar to pietiks, lai acme-client darbotos pareizi.

prefork 5 types { include "/usr/share/misc/mime.types" } server "default" { listen on egress port 80 root "/htdocs" directory index "index.html" location "/.well-known/acme-challenge/*" { request strip 2 root "/acme" } }

Izmantojot arī savu iecienītāko redaktoru, izveidojiet /etc/acme-client.conf.

authority letsencrypt { api url "https://acme-v02.api.letsencrypt.org/directory" account key "/etc/acme/letsencrypt-privkey.pem" } authority letsencrypt-staging { api url "https://acme-staging-v02.api.letsencrypt.org/directory" account key "/etc/acme/letsencrypt-staging-privkey.pem" } domain example.com { alternative names { www.example.com } domain key "/etc/ssl/private/example.com.key" domain full chain certificate "/etc/ssl/example.com.crt" sign with letsencrypt }

Tagad mums ir jāiespējo un jāsāk httpd. Kad tas būs izdarīts, mēs varam palaist acme-client un gaidīt, līdz tas iegūs mūsu jauno, jauno sertifikātu. Kad mēs to izdarīsim, mēs pievienosim cron darbu, lai automātiski pieprasītu jaunu ik pēc 7 dienām, tāpēc mums nav jāuztraucas par derīguma termiņa beigām.

doas rcctl enable httpd doas rcctl start httpd doas acme-client -v example.com

Tagad mēs izveidojam cron darbu. Pievienojiet šo rindiņu zem paša pēdējā ieraksta. Šajā gadījumā mēs sakām acme-client pieprasīt jauno sertifikātu pulksten 1:00 katru sestdienu.

doas crontab -e 0 1 * * 6 acme-client -F example.com && rcctl reload httpd

HTTPD konfigurēšana darbam ar WordPress

Tagad ir pienācis laiks iestatīt httpd vietnei WordPress. Tā vietā, lai mūsu vietnes definīciju ievietotu tieši mapē /etc/httpd.conf, mēs to ievietosim atsevišķā failā /etc/httpd.conf.example.comun iekļausim galvenajā konfigurācijas failā. Parasti ir laba prakse abus nošķirt, saglabājot vietnes mēroga definīcijas galvenajā konfigurācijas failā un domēna iestatījumus citā.

/etc/httpd.confFaila apakšā pievienojiet šādu rindiņu :

include "/etc/httpd.conf.example.com"

Tagad, izmantojot savu iecienītāko redaktoru, izveidojiet savu /etc/httpd.conf.example.com. Ērtības labad mēs jūsu domēnam izveidosim atsevišķus žurnālfailus. Tas atvieglo jūsu vietnes iespējamo problēmu novēršanu.

server "example.com" { listen on egress port 80 alias "www.example.com" # Automatically redirect to SSL block return 302 "https://$SERVER_NAME$REQUEST_URI" log { access "access-example.com" error "error-example.com" } } server "example.com" { listen on egress tls port 443 alias "www.example.com" root "/htdocs/wordpress" directory index "index.php" log { access "access-example.com" error "error-example.com" } tcp { nodelay, backlog 10 } tls { certificate "/etc/ssl/example.com.crt" key "/etc/ssl/private/example.com.key" } hsts { # max-age value is the number of seconds in 1 year max-age 31556952 preload subdomains } location "/.well-known/acme-challenge/*" { root "/acme" request strip 2 } location "/posts/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/page/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/feed/*" { fastcgi { param SCRIPT_FILENAME \ "/htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/comments/feed/*" { fastcgi { param SCRIPT_FILENAME \ "htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/wp-json/*" { fastcgi { param SCRIPT_FILENAME \ "htdocs/wordpress/index.php" socket "/run/php-fpm.sock" } } location "/wp-login.php*" { authenticate "WordPress" with "/htdocs/htpasswd" fastcgi socket "/run/php-fpm.sock" } location "*.php*" { fastcgi socket "/run/php-fpm.sock" } }

Lai nodrošinātu lielāku drošību, piesakoties WordPress administrēšanas vietnē, mēs ieviesīsim papildu uzvedni lietotājvārdam un parolei. Tā kā skriptu bērniem patīk atkārtoti mēģināt brutālu spēku izmantot WordPress pieteikšanos, mēs izveidojam papildu pieteikšanos tīmekļa servera līmenī. Parasti viņi saņem apmēram 5 minējumus, pirms WordPress izdod 401. neatļautu kļūdu.

doas su cd /var/www/htdocs doas htpasswd htpasswd <user> doas chown www:www htpasswd doas chmod 0640 htpasswd doas rcctl reload httpd

Sagatavojiet un konfigurējiet PHP un PHP-FPM

Mums ir jāveic izmaiņas php, lai jūsu WordPress instalācija varētu nosūtīt e-pastus. WordPress un daži spraudņi paļaujas uz iespēju sūtīt e-pasta ziņojumus, informējot jūs par jauninājumiem, brīdinājumiem un izmaiņām. Nespēja nosūtīt e-pastus var sabojāt noteiktas WordPress funkcijas. Tā kā httpd darbojas chrootētā vidē, mums ir jāpasaka php, kā nosūtīt e-pastus. Turklāt mums ir jāveic dažas veiktspējas nedēļas līdz php-fpm.

Meklējiet sendmail_pathrindiņu /etc/php-7.3.iniun veiciet šādas izmaiņas:

; For Unix only. You may supply arguments as well (default: "sendmail -t -i"). ; sendmail_path = sendmail_path = /bin/femail -t -i

Meklējiet tālāk norādītās rindiņas /etc/php-fpm.confun mainiet tās šādi:

pm.start_servers = 5 pm.min_spare_servers = 1 pm.max_spare_servers = 6

Nākamais solis ir iespējot un palaist php-fpm.

doas rcctl enable php73_fpm doas rcctl start php73_fpm

Sagatavojiet un konfigurējiet MariaDB

MariaDB ir MySQL nomaiņas dakša. Mums ir jāveic daži sākotnējās konfigurācijas un datu bāzes sagatavošanas darbi WordPress.

Lai mēs varētu efektīvi izmantot MariaDB, mums ir jāļauj mysql dēmonam izmantot vairāk resursu nekā noklusējuma. Lai to izdarītu, veiciet tālāk norādītās izmaiņas /etc/login.conf, pievienojot šo ierakstu apakšā.

mysqld:\ :openfiles-cur=1024:\ :openfiles-max=2048:\ :tc=daemon:

Mums ir jāveic dažas izmaiņas MariaDB konfigurācijas failā, /etc/my.cnf. Ja mysql klients un serveris sazinās, izmantojot UNIX domēna ligzdu, nevis TCP, jūsu servera atmiņas lietojumu var samazināt. Jums nav jāveic visas tālāk ieteiktās izmaiņas. Divi svarīgi, kas jāmaina, ir socketlīnija un komentārs bind-address. Tādējādi ligzda tiek pārvietota /var/wwwchroot vides iekšpusē, lai WordPress varētu izveidot savienojumu ar datu bāzi. Komentējot bind-addressrindiņu, mēs neļaujam MariaDB klausīties, izmantojot TCP portu.

[client-server] socket=/var/www/var/run/mysql/mysql.sock #port=3306 # This will be passed to all MariaDB clients [client] #password=my_password # The MariaDB server [mysqld] # To listen to all IPv4 network addresses, use "bind-address = 0.0.0.0" #bind-address=127.0.0.1 # Directory where you want to put your data #data=/var/mysql # This is the prefix name to be used for all log, error and replication files #log-basename=mysqld # Logging #log-bin=/var/mysql/mariadb-bin #max_binlog_size=100M #binlog_format=row #expire_logs_days = 7 #general-log #slow_query_log query_cache_type = 1 query_cache_limit = 1M query_cache_size = 16M

Tagad mums ir jāpalaiž MariaDB instalēšanas binārais fails un jāiespējo un jāsāk MariaDB. Šī procedūra iestatīs root paroli un pēc izvēles atmetīs testa datubāzi. Drošās instalēšanas posmā ir ieteicams ievērot visus ieteikumus.

doas mysql_install_db doas rcctl enable mysqld doas rcctl start mysqld doas mysql_secure_installation

Izveidojiet WordPress datu bāzi un datu bāzes lietotāju. Atcerieties aizstāt <wp_user>ar izvēlēto datu bāzes lietotājvārdu un <password>sarežģītu paroli pēc jūsu izvēles.

mysql -u root -p CREATE DATABASE wordpress; GRANT ALL PRIVILEGES ON wordpress.* TO '<wp_user>'@'localhost' IDENTIFIED BY '<password>'; FLUSH PRIVILEGES; EXIT

Instalējiet un konfigurējiet WordPress

WordPress jau labu laiku nav bijis oficiāla OpenBSD porta, jo tas gandrīz darbojas uzreiz no kastes. Lejupielādējiet, izņemiet un pārvietojiet WordPress instalācijas mapi.

cd /tmp wget https://wordpress.org/latest.tar.gz tar xvfz latest.tar.gz doas mv wordpress /var/www/htdocs/. doas chown -R www:www /var/www/htdocs/wordpress doas chmod 0755 /var/www/htdocs/wordpress cd /var/www/htdocs/wordpress/ find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \;

Mums ir jākopē /etc/resolv.confun /etc/hostsuz direktoriju, kuru mēs izveidosim ar nosaukumu /var/www/etc. Tas ir tāpēc, lai WordPress varētu veiksmīgi sasniegt tirgu. Tas būs nepieciešams, lai lejupielādētu spraudņus un motīvus, izmantojot WordPress administratora vietni. Ir arī svarīgi, lai Jet Pack spraudnis darbotos pareizi.

doas mkdir /var/www/etc doas cp /etc/hosts /var/www/etc/. doas cp /etc/resolv.conf /var/www/etc/.

No šejienes pārlūkojiet savu WordPress vietni, izmantojot https, izmantojot vietrādi URL, ko norādījāt tīmekļa servera definīcijā. Ja viss darbojas pareizi, jums vajadzētu redzēt WordPress instalēšanas vedni. Kad nonākat pie iespējas norādīt datu bāzes serveri, jums vajadzētu izmantotlocalhost:/var/run/mysql/mysql.sock

Kad WordPress ir instalēts, ir pienācis laiks iestatīt pastāvīgās saites, lai tās izskatītos SEO draudzīgākas. WordPress administratora ekrānā dodieties uz Settings -> Permalinks. Noklikšķiniet uz Pielāgota struktūra un ierakstiet /posts/%postname%. Pēc šo izmaiņu veikšanas noklikšķiniet uz pogas Saglabāt izmaiņas. Tagad jums ir daudz skaistāka izskata saites. Piemēram, pastāvīgā saite izskatīsies šādi:https://example.com/posts/example-blog-post

No šejienes jums vajadzētu būt gatavai pamata vietnei. Noteikti instalējiet tādus spraudņus kā Jet Pack un WP-Super Cache. Spraudnis WP-Super Cache palīdz paātrināt jūsu vietni, saglabājot tīmekļa lapas kešatmiņā un novēršot pastāvīgu datu meklēšanu, un JetPack sniedz lielisku skatītāju statistiku.

Jūsu WordPress vietnes un datu bāzes dublēšana

Pats par sevi saprotams, ka vietnes un datu bāzes dublēšana ir ļoti svarīga. Par laimi, tas ir salīdzinoši viegli izdarāms. Dublējiet abus savā mājas direktorijā un pēc tam varat tos kopēt, izmantojot scp, uz citu vietu. Varat arī izveidot momentuzņēmumu, izmantojot Vultr vadības paneli. Tā ir laba ideja darīt abus.

cd /var/www/htdocs tar cvfz wordpress.tgz wordpress/ cp wordpress.tgz /home/user mysqldump -u root -p wordpress > wordpress.sql && gzip wordpress.sql

Jūsu WordPress vietnes atjaunošana

Ja datu bāze ir bojāta un ir nepieciešama atjaunošana, rīkojieties šādi:

gunzip wordpress.sql.gz mysql -u root -p wordpress DROP USER '<user>'@'localhost'; DROP DATABASE wordpress; CREATE DATABASE wordpress; GRANT ALL PRIVILEGES ON wordpress.* TO '<wp_user>'@'localhost' IDENTIFIED BY '<password>'; FLUSH PRIVILEGES; EXIT mysql -u root -p wordpress < wordpress.sql

Ja esat veicis izmaiņas WordPress skripta failā, kas kaut ko sabojāja, vienmēr varat atkārtoti instalēt WordPress, izmantojot administratora vadības paneli. Atrodiet Updatessadaļu un noklikšķiniet uz saites. Meklējiet pogu ar apzīmējumu Re-install Now. Tas vismaz novērsīs bojāto, taču lielākajai daļai jūsu konfigurācijas vajadzētu palikt neskartai.

Ja jūsu datu bāze ir labā stāvoklī, bet esat nejauši rediģējis failu un sabojājis lietas tiktāl, ka nevarat pat piekļūt WordPress administratora konsolei, rīkojieties šādi:

rm /var/www/htdocs/wordpress cp /home/user/wordpress.tgz /tmp tar xvfz wordpress.tgz mv wordpress /var/www/htdocs/. chown -R www:www /var/www/htdocs/wordpress cd /var/www/htdocs/wordpress find . -type d -exec chmod 755 {} \; find . -type f -exec chmod 644 {} \;