Kör WordPress på OpenBSD 6.5 med OpenBSDs HTTPD

Introduktion

Ju närmare du håller din OpenBSD-installation till standarden och utan så många tillagda paket, desto säkrare blir den. Medan den vanligare installationen för WordPress är att använda Apache och PHP, är det definitivt möjligt (och att föredra) att använda OpenBSDs inbyggda httpd. Den här handledningen kommer att komma igång med en komplett installation av ett Let's Encrypt-certifikat, en webbserver och WordPress. Du behöver root-åtkomst för att kunna göra detta.

Initial konfiguration

Om du inte redan har gjort det måste du skapa en /etc/doas.conffil. Den doaskommandot är OpenBSD är lätt ersättning för sudo.

su -
echo "permit nopass keepenv :wheel" > /etc/doas.conf

Vi måste berätta för OpenBSD var paketen finns. Detta händer i /etc/installurlfilen.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Nu måste vi lägga till PHP och några extra moduler som WordPress kommer att behöva för att hantera saker som bilder och kryptering. När du uppmanas, välj att installera det senaste paketet med PHP. En sak du måste göra är att kopiera modulfilerna inifrån exempelkatalogen till huvudkatalogen. Detta måste göras för att aktivera de ytterligare PHP-modulerna.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli pecl73-mcrypt pecl73-imagick 
doas su -
cp /etc/php-7.3.sample/* /etc/php-7.3/.

Skaffa Let's Encrypt-certifikat

OpenBSD har en fantastisk applikation som heter acme-client. Denna lilla innovation är vad som kommer att generera din kontonyckel, privata nyckel och få ett certifikat åt dig. Acme-klienten är beroende av att ha en webbserver på plats så vi definierar en snabb standardserverdefinition.

Med din favoritredigerare skapar du /etc/httpd.conf. Vi kommer att lägga till de andra serverdefinitionerna till filen senare. Vad vi behöver göra nu är att förbereda httpd för att utföra utmaningssvaret för att få ett gratis, giltigt SSL-certifikat.

prefork 5
types { include "/usr/share/misc/mime.types" }

server "default" {
    listen on egress port 80
    root "/htdocs"
    directory index "index.html"

    location "/.well-known/acme-challenge/*" {
        request strip 2
        root "/acme"
    }
}

Skapa också med din favoritredigerare /etc/acme-client.conf.

authority letsencrypt {
    api url "https://acme-v01.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-privkey.pem"
}

authority letsencrypt-staging {
    api url "https://acme-staging.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-staging-privkey.pem"
}

domain example.com {
    alternative names { www.example.com }
    domain key "/etc/ssl/private/example.com.key"
    domain full chain certificate "/etc/ssl/example.com.fullchain.pem"
    sign with letsencrypt
}

Aktivera och starta httpd och få sedan ett certifikat utfärdat. Du kommer att se att ett certifikat har utfärdats.

doas rcctl enable httpd php73_fpm
doas rcctl start httpd
doas acme-client -ADFv example.com
doas rcctl stop httpd

Lägga till serverdefinitioner

Lägg till följande konfigurationsrader till /etc/httpd.conf, precis efter Let's Encrypt-definitionerna. Ställ in httpd för att utföra en omdirigering från http till https eftersom du har ett gratis SSL-certifikat och du vill aldrig riskera att skicka inloggning och lösenord via en osäker länk. Notera raden, det location "/posts/*"här är stycket som får WordPress-permalänkarna att se vackra ut. Den här konfigurationen innehåller också ett sätt att förhindra brute-force-försök att logga in på WordPress-administratörswebbplatsen.

server "example.com" {
    listen on egress port 80
    alias "www.example.com"
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "example.com" {
    listen on egress tls port 443
    alias "www.example.com"
    root "/htdocs/example.com
    directory index "index.php"

     location "/posts/*" {
        fastcgi {
             param SCRIPT_FILENAME "/htdocs/example.com/index.php"
             socket "/run/php-fpm.sock"
        }
     }

     location "/wp-json/*" {
        fastcgi {
           param SCRIPT_FILENAME "/htdocs/example.com/index.php"
            socket "/run/php-fpm.sock"
        }
     }

    location "/wp-login.php*" {
        authenticate "WordPress" with "/htdocs/htpasswd"
        fastcgi socket "/run/php-fpm.sock"
     }

    #Uncomment the following lines to disable xmlrpc. You increase security 
    #at the expense of being able to use to use 
    #the Android and iPhone WordPress App.
    #location "xmlrpc.php*" {
    #    block return 404
    #}        

    location "*.php*" {
        fastcgi socket "/run/php-fpm.sock"
     }

    tls {
        certificate "/etc/ssl/example.com.fullchain.pem"
        key "/etc/ssl/private/example.com.key"
    }
}

Skapa användarnamnet och lösenordsfilen för en extra säkerhetsnivå för WordPress adminwebbplats. Välj ett bra lösenord. Detta kommer att uppmana dig att ange ett användarnamn och lösenord för att köra wp-login.phpskriptet.

doas su
cd /var/www/htdocs
htpasswd htpasswd wp_user
chown www:www htpasswd
chmod 0640 htpasswd

Förbered och konfigurera MariaDB

MariaDB är en drop-in ersättningsgaffel för MySQL. Vi behöver göra en del inledande konfigurations- och databasförberedelser för WordPress.

Innan vi kan använda MariaDB effektivt måste vi tillåta mysql-demonen att använda fler resurser än standarden. För att göra detta, gör följande ändringar /etc/login.confgenom att lägga till denna post längst ned.

mysqld:\
    :openfiles-cur=1024:\
    :openfiles-max=2048:\
    :tc=daemon:

Aktivera och starta MariaDB. Denna procedur kommer att ställa in ett root-lösenord och eventuellt släppa testdatabasen. Det är en bra idé att följa förslagen i det säkra installationsstadiet.

 doas mysql_install_db
 doas rcctl enable mysqld
 doas rcctl start mysqld
 doas mysql_secure_installation

Skapa WordPress-databasen och databasanvändaren.

mysql -u root -p 
CREATE DATABASE wordpress;
GRANT ALL PRIVILEGES ON wordpress.* TO 'wp_user'@'localhost' IDENTIFIED BY '<password>';
FLUSH PRIVILEGES;
EXIT

Installera och konfigurera WordPress

WordPress har inte haft en officiell OpenBSD-port på ett bra tag eftersom det i stort sett fungerar direkt ur lådan. Ladda ner, extrahera och flytta WordPress-installationsmappen.

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar xvfz latest.tar.gz
doas mv wordpress /var/www/htdocs/example.com
chown -R www:www /var/www/htdocs/example.com

Vi måste kopiera /etc/resolve.confoch /etc/hoststill /var/www/etc. Detta för att WordPress framgångsrikt ska kunna nå marknaden. Du behöver detta för att ladda ner plugins och teman via WordPress adminwebbplats.

doas mkdir /var/www/etc
doas cp /etc/hosts /var/www/etc/.
doas cp /etc/resolv.conf /var/www/etc/.

Starta httpd och php73_fpm.

doas rcctl start httpd php73_fpm

Bläddra till webbadressen som du använde i din serverdefinition. Du kommer att se installationsguiden för WordPress. För alternativet Databasserver, ersätt localhost med 127.0.0.1.

När WordPress väl har installerats är det dags att ställa in permalänkarna så att de ser mer SEO-vänliga ut. Från WordPress adminskärm, gå till Settings -> Permalinks. Klicka på Custom Structureoch skriv /posts/%postname%. När du har gjort denna ändring klickar du på Save Changesknappen. Du har nu mycket snyggare länkar. Till exempel kommer en permalänk att se ut så här:https://example.com/posts/example-blog-post