Запуск WordPress на OpenBSD 6.5 з OpenBSDs HTTPD

Вступ

Чим ближче ви тримаєте установку OpenBSD за замовчуванням і без доданої кількості пакетів, тим безпечніше вона буде. Хоча більш поширеним налаштуванням для WordPress є використання Apache та PHP, безперечно можна (і краще) використовувати вбудований у OpenBSD httpd. Цей посібник допоможе вам розпочати повне налаштування сертифіката Let's Encrypt, веб-сервера та WordPress. Вам знадобиться root-доступ, щоб мати можливість це зробити.

Початкова конфігурація

Якщо ви ще цього не зробили, вам потрібно буде створити /etc/doas.confфайл. doasКоманда легко замінити OpenBSD для sudo.

su -
echo "permit nopass keepenv :wheel" > /etc/doas.conf

Ми повинні повідомити OpenBSD, де знаходяться пакунки. Це відбувається у /etc/installurlфайлі.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Тепер нам потрібно додати PHP і деякі додаткові модулі, які знадобляться WordPress для обробки зображень і шифрування. Коли з’явиться запит, виберіть інсталювати найновіший пакет PHP. Одне, що вам потрібно зробити, це скопіювати iniфайли модуля з каталогу зразка в основний. Це потрібно зробити, щоб увімкнути додаткові модулі PHP.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli pecl73-mcrypt pecl73-imagick 
doas su -
cp /etc/php-7.3.sample/* /etc/php-7.3/.

Отримайте сертифікати Let's Encrypt

OpenBSD має чудову програму під назвою acme-client. Це невелике нововведення створить ключ вашого облікового запису, закритий ключ і отримає сертифікат для вас. Клієнт acme залежить від наявності веб-сервера, тому ми визначаємо швидке визначення сервера за замовчуванням.

За допомогою свого улюбленого редактора створіть /etc/httpd.conf. Ми додамо інші визначення сервера до файлу пізніше. Тепер нам потрібно підготувати httpd для виконання виклику-відповіді, щоб отримати безкоштовний дійсний сертифікат SSL.

prefork 5
types { include "/usr/share/misc/mime.types" }

server "default" {
    listen on egress port 80
    root "/htdocs"
    directory index "index.html"

    location "/.well-known/acme-challenge/*" {
        request strip 2
        root "/acme"
    }
}

Також за допомогою улюбленого редактора створіть /etc/acme-client.conf.

authority letsencrypt {
    api url "https://acme-v01.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-privkey.pem"
}

authority letsencrypt-staging {
    api url "https://acme-staging.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-staging-privkey.pem"
}

domain example.com {
    alternative names { www.example.com }
    domain key "/etc/ssl/private/example.com.key"
    domain full chain certificate "/etc/ssl/example.com.fullchain.pem"
    sign with letsencrypt
}

Увімкніть і запустіть httpd, а потім отримайте сертифікат. Ви побачите, що сертифікат видано.

doas rcctl enable httpd php73_fpm
doas rcctl start httpd
doas acme-client -ADFv example.com
doas rcctl stop httpd

Додавання визначень сервера

Додайте наступні рядки конфігурації до /etc/httpd.conf, відразу після визначень Let's Encrypt. Налаштуйте httpd для переспрямування з http на https, оскільки у вас є безкоштовний сертифікат SSL, і ви ніколи не хочете ризикувати надіслати логін та пароль через незахищене посилання. Зверніть увагу на рядок: location "/posts/*"це той елемент, який робить постійні посилання WordPress красивими. Крім того, ця конфігурація містить спосіб запобігти спробам грубої сили увійти на сайт адміністратора WordPress.

server "example.com" {
    listen on egress port 80
    alias "www.example.com"
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "example.com" {
    listen on egress tls port 443
    alias "www.example.com"
    root "/htdocs/example.com
    directory index "index.php"

     location "/posts/*" {
        fastcgi {
             param SCRIPT_FILENAME "/htdocs/example.com/index.php"
             socket "/run/php-fpm.sock"
        }
     }

     location "/wp-json/*" {
        fastcgi {
           param SCRIPT_FILENAME "/htdocs/example.com/index.php"
            socket "/run/php-fpm.sock"
        }
     }

    location "/wp-login.php*" {
        authenticate "WordPress" with "/htdocs/htpasswd"
        fastcgi socket "/run/php-fpm.sock"
     }

    #Uncomment the following lines to disable xmlrpc. You increase security 
    #at the expense of being able to use to use 
    #the Android and iPhone WordPress App.
    #location "xmlrpc.php*" {
    #    block return 404
    #}        

    location "*.php*" {
        fastcgi socket "/run/php-fpm.sock"
     }

    tls {
        certificate "/etc/ssl/example.com.fullchain.pem"
        key "/etc/ssl/private/example.com.key"
    }
}

Створіть файл імені користувача та пароля для додаткового рівня безпеки сайту адміністратора WordPress. Виберіть хороший пароль. Вам буде запропоновано ввести ім’я користувача та пароль для запуску wp-login.phpсценарію.

doas su
cd /var/www/htdocs
htpasswd htpasswd wp_user
chown www:www htpasswd
chmod 0640 htpasswd

Підготуйте та налаштуйте MariaDB

MariaDB — це вбудована заміна MySQL. Нам потрібно виконати початкову конфігурацію та підготовку бази даних для WordPress.

Перш ніж ми зможемо ефективно використовувати MariaDB, нам потрібно дозволити демону mysql використовувати більше ресурсів, ніж за замовчуванням. Для цього внесіть наступні зміни /etc/login.conf, додавши цей запис унизу.

mysqld:\
    :openfiles-cur=1024:\
    :openfiles-max=2048:\
    :tc=daemon:

Увімкніть і запустіть MariaDB. Ця процедура встановить пароль root і, за бажанням, видалить тестову базу даних. На етапі безпечного встановлення бажано дотримуватися рекомендацій.

 doas mysql_install_db
 doas rcctl enable mysqld
 doas rcctl start mysqld
 doas mysql_secure_installation

Створіть базу даних WordPress і користувача бази даних.

mysql -u root -p 
CREATE DATABASE wordpress;
GRANT ALL PRIVILEGES ON wordpress.* TO 'wp_user'@'localhost' IDENTIFIED BY '<password>';
FLUSH PRIVILEGES;
EXIT

Встановіть та налаштуйте WordPress

У WordPress не було офіційного порту OpenBSD протягом досить тривалого часу, тому що він практично працює прямо з коробки. Завантажте, розпакуйте та перемістіть папку встановлення WordPress.

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar xvfz latest.tar.gz
doas mv wordpress /var/www/htdocs/example.com
chown -R www:www /var/www/htdocs/example.com

Ми повинні скопіювати /etc/resolve.confі /etc/hostsв /var/www/etc. Це робиться для того, щоб WordPress міг успішно вийти на ринок. Це знадобиться вам, щоб завантажувати плагіни та теми через сайт адміністратора WordPress.

doas mkdir /var/www/etc
doas cp /etc/hosts /var/www/etc/.
doas cp /etc/resolv.conf /var/www/etc/.

Запустіть httpd і php73_fpm.

doas rcctl start httpd php73_fpm

Перейдіть до URL-адреси, яку ви використовували у визначенні свого сервера. Ви побачите майстер встановлення WordPress. Для параметра Сервер баз даних замініть localhost на 127.0.0.1.

Після встановлення WordPress настав час налаштувати постійні посилання, щоб вони виглядали більш зручними для SEO. На екрані адміністратора WordPress перейдіть до Settings -> Permalinks. Натисніть Custom Structureі введіть /posts/%postname%. Після внесення цієї зміни натисніть Save Changesкнопку. Тепер у вас є набагато красивіші посилання. Наприклад, постійне посилання буде виглядати так:https://example.com/posts/example-blog-post