详解用nginx+WordPress搭建个人博客全流程
作者:木滕子轩 发布时间:2022-03-12 09:39:03
0x00 前言
WordPress是世界上最受欢迎的CMS系统,它是基于php和MySQL技术栈的,并且还有很多插件,可扩展性非常强。正好最近有一台空闲的ECS,于是来搭建一个玩玩。本教程是基于LEMP技术栈来搭建的,各个版本如下:
L版本为CentOS7.6版本,
E版本为nginx1.12.2版本
M版本为Distrib 5.5.60-MariaDB
P版本为php7.2
此外,现在全面https已经是趋势了,自然我们也不能落后,所以还会使用Let's Encrypt来生成免费的SSL证书进行配置
0x01 前置条件
有一个域名,我自己的域名为nomansky.xyz
一台VPS或者云主机,如果是国内的IP需要备案
具有sudo权限或root权限的用户,这里我新建一个wordpress用户来运行程序,并且使用下列命令设置为nologin
a. sudo useradd -s /sbin/nologin wordpress
使用sudo yum install -y epel-release安装了epel源
关闭firewalld,我更喜欢用iptables来做安全加固
a. sudo systemctl stop firewalld
b. sudo systemctl disable firewalld
0x02 安装nginx
执行sudo yum install nginx安装nginx
启动nginx守护进程并设置为开机自启
a. sudo systemctl start nginx
b. sudo systemctl enable nginx
将wordpress用户加入到nginx组usermod -a -G nginx wordpress,同时设置目录权限chmod 770 -R /var/lib/nginx/
此时访问 http://nomansky.xyz 即可看到如下页面,则说明nginx安装成功了
0x03安装Mariadb
Mariadb作为MySQL的一个开源的分支,已经成为了CentOS用来替换MySQL的默认的数据库,所以我这里也使用Mariadb作为数据库。
执行sudo yum install mariadb-server -y来安装mariadb
启动Mariadb并设置为开机自启
a. sudo systemctl start mariadb
b. sudo systemctl enable mariadb
执行sudo mysql_secure_installation来加固Mariadb。你会看到要求设置数据库root密码、移除匿名用户、限制只能通过localhost登陆数据库root用户和移除test数据库,这里推荐全部选Y(YES),如下图所示,默认的数据库root密码为空
除此之外,还要把mariadb监听的地址改为127.0.0.1:3306
a. vim /etc/my.cnf.d/server.cnf
打开Mariadb的配置文件
b. 在[mysqld]
下面加上bind=127.0.0.1
,如下图所示
c. 执行systemctl restart mariadb
重启数据库
d. 执行netstat -lntp
可以看到已经监听为本地回环地址了
0x04 创建数据库
在安装完mariadb数据库,并对其进行加固后,我们自然需要新建一个数据库来存放数据,这里首先我们用之前设置的root账号密码来登陆数据库mysql -uroot -p
,并执行以下几条语句
CREATE DATABASE wordpress CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci; # 创建数据库
GRANT ALL ON wordpress.* TO 'wordpress'@'localhost' IDENTIFIED BY '你的密码'; # 创建用户
FLUSH PRIVILEGES; # 刷新数据库权限
EXIT;
0x05 安装PHP
CentOS的PHP默认版本为5.4,但是WordPress推荐的版本为7.2,所以我们这里安装php7.2的版本
执行下列命令安装php和所有需要的php扩展
sudo yum install yum-utils
sudo yum install http://rpms.remirepo.net/enterprise/remi-release-7.rpm
sudo yum-config-manager --enable remi-php72
sudo yum install php-cli php-fpm php-mysql php-json php-opcache php-mbstring php-xml php-gd php-curl
我们安装PHP FPM是因为我们是用Nginx作为web server,而Nginx并没有自带这个组件。此外,PHP FPM 默认是以apache用户运行在9000端口,我们把这个用户改为wordpress并且把它从TCP Socket改为Unix Socket,具体怎么修改查看下面的步骤
打开/etc/php-fpm.d/www.conf
,并修改如下地方
...
user = wordpress
...
group = wordpress
...
listen = /run/php-fpm/www.sock
...
listen.owner = wordpress
listen.group = wordpress
用命令sudo chown -R root:wordpress /var/lib/php
确保目录的所有组权限为wordpress
重启并开机自启动PHP FPM
a. sudo systemctl restart php-fpm
b. sudo systemctl enable php-fpm
0x06 申请免费证书
作为一个技(qiong)术(bi)宅,自然有免费的证书就肯定用免费的。因此我们可以申请免费的Let's Encrypt证书,这个证书不但免费,而且操作非常简单,虽然每次只有90天的有效期,但可以通过脚本配置crontab定期更新。
a. mkdir -p /etc/nginx/ssl
目录存放证书
b. openssl genrsa 4096 > account.key
进入这个目录,创建一个 RSA 私钥用于 Let's Encrypt 识别你的身份
c. openssl genrsa 4096 > domain.key
创建域名RSA私钥
d. openssl req -new -sha256 -key domain.key -out domain.csr
有了私钥文件,就可以生成 CSR 文件了。生成CSR会要求填入一些东西信息,这里Common Name为你的域名
我们知道,CA 在签发 DV(Domain Validation)证书时,需要验证域名所有权。传统 CA 的验证方式一般是往 admin@yoursite.com 发验证邮件,而 Let's Encrypt 是在你的服务器上生成一个随机验证文件,再通过创建 CSR 时指定的域名访问,如果可以访问则表明你对这个域名有控制权。所以首先创建用于存放验证文件的目录,例如:mkdir /home/wordpress/challenges
然后配置一个HTTP服务,以Nginx为例:
server {
server_name www.nomansky.xyz nomansky.xyz;
location ^~ /.well-known/acme-challenge/ {
alias /home/wordpress/challenges/;
try_files $uri =404;
}
location / {
rewrite ^/(.*)$ https://nomansky.xyz/$1 permanent;
}
}
以上配置表示查找 /home/wordpress/challenges/ 目录下的文件,如果找不到就重定向到 HTTPS 地址。这个验证服务以后更新证书还要用到,要一直保留。
接下来把acme-tiny保存到ssl目录wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py
然后指定账户私钥、CSR 以及验证目录,执行脚本python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /home/wordpress/challenges/ > ./signed.crt
,看到如下图所示,则说明生成成功了
最后还要下载Let's Encrypt 的中间证书,配置HTTPS证书时既不要漏掉中间证书,也不要包含根证书。在 Nginx 配置中,需要把中间证书和网站证书合在一起:
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
为了后续能顺利启用OCSP Stapling,我们再把根证书和中间证书合在一起(此步也可省略)
wget -O - https://letsencrypt.org/certs/isrgrootx1.pem > root.pem
cat intermediate.pem root.pem > full_chained.pem
Let's Encrypt签发的证书只有90天有效期,推荐使用脚本定期更新。创建一个renew_cert.sh
并通过chmod a+x renew_cert.sh
赋予执行权限。文件内容如下:
#!/bin/bash
cd /etc/nginx/ssl/
python acme_tiny.py --account-key account.key --csr domain.csr --acme-dir /home/wordpress/challenges/ > signed.crt || exit
wget -O - https://letsencrypt.org/certs/lets-encrypt-x3-cross-signed.pem > intermediate.pem
cat signed.crt intermediate.pem > chained.pem
systemctl restart nginx
在crontabl中配置定时任务0 0 1 * * /etc/nginx/ssl/renew_cert.sh >/dev/null 2>&1
0x07 下载WordPress并配置Nginx
将WordPress下载到/home/wordpress/
目录下wget https://wordpress.org/latest.tar.gz
tar zxvf latest.tar.gz
解压WordPress文件
chown -R wordpress:wordpress wordpress
将wordpress目录的所有者改为wordpress用户
接着,打开vim /etc/nginx/nginx.conf
将nginx的运行角色改为wordpress
···
user wordpress;
worker_processes auto;
···
然后这里我把处于解耦合的目的,把主配置文件nginx.conf里的server配置块注释掉
新建sudo mkdir /etc/nginx/snippets
目录并vim letsencrypt.conf
来将以下配置粘贴到里面
location ^~ /.well-known/acme-challenge/ {
alias /home/wordpress/challenges/;
try_files $uri =404;
}
接下来新建vim /etc/nginx/conf.d/wordpress.conf
配置文件,修改成如下配置
# Redirect HTTP -> HTTPS
server {
listen 80;
server_name www.nomansky.xyz nomansky.xyz;
include snippets/letsencrypt.conf;
return 301 https://nomansky.xyz$request_uri;
}
# Redirect WWW -> NON WWW
server {
listen 443 ssl http2;
server_name www.nomansky.xyz;
ssl_certificate /etc/nginx/ssl/chained.pem;
ssl_certificate_key /etc/nginx/ssl/domain.key;
return 301 https://nomansky.com$request_uri;
}
server {
listen 443 ssl http2;
server_name nomansky.com;
root /home/wordpress/wordpress;
index index.php;
# SSL parameters
ssl_certificate /etc/nginx/ssl/chained.pem;
ssl_certificate_key /etc/nginx/ssl/domain.key;
# log files
access_log /home/wordpress/log/nomansky.xyz.access.log;
error_log /home/wordpress/log/nomansky.xyz.error.log;
location = /favicon.ico {
log_not_found off;
access_log off;
}
location = /robots.txt {
allow all;
log_not_found off;
access_log off;
}
location / {
try_files $uri $uri/ /index.php?$args;
}
location ~ \.php$ {
try_files $uri =404;
fastcgi_pass unix:/run/php-fpm/www.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg)$ {
expires max;
log_not_found off;
}
创建日志目录mkdir -p /home/wordpress/log
,并设置权限chown -R wordpress:wordpress /home/wordpress/log
nginx -t
查看是否是否语法检查正常,如正常则nginx -s reload
重载nginx
接下来看到WordPress页面成功打开了,就此大功告成啦
来源:https://segmentfault.com/a/1190000018964702
猜你喜欢
- 9月13日,php论坛程序phpwind 8.7正式版于当日下午4时发布。阿里巴巴旗下通用型建站软件与服务提供商phpwind官方在此前已经
- 在网络上,匿名FTP是一个很常用的服务,常用于网站,软件交流网站等,为了提高匿名FTP服务开放的过程中的安全性,我们就这一问题进行一些讨论。
- 1.基于域名的虚拟主机(不同域名相同IP和端口)向DNS服务提供虚拟Web站点的域名,以便当访问其中任何一个虚拟Web站点时,最终访问的都是
- 随着校园网络建设和应用的逐步深入,越来越多的学校建立了自己的Web服务器。IIS(Internet Information Server)作
- Foxmail Server(以下简称FMS)可以搭建出功能强大的邮件服务器。本文以FMS For Windows 2.0为例,从其设置、管
- 这几天着实为sql注入漏洞伤了神,网上的代码好多不是很深奥就是麻烦。终于找到了万能防注代码,分享了,呵呵 。操作简单上手,只要来个包含或放入
- 1:“曾经有一个很好的网站摆在我的面前,可是我没有好好维护,等到失去的时候才追悔莫及,人世间最痛苦的事情莫过于此。如果上天能够给我一个好站,
- 百度site:首页出现"访问本页面,您的浏览器需要支持JavaScript".这样的情况,对于一个刚刚引起搜索引擎重视的
- linux 基础配置python3的linux环境编译安装1.linux下安装软件的方式 -首选yum工具,方便,自行解决软件之
- 0.前言之前在学springcloud的时候,提到有些项目还是使用zookeeper作为注册中心。因此决定掌握这个技能,但是本地为了测试而部
- 前言本文主要给大家详细解析了关于Tomcat中catalina.bat原理的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细
- 服务器安全狗Linux版(SafeDog for Linux Server)是为Linux服务器开发的一款服务器管理软件,它集成了系统参数快
- 一、Rewrite规则简介:Rewirte主要的功能就是实现URL的跳转,它的正则表达式是基于Perl语言。可基于服务器级的(httpd.c
- 在论坛更换域名后,由于地址发生了变化,导致一些还是保留原地址的链接发生错误,表现为图片不显示,附件不能下载等一些问题。解决这些问题的根本办法
- 一、Windows Server2003的安装1、安装系统最少两需要个分区,分区格式都采用NTFS格式2、在断开网络的情况安装好2003系统
- 1.安装docker pull httpd2.创建文件夹mkdir -p /usr/docker_data/statics /
- 怎么推销和提高自己的网站呢.让自己网站的流量多起来。比如我们网站:环球二手机电www.16h26.com一般说推销自己网站,无非就是传统那些
- 火狐公布火狐4.0版的更多技术详情北京时间5月11日消息,据国外媒体报道,火狐(Firefox)浏览器开发商Mozilla技术开发副总裁迈克
- 人们在Internet上最常使用的就是电子邮件,很多企业用户也经常使用电子邮件系统。在Unix系统中,Sendmail是应用最广的电子邮件服
- 看到这样的广告太多了, 看到那些上完此类课程的人后写的感慨也不少, 相信各位也看了不少, 大家有什么感觉?我的一个感觉就是, 结果都差不多。