WordPress draaien op OpenBSD 6.5 met OpenBSDs HTTPD

• Invoering
• Initiële configuratie
• Verkrijg Let's Encrypt Certificates
• De serverdefinities toevoegen
• Bereid en configureer MariaDB
• Installeer en configureer WordPress

Invoering

Hoe dichter u uw OpenBSD-installatie op de standaard instelt en zonder zoveel toegevoegde pakketten, hoe veiliger het zal zijn. Hoewel de meest gebruikelijke setup voor WordPress is om Apache en PHP te gebruiken, is het zeker mogelijk (en bij voorkeur) om de ingebouwde httpd van OpenBSD te gebruiken. Met deze zelfstudie kunt u aan de slag met een volledige installatie van een Let's Encrypt-certificaat, een webserver en WordPress. Je hebt root-toegang nodig om dit te kunnen doen.

Initiële configuratie

Als je dit nog niet hebt gedaan, moet je een /etc/doas.confbestand maken. De doasopdracht is OpenBSD's gemakkelijke vervanging voor sudo.

su -
echo "permit nopass keepenv :wheel" > /etc/doas.conf

We moeten OpenBSD vertellen waar de pakketten zich bevinden. Dit gebeurt in het /etc/installurlbestand.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Nu moeten we PHP en enkele extra modules toevoegen die WordPress nodig heeft om zaken als afbeeldingen en encryptie af te handelen. Kies er desgevraagd voor om het nieuwste pakket PHP te installeren. Een ding dat u moet doen, is de modulebestanden inivan de voorbeelddirectory naar de hoofdmap kopiëren . Dit moet gedaan worden om de aanvullende PHP-modules mogelijk te maken.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli pecl73-mcrypt pecl73-imagick 
doas su -
cp /etc/php-7.3.sample/* /etc/php-7.3/.

Verkrijg Let's Encrypt Certificates

OpenBSD heeft een geweldige applicatie genaamd acme-client. Deze kleine innovatie is wat uw accountsleutel, privésleutel zal genereren en een certificaat voor u zal verkrijgen. De acme-client is afhankelijk van het hebben van een webserver, dus we definiëren een snelle standaardserverdefinitie.

Maak met je favoriete editor /etc/httpd.conf. We zullen de andere serverdefinities later aan het bestand toevoegen. Wat we nu moeten doen, is httpd voorbereiden om de challenge-respons uit te voeren om een ​​gratis, geldig SSL-certificaat te verkrijgen.

prefork 5
types { include "/usr/share/misc/mime.types" }

server "default" {
    listen on egress port 80
    root "/htdocs"
    directory index "index.html"

    location "/.well-known/acme-challenge/*" {
        request strip 2
        root "/acme"
    }
}

Maak ook gebruik van uw favoriete editor /etc/acme-client.conf.

authority letsencrypt {
    api url "https://acme-v01.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-privkey.pem"
}

authority letsencrypt-staging {
    api url "https://acme-staging.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-staging-privkey.pem"
}

domain example.com {
    alternative names { www.example.com }
    domain key "/etc/ssl/private/example.com.key"
    domain full chain certificate "/etc/ssl/example.com.fullchain.pem"
    sign with letsencrypt
}

Schakel httpd in en start het en ontvang vervolgens een certificaat. U zult zien dat er een certificaat is afgegeven.

doas rcctl enable httpd php73_fpm
doas rcctl start httpd
doas acme-client -ADFv example.com
doas rcctl stop httpd

De serverdefinities toevoegen

Voeg de volgende configuratieregels toe /etc/httpd.conf, net na de Let's Encrypt-definities. Stel httpd in om een ​​omleiding van http naar https uit te voeren omdat je een gratis SSL-certificaat hebt en je nooit het risico wilt lopen om een ​​login en wachtwoord te verzenden via een onveilige link. Let op de regel, location "/posts/*"dit is het stuk waardoor de WordPress-permalinks er mooi uitzien. Deze configuratie bevat ook een manier om brute-force-pogingen om in te loggen op de WordPress-beheersite te helpen voorkomen.

server "example.com" {
    listen on egress port 80
    alias "www.example.com"
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "example.com" {
    listen on egress tls port 443
    alias "www.example.com"
    root "/htdocs/example.com
    directory index "index.php"

     location "/posts/*" {
        fastcgi {
             param SCRIPT_FILENAME "/htdocs/example.com/index.php"
             socket "/run/php-fpm.sock"
        }
     }

     location "/wp-json/*" {
        fastcgi {
           param SCRIPT_FILENAME "/htdocs/example.com/index.php"
            socket "/run/php-fpm.sock"
        }
     }

    location "/wp-login.php*" {
        authenticate "WordPress" with "/htdocs/htpasswd"
        fastcgi socket "/run/php-fpm.sock"
     }

    #Uncomment the following lines to disable xmlrpc. You increase security 
    #at the expense of being able to use to use 
    #the Android and iPhone WordPress App.
    #location "xmlrpc.php*" {
    #    block return 404
    #}        

    location "*.php*" {
        fastcgi socket "/run/php-fpm.sock"
     }

    tls {
        certificate "/etc/ssl/example.com.fullchain.pem"
        key "/etc/ssl/private/example.com.key"
    }
}

Maak het gebruikersnaam- en wachtwoordbestand aan voor een extra beveiligingsniveau op de WordPress-beheersite. Kies een goed wachtwoord. Dit zal u om een ​​gebruikersnaam en wachtwoord vragen om het wp-login.phpscript uit te voeren.

doas su
cd /var/www/htdocs
htpasswd htpasswd wp_user
chown www:www htpasswd
chmod 0640 htpasswd

Bereid en configureer MariaDB

MariaDB is een drop-in vervangende vork van MySQL. We moeten wat eerste configuratie- en database-voorbereidingswerk doen voor WordPress.

Voordat we MariaDB effectief kunnen gebruiken, moeten we de mysql-daemon toestaan ​​meer bronnen te gebruiken dan de standaard. Om dit te doen, brengt u de volgende wijzigingen aan /etc/login.confdoor dit item onderaan toe te voegen.

mysqld:\
    :openfiles-cur=1024:\
    :openfiles-max=2048:\
    :tc=daemon:

Schakel MariaDB in en start het. Deze procedure stelt een root-wachtwoord in en laat optioneel de testdatabase vallen. Het is een goed idee om de suggesties te volgen in de veilige installatiefase.

 doas mysql_install_db
 doas rcctl enable mysqld
 doas rcctl start mysqld
 doas mysql_secure_installation

Maak de WordPress-database en database-gebruiker.

mysql -u root -p 
CREATE DATABASE wordpress;
GRANT ALL PRIVILEGES ON wordpress.* TO 'wp_user'@'localhost' IDENTIFIED BY '<password>';
FLUSH PRIVILEGES;
EXIT

Installeer en configureer WordPress

WordPress heeft al geruime tijd geen officiële OpenBSD-poort omdat het vrijwel direct uit de doos werkt. Download, extraheer en verplaats de WordPress-installatiemap.

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar xvfz latest.tar.gz
doas mv wordpress /var/www/htdocs/example.com
chown -R www:www /var/www/htdocs/example.com

We moeten kopiëren /etc/resolve.confen /etc/hostsnaar /var/www/etc. Dit is zodat WordPress de markt succesvol kan bereiken. Je hebt dit nodig om plug-ins en thema's te downloaden via de WordPress-beheerderssite.

doas mkdir /var/www/etc
doas cp /etc/hosts /var/www/etc/.
doas cp /etc/resolv.conf /var/www/etc/.

Start httpd en php73_fpm.

doas rcctl start httpd php73_fpm

Blader naar de URL die u in uw serverdefinitie hebt gebruikt. U ziet de installatiewizard van WordPress. Vervang localhost door de optie Database Server 127.0.0.1.

Zodra WordPress is geïnstalleerd, is het tijd om de permalinks in te stellen zodat ze er SEO-vriendelijker uitzien. Ga vanuit het WordPress-beheerdersscherm naar Settings -> Permalinks. Klik op Custom Structureen typ /posts/%postname%. Klik na het aanbrengen van deze wijziging op de Save Changesknop. Je hebt nu veel mooiere links. Een permalink ziet er bijvoorbeeld als volgt uit:https://example.com/posts/example-blog-post