Executando o WordPress no OpenBSD 6.5 com o HTTPBS do OpenBSDs

• Introdução
• Configuração inicial
• Obter Certificados Vamos Criptografar
• Adicionando as definições do servidor
• Preparar e configurar o MariaDB
• Instale e configure o WordPress

Introdução

Quanto mais próximo você mantiver sua instalação do OpenBSD do padrão e sem tantos pacotes adicionados, mais seguro será. Enquanto a configuração mais comum para o WordPress é usar Apache e PHP, é definitivamente possível (e preferível) usar o httpd interno do OpenBSD. Este tutorial permitirá que você inicie uma configuração completa de um certificado Let's Encrypt, um servidor Web e WordPress. Você precisará de acesso root para poder fazer isso.

Configuração inicial

Se você ainda não o fez, será necessário criar um /etc/doas.confarquivo. O doascomando é um substituto fácil para o OpenBSD sudo.

su -
echo "permit nopass keepenv :wheel" > /etc/doas.conf

Temos que dizer ao OpenBSD onde os pacotes estão localizados. Isso acontece no /etc/installurlarquivo.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Agora temos que adicionar PHP e alguns módulos extras que o WordPress precisará para lidar com coisas como imagens e criptografia. Quando solicitado, escolha instalar o pacote mais recente do PHP. Uma coisa que você precisa fazer é copiar os iniarquivos do módulo do diretório de amostra para o principal. Isso precisa ser feito para ativar os módulos PHP adicionais.

doas pkg_add -r mariadb-client mariadb-server php php-curl php-mysqli pecl73-mcrypt pecl73-imagick 
doas su -
cp /etc/php-7.3.sample/* /etc/php-7.3/.

Obter Certificados Vamos Criptografar

O OpenBSD possui um ótimo aplicativo chamado acme-client. Essa pequena inovação é o que irá gerar sua chave de conta, chave privada e obter um certificado para você. O cliente acme depende da existência de um servidor da Web, portanto, definimos uma definição rápida do servidor padrão.

Com seu editor favorito, crie /etc/httpd.conf. Adicionaremos as outras definições de servidor ao arquivo posteriormente. O que precisamos fazer agora é preparar o httpd para executar a resposta-desafio e obter um certificado SSL válido e gratuito.

prefork 5
types { include "/usr/share/misc/mime.types" }

server "default" {
    listen on egress port 80
    root "/htdocs"
    directory index "index.html"

    location "/.well-known/acme-challenge/*" {
        request strip 2
        root "/acme"
    }
}

Também usando seu editor favorito, crie /etc/acme-client.conf.

authority letsencrypt {
    api url "https://acme-v01.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-privkey.pem"
}

authority letsencrypt-staging {
    api url "https://acme-staging.api.letsencrypt.org/directory"
    account key "/etc/acme/letsencrypt-staging-privkey.pem"
}

domain example.com {
    alternative names { www.example.com }
    domain key "/etc/ssl/private/example.com.key"
    domain full chain certificate "/etc/ssl/example.com.fullchain.pem"
    sign with letsencrypt
}

Habilite e inicie o httpd e, em seguida, obtenha um certificado emitido. Você verá que um certificado foi emitido.

doas rcctl enable httpd php73_fpm
doas rcctl start httpd
doas acme-client -ADFv example.com
doas rcctl stop httpd

Adicionando as definições do servidor

Adicione as seguintes linhas de configuração /etc/httpd.conf, logo após as definições de Vamos Criptografar. Configure o httpd para executar um redirecionamento de http para https, porque você possui um certificado SSL gratuito e nunca deseja arriscar enviar um login e senha por um link não seguro. Tome nota da linha: location "/posts/*"esta é a peça que faz com que os permalinks do WordPress pareçam bonitos. Além disso, essa configuração contém uma maneira de ajudar a impedir tentativas de força bruta para efetuar login no site de administração do WordPress.

server "example.com" {
    listen on egress port 80
    alias "www.example.com"
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "example.com" {
    listen on egress tls port 443
    alias "www.example.com"
    root "/htdocs/example.com
    directory index "index.php"

     location "/posts/*" {
        fastcgi {
             param SCRIPT_FILENAME "/htdocs/example.com/index.php"
             socket "/run/php-fpm.sock"
        }
     }

     location "/wp-json/*" {
        fastcgi {
           param SCRIPT_FILENAME "/htdocs/example.com/index.php"
            socket "/run/php-fpm.sock"
        }
     }

    location "/wp-login.php*" {
        authenticate "WordPress" with "/htdocs/htpasswd"
        fastcgi socket "/run/php-fpm.sock"
     }

    #Uncomment the following lines to disable xmlrpc. You increase security 
    #at the expense of being able to use to use 
    #the Android and iPhone WordPress App.
    #location "xmlrpc.php*" {
    #    block return 404
    #}        

    location "*.php*" {
        fastcgi socket "/run/php-fpm.sock"
     }

    tls {
        certificate "/etc/ssl/example.com.fullchain.pem"
        key "/etc/ssl/private/example.com.key"
    }
}

Crie o nome de usuário e o arquivo de senha para obter um nível adicional de segurança no site de administração do WordPress. Escolha uma boa senha. Isso solicitará um nome de usuário e senha para executar o wp-login.phpscript.

doas su
cd /var/www/htdocs
htpasswd htpasswd wp_user
chown www:www htpasswd
chmod 0640 htpasswd

Preparar e configurar o MariaDB

MariaDB é um fork de substituição do MySQL. Precisamos fazer alguns trabalhos iniciais de configuração e preparação de banco de dados para o WordPress.

Antes de podermos usar o MariaDB efetivamente, precisamos permitir que o daemon mysql use mais recursos que o padrão. Para fazer isso, faça as seguintes alterações /etc/login.confadicionando esta entrada na parte inferior.

mysqld:\
    :openfiles-cur=1024:\
    :openfiles-max=2048:\
    :tc=daemon:

Ative e inicie o MariaDB. Este procedimento definirá uma senha root e, opcionalmente, descartará o banco de dados de teste. É uma boa ideia seguir as sugestões no estágio de instalação segura.

 doas mysql_install_db
 doas rcctl enable mysqld
 doas rcctl start mysqld
 doas mysql_secure_installation

Crie o banco de dados WordPress e o usuário do banco de dados.

mysql -u root -p 
CREATE DATABASE wordpress;
GRANT ALL PRIVILEGES ON wordpress.* TO 'wp_user'@'localhost' IDENTIFIED BY '<password>';
FLUSH PRIVILEGES;
EXIT

Instale e configure o WordPress

O WordPress não possui uma porta oficial do OpenBSD há algum tempo, porque praticamente funciona imediatamente. Baixe, extraia e mova a pasta de instalação do WordPress.

cd /tmp
wget https://wordpress.org/latest.tar.gz
tar xvfz latest.tar.gz
doas mv wordpress /var/www/htdocs/example.com
chown -R www:www /var/www/htdocs/example.com

Temos que copiar /etc/resolve.confe /etc/hostspara /var/www/etc. Isso é para que o WordPress possa alcançar com sucesso o mercado. Você precisará disso para baixar plugins e temas através do site de administração do WordPress.

doas mkdir /var/www/etc
doas cp /etc/hosts /var/www/etc/.
doas cp /etc/resolv.conf /var/www/etc/.

Inicie httpd e php73_fpm.

doas rcctl start httpd php73_fpm

Navegue até o URL que você usou na sua definição de servidor. Você verá o assistente de instalação do WordPress. Para a opção Servidor de banco de dados, substitua localhost por 127.0.0.1.

Depois que o WordPress for instalado, é hora de configurar os links permanentes para que eles pareçam mais amigáveis ​​ao SEO. Na tela de administração do WordPress, vá para Settings -> Permalinks. Clique em Custom Structuree digite /posts/%postname%. Depois de fazer essa alteração, clique no Save Changesbotão Agora você tem links muito mais agradáveis. Por exemplo, um link permanente ficará assim:https://example.com/posts/example-blog-post