0x00 前言

WordPress是世界上最受歡迎的CMS系統(tǒng)，它是基于php和MySQL技術(shù)棧的，并且還有很多插件，可擴(kuò)展性非常強(qiáng)。正好最近有一臺(tái)空閑的ECS,于是來搭建一個(gè)玩玩。本教程是基于LEMP技術(shù)棧來搭建的，各個(gè)版本如下：

1. L版本為CentOS7.6版本，
2. E版本為nginx1.12.2版本
3. M版本為Distrib 5.5.60-MariaDB
4. P版本為php7.2

此外，現(xiàn)在全面https已經(jīng)是趨勢(shì)了，自然我們也不能落后，所以還會(huì)使用Let's Encrypt來生成免費(fèi)的SSL證書進(jìn)行配置

0x01 前置條件

• 準(zhǔn)備一個(gè)域名
• 一臺(tái)VPS或者云主機(jī)，如果是國內(nèi)的IP需要備案
• 具有sudo權(quán)限或root權(quán)限的用戶，這里我新建一個(gè)wordpress用戶來運(yùn)行程序，并且使用下列命令設(shè)置為nologin
  • a. sudo useradd -s /sbin/nologin wordpress
• 使用sudo yum install -y epel-release安裝了epel源
• 關(guān)閉firewalld，我更喜歡用iptables來做安全加固
  • a. sudo systemctl stop firewalld
  • b. sudo systemctl disable firewalld

0x02 安裝nginx

• 執(zhí)行sudo yum install nginx安裝nginx
• 啟動(dòng)nginx守護(hù)進(jìn)程并設(shè)置為開機(jī)自啟
  • a. sudo systemctl start nginx
  • b. sudo systemctl enable nginx
• 將wordpress用戶加入到nginx組usermod -a -G nginx wordpress,同時(shí)設(shè)置目錄權(quán)限chmod 770 -R /var/lib/nginx/
• 此時(shí)訪問你的域名即可看到如下頁面，則說明nginx安裝成功了
  

0x03安裝Mariadb

Mariadb作為MySQL的一個(gè)開源的分支，已經(jīng)成為了CentOS用來替換MySQL的默認(rèn)的數(shù)據(jù)庫，所以我這里也使用Mariadb作為數(shù)據(jù)庫。

• 執(zhí)行sudo yum install mariadb-server -y來安裝mariadb
• 啟動(dòng)Mariadb并設(shè)置為開機(jī)自啟
  • a. sudo systemctl start mariadb
  • b. sudo systemctl enable mariadb
• 執(zhí)行sudo mysql_secure_installation來加固Mariadb。你會(huì)看到要求設(shè)置數(shù)據(jù)庫root密碼、移除匿名用戶、限制只能通過localhost登陸數(shù)據(jù)庫root用戶和移除test數(shù)據(jù)庫，這里推薦全部選Y(YES)，如下圖所示，默認(rèn)的數(shù)據(jù)庫root密碼為空
  

除此之外，還要把mariadb監(jiān)聽的地址改為127.0.0.1:3306

a. vim /etc/my.cnf.d/server.cnf打開Mariadb的配置文件

b. 在[mysqld]下面加上bind=127.0.0.1,如下圖所示

c. 執(zhí)行systemctl restart mariadb重啟數(shù)據(jù)庫

d. 執(zhí)行netstat -lntp可以看到已經(jīng)監(jiān)聽為本地回環(huán)地址了

0x04 創(chuàng)建數(shù)據(jù)庫

在安裝完mariadb數(shù)據(jù)庫，并對(duì)其進(jìn)行加固后，我們自然需要新建一個(gè)數(shù)據(jù)庫來存放數(shù)據(jù)，這里首先我們用之前設(shè)置的root賬號(hào)密碼來登陸數(shù)據(jù)庫mysql -uroot -p，并執(zhí)行以下幾條語句

0x05 安裝PHP

CentOS的PHP默認(rèn)版本為5.4，但是WordPress推薦的版本為7.2，所以我們這里安裝php7.2的版本
執(zhí)行下列命令安裝php和所有需要的php擴(kuò)展

我們安裝PHP FPM是因?yàn)槲覀兪怯肗ginx作為web server，而Nginx并沒有自帶這個(gè)組件。此外，PHP FPM 默認(rèn)是以apache用戶運(yùn)行在9000端口，我們把這個(gè)用戶改為wordpress并且把它從TCP Socket改為Unix Socket，具體怎么修改查看下面的步驟

打開/etc/php-fpm.d/www.conf,并修改如下地方

用命令sudo chown -R root:wordpress /var/lib/php確保目錄的所有組權(quán)限為wordpress

重啟并開機(jī)自啟動(dòng)PHP FPM

a. sudo systemctl restart php-fpm
b. sudo systemctl enable php-fpm

0x06 申請(qǐng)免費(fèi)證書

作為一個(gè)技（qiong）術(shù)（bi）宅，自然有免費(fèi)的證書就肯定用免費(fèi)的。因此我們可以申請(qǐng)免費(fèi)的Let's Encrypt證書，這個(gè)證書不但免費(fèi)，而且操作非常簡(jiǎn)單，雖然每次只有90天的有效期，但可以通過腳本配置crontab定期更新。

a. mkdir -p /etc/nginx/ssl目錄存放證書

b. openssl genrsa 4096 > account.key進(jìn)入這個(gè)目錄，創(chuàng)建一個(gè) RSA 私鑰用于 Let's Encrypt 識(shí)別你的身份

c. openssl genrsa 4096 > domain.key創(chuàng)建域名RSA私鑰

d. openssl req -new -sha256 -key domain.key -out domain.csr有了私鑰文件，就可以生成 CSR 文件了。生成CSR會(huì)要求填入一些東西信息，這里Common Name為你的域名

我們知道，CA 在簽發(fā) DV（Domain Validation）證書時(shí)，需要驗(yàn)證域名所有權(quán)。傳統(tǒng) CA 的驗(yàn)證方式一般是往 admin@yoursite.com 發(fā)驗(yàn)證郵件，而 Let's Encrypt 是在你的服務(wù)器上生成一個(gè)隨機(jī)驗(yàn)證文件，再通過創(chuàng)建 CSR 時(shí)指定的域名訪問，如果可以訪問則表明你對(duì)這個(gè)域名有控制權(quán)。所以首先創(chuàng)建用于存放驗(yàn)證文件的目錄，例如：
mkdir /home/wordpress/challenges

然后配置一個(gè)HTTP服務(wù)，以Nginx為例：

以上配置表示查找 /home/wordpress/challenges/ 目錄下的文件，如果找不到就重定向到 HTTPS 地址。這個(gè)驗(yàn)證服務(wù)以后更新證書還要用到，要一直保留。

接下來把a(bǔ)cme-tiny保存到ssl目錄wget https://raw.githubusercontent.com/diafygi/acme-tiny/master/acme_tiny.py

然后指定賬戶私鑰、CSR 以及驗(yàn)證目錄，執(zhí)行腳本python acme_tiny.py --account-key ./account.key --csr ./domain.csr --acme-dir /home/wordpress/challenges/ > ./signed.crt,看到如下圖所示，則說明生成成功了

最后還要下載Let's Encrypt 的中間證書，配置HTTPS證書時(shí)既不要漏掉中間證書，也不要包含根證書。在 Nginx 配置中，需要把中間證書和網(wǎng)站證書合在一起：

為了后續(xù)能順利啟用OCSP Stapling，我們?cè)侔迅�證書和中間證書合在一起(此步也可省略）

Let's Encrypt簽發(fā)的證書只有90天有效期，推薦使用腳本定期更新。創(chuàng)建一個(gè)renew_cert.sh并通過chmod a+x renew_cert.sh賦予執(zhí)行權(quán)限。文件內(nèi)容如下：

在crontabl中配置定時(shí)任務(wù)0 0 1 * * /etc/nginx/ssl/renew_cert.sh >/dev/null 2>&1

0x07 下載WordPress并配置Nginx

將WordPress下載到/home/wordpress/目錄下wget https://wordpress.org/latest.tar.gz

tar zxvf latest.tar.gz解壓WordPress文件

chown -R wordpress:wordpress wordpress將wordpress目錄的所有者改為wordpress用戶

接著，打開vim /etc/nginx/nginx.conf將nginx的運(yùn)行角色改為wordpress

然后這里我把處于解耦合的目的，把主配置文件nginx.conf里的server配置塊注釋掉

新建sudo mkdir /etc/nginx/snippets目錄并vim letsencrypt.conf來將以下配置粘貼到里面

接下來新建vim /etc/nginx/conf.d/wordpress.conf配置文件，修改成如下配置

創(chuàng)建日志目錄mkdir -p /home/wordpress/log,并設(shè)置權(quán)限chown -R wordpress:wordpress /home/wordpress/log

nginx -t查看是否是否語法檢查正常，如正常則nginx -s reload重載nginx

接下來看到WordPress頁面成功打開了，就此大功告成啦