本文用来指导在AWS Linux 2023环境中安装WordPress，包括安装Nginx，配置Nginx，安装PHP，以及安装WordPress。

3.4.2服务器块配置

通过在/etc/nginx/conf.d.文件中创建以结尾的新配置文件，可以添加任何额外的服务器块（在Apache中称为虚拟主机）。启动Nginx时，将加载该目录中的conf。

3.4.3 Nginx全局配置

Nginx主配置文件位于/etc/nginx/nginx.conf。在这里，您可以更改设置，比如运行Nginx守护进程的用户，以及在Nginx运行时生成的工作进程的数量，等等。

注意#1：在更改配置文件之前，一定要注意备份配置文件，例如：

sudo cp /etc/nginx/nginx.conf /etc/nginx/nginx.conf.bak

因未执行备份而导致的配置文件损坏/不起作用，从而导致的一切后果，请自负！

注意#2：在更改Nginx 配置文件之后，一定要先验证，再启用，禁止直接加载配置文件，验证脚本（这里假定nginx命令存在于/usr/sbin/nginx）：

sudo /usr/sbin/nginx -t -c /etc/nginx/nginx.conf

验证结果无错误之后，方可进行下一步操作，生产环境操作无小事，操作者切记切记。

配置信息：

worker_processes 2;
error_log /var/log/nginx/error.log info;
pid /run/nginx.pid;
worker_rlimit_nofile 65535;

参数	参数说明
worker_processes 2;	worker 数量：根据操作系统cpu数量设置
error_log /data/nginx/logs/error.log info;	操作日志
pid /etc/nginx/logs/nginx.pid;	pid文件路径
worker_rlimit_nofile 65535;	检查打开文件最大限制数 ulimit -Hn ulimit -Sn 修改/etc/security/limits.conf文件，在文件中添加如下行： * soft noproc 65535 * hard noproc 65535 * soft nofile 65535 * hard nofile 65535

3.4.4 Nginx events配置

参考配置信息：

events {
use epoll;
worker_connections 8192;
}

参数	参数说明
use epoll;	使用epoll的I/O 模型
worker_connections 8192;	单个worker process进程的最大连接数数, 并发总数是worker_processes和worker_connections的乘积

3.4.5 Nginx 日志设置

配置日志文件位置，默认的日志目录设置在nginx/logs目录，

日志轮转：

vi /etc/logrotate.d/nginx

该文件内容为：

/usr/local/nginx/logs/*.log {
# 日志文件轮转周期，可用值为: daily/weekly/yearly
daily
# 新日志文件的权限
create 0664 work work
# 轮转次数，即最多存储7个归档日志，会删除最久的归档日志,生产环境需设置为90天
rotate 14
# 以当前日期作为命名格式
dateext
# 轮循结束后，已归档日志使用gzip进行压缩
compress
# 与compress共用，最近的一次归档不要压缩
delaycompress
# 忽略错误信息
missingok
# 日志文件为空，轮循不会继续执行
notifempty
# 当日志文件大于指定大小时，才继续执行，单位为bytes（默认）/k/M/G
size = 100M
# 将日志文件转储后执行的命令，以endscript结尾，命令需要单独成行
postrotate
# 重启nginx日志服务，写入到新的文件中去，否则会依然写入重命名后的文件中
/bin/kill -USR1 `cat /usr/local/nginx/logs/nginx.pid 2> /dev/null` 2> /dev/null || true
# 默认logrotate会以root身份运行，如果想要以其他身份执行一个命令，可以这样使用：
#su - work -c '/home/work/odp/webserver/loadnginx.sh restart'
endscript
}

演练，检查logrotate文件配置是否正确

logrotate -d -f /etc/logrotate.d/nginx

输入如下，即说明配置正确：

手工执行：

logrotate -f /etc/logrotate.d/nginx

3.4.6 Nginx 安全设置

为确保Nginx 服务器安全，需要采用以下配置：

（1）、禁用server 标记

server_tokens 启用的话，会暴露Nginx 版本信息，检查是否启用：

curl -I http://<NGINX_URL>

下面是未启用的示例：

启用：

结果验证：

（2）、自定义缓存

设置自定义缓存以限制缓冲区溢出攻击。nginx.conf配置如下:

http{
... ...
server{
	... ...
	client_body_buffer_size 1K;
	client_header_buffer_size 1k;
	client_max_body_size 10m;
	large_client_header_buffers 2 1k;
  ... ...
}

（3）、设置timeout

设置timeout设低来防御DOS攻击，nginx.conf配置如下：

http {
	... ...
	client_body_timeout 10;
	client_header_timeout 30;
	keepalive_timeout 30 30;
	send_timeout 10;
  ... ...
}

验证：

（4）、限制访问的方法

在目前的应用系统中值使用到POST、 GET和PUT方法，其他方式的请求均可拒绝。Nginx.conf配置如下：

server{
... ...
if($request_method !~ ^(GET|HEAD|PUT|POST)$) {
return 404;
}
... ...

（5）、配置SSL证书加密套件

Nginx的默认配置允许您使用不安全的TLS协议旧版本（根据官方文档：ssl_协议TLSv1 TLSv1.1 TLSv1.2）。这可能会导致野兽攻击等攻击。因此，不要使用旧的TLS协议，并将配置更改为仅支持更新的安全TLS版本。

server{
... ...
 

ssl_certificate /etc/nginx/cert/ssl.pem;
 
ssl_certificate_key /etc/nginx/cert/ssl.key;
 
ssl_session_cache shared:SSL:1m;
 
ssl_session_timeout 5m;
 
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:!NULL:!aNULL:!MD5:!ADH:!RC4';
  
ssl_protocols TLSv1.2 TLSv1.3;
 
ssl_prefer_server_ciphers on;
 
... ...

（5）、配置HTTP header

为了进一步增强nginx web服务器，可以添加几个不同的HTTP头。以下是推荐的一些选项。

X-Frame-Options

可以使用X-Frame-Options HTTP响应头来指示是否允许浏览器在<Frame>或<iframe>中呈现页面。这可以防止点击劫持攻击。

为此，请在服务器部分的nginx配置文件中添加以下参数：

add_header X-Frame-Options "SAMEORIGIN";

CSP和X-XSS-Protection

内容安全策略（CSP）保护您的web服务器免受特定类型的攻击，包括跨站点脚本攻击（XSS）和数据注入攻击。

可以通过添加内容安全策略头：

add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;

IE和Safari支持HTTP X-XSS-Protection头，为了在旧浏览器（还不支持CSP）的情况下防止XSS，可以将X-XSS保护头添加到服务器部分：

add_header X-XSS-Protection "1; mode=block";

3.4.7配置Nginx用户

在AWS Linux上，将nginx 添加到Ec2-User 组：

sudo usermod -a -G apache ec2-user

执行结果：

3.4.8配置PHP组件

安装Nginx PHP 组件：

sudo dnf install php-opcache php-gd php-xml php-mbstring
安装Wordpress

3.1目的

本项目使用Wordpress 开发应用，为了部署前端代码，需要安装Wordpress 。

在服务器完成操作系统升级之后，进行此项操作。

3.2下载wordpress并解压

在AWS Linux 上，首先到WordPress下载最新版本的wordpress：

wget https://wordpress.org/latest.tar.gz

然后解压到本地：

tar -xzf latest.tar.gz

执行结果：

之后，需要配置WordPress 数据库。

请参考文档《AWSLinux86- MariaDB数据库安装指南》完成MariaDB的安装和初始化。

3.3 WordPress初始化

WordPress 安装文件夹包含一个名为 wp-config-sample.php 的示例配置文件。在此过程中，需要复制此文件并进行编辑，以适应具体配置。

将 wp-config-sample.php 文件复制到名为 wp-config.php 的文件中。这将创建一个新的配置文件，并将原始示例文件保留为备份。

cp wordpress/wp-config-sample.php wordpress/wp-config.php

使用常用的文本编辑器（例如 nano 或 vim）编辑 wp-config.php 文件，并输入安装所需的值。

vi wordpress/wp-config.php

然后替换数据库和用户名、密码：

找到名为“身份验证唯一密钥和盐”的部分。这些密钥和盐值为 WordPress 用户存储在本地计算机上的浏览器 Cookie 提供了一层加密。基本上，在这里添加长随机值可以使网站更安全。

访问
https://api.wordpress.org/secret-key/1.1/salt/ 随机生成一组密钥值，将其复制并粘贴到 wp-config.php 文件中。

将上面的值复制到wp-config.php，保存后关闭文件。

3.4 复制WordPress到Nginx目录

之前的步骤中已解压安装文件夹，创建了 MySQL 数据库和用户，并自定义了 WordPress 配置文件，接下来可以将安装文件复制到 Web 服务器的文档根目录，以便运行安装脚本完成安装。

WordPress 安装目录的内容（但不要复制目录本身），如下所示：WordPress 安装文件夹包含一个名为 wp-config-sample.php 的示例配置文件。在此过程中，需要复制此文件并进行编辑，以适应具体配置。