LINUX.ORG.RU

Новичок хочет знать про вордпресс

 , , , ,


0

1

Короч пришло письмо уведомляющее что нужно использовать https у нас есть хостинг с вордпрессом по хттп обычному , мол пароль могут украсть, как сделать?

вешаешь свой сайт на localhost:8080 настраиваешь letsencrypt поднимаешь nginx которому скармливаешь сертификат и пробрасываешь с помощью proxy_pass 8080 на 443 и всё. Раз в три месяца руками или через cron обновляешь сертификат. Подробная инфа в гугле, расписывать лень и долго

Deleted ()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от Gremlin_

Делаешь что бы сайт работал на http://localhost:8080 к примеру

Получаешь сертификат/ты

certbot certonly --webroot --agree-tos --email mail@gmail.com -w /var/www/html -d  example.com

Глушишь сервисы

systemctl stop  nginx 

для nginx добавляешь новый конфиг своего сайта

server {
    listen 443;
    server_name example.com;
    ssl_certificate        /etc/letsencrypt/archive/example.com/fullchain1.pem;
    ssl_certificate_key    /etc/letsencrypt/keys/0000_key-letsencrypt.pem;
    ssl on;
    ssl_session_cache  builtin:1000  shared:SSL:10m;
    ssl_protocols    TLSv1.1 TLSv1.2;
    ssl_ciphers HIGH:!aNULL:!eNULL:!EXPORT:!CAMELLIA:!DES:!MD5:!PSK:!RC4;
    ssl_prefer_server_ciphers on;
    access_log    /var/log/nginx/access.log;
    location /var/www/mysite/ {
        proxy_pass        http://localhost:8080;
    }
}

Пускаешь сервисы

systemctl start nginx

Раз три месяца (а лучше два) обновляешь. если не важен аптайм можно приостановить прокси

systemctl stop  nginx 
certbot certonly --standalone --preferred-challenges http -d example.com
systemctl start  nginx 

Как то так в общем виде, остальное нюансы.

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от Deleted

если не важен аптайм можно приостановить прокси

А nginx сам не может не ходу увидеть замененный сертификат на диске? Ну там если ему SIGHUP послать, если надо?

vertexua ★★★☆☆ ()

Вордпресс в плане безопасности — это просто ад и эталон кривожопия, количество хардкода «http://» в его исходниках просто зашкаливает, а количество этого дерьма в плагинах вообще не поддаётся исчислению.

Так что готовься страдать и устанавливать кучу плагинов, которые в процессе генерации страницы заменяют весь этот хардкод. И/или руками патчить очень-очень много, в том числе при каждом обновлении.

Goury ★★★★ ()
Ответ на: комментарий от vertexua

Я уж и не помню, вроде он его разово в память сгружает и всё. Я последний раз настраивал эмм год назад где то. Без перезапуска не подхватывало вроде, или я что-то не так делал, фиг его знает. Но на то время у меня раз не подхватило я не парился и просто на время обновления приостанавливал. Но наверное можно и без остановки, вернее не наверное, а скорее точно можно через certonly --webroot но у меня чёт были неопнятки с этим . И на то время простой в 5 секунд мне был побоку.

Deleted ()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от Goury

которые в процессе генерации страницы заменяют весь этот хардкод.

Нафига? 301 редирект с http на https делаешь и всё, а там уже nginx ждёт и начинает проксить всё как надо. Хотя, это в теории, на практике могут быть внезапные нежданчики. (WP не тыкал)

Deleted ()
Ответ на: комментарий от vertexua

В одном из вариантов, проверки подлинности сервера по домену, certbot запускает свой сервер, и ему нужен свободный порт. Поэтому nginx и останавливают.

anonymous ()

Пфф. С wp тебя могут поиметь множество раз множеством способов и с https. Запомни: wp - кусок говна. Избавься от него скорее, если сайт не одноразовый и ты не фрилансер-похерист. /thread

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от anonymous

Там по сути даже для standalone можно заюзать nginx so_reureport и делать всё бесшовно и без остановок. Но у меня что через --webroot что с reuseport были странности. Хотя при этом 8 сервисов на одном сервере спокойно жили на одном 443 порту и ещё 12 на 80том порту Но то было давно. Сейчас наверное всё можно с полтычка настроить.

Deleted ()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от anonymous

Если тебя поимели это только твой печальный опыт. И говорит только о твоем уровне рукожопости.

WP - ведущая CMS по числу уязвимостей, а ТС - ведущий рукожоп. Что может пойти так?
И зачем вообще юзать потенциально дырявую CMS? Какой в этом смысл?

crutch_master ★★★★★ ()
Последнее исправление: crutch_master (всего исправлений: 1)
Ответ на: комментарий от anonymous

Да ну, там только один конкретный путь нужен, так его же можно оставить в конфиге nginx как прокси на certbot

Плюс вроде можно просто хостить каталог и certbot умеет класть туда файл

vertexua ★★★☆☆ ()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от anonymous

Ну ты сам знаешь, что ВП - самая распространенная CMS, отсюда и такая статистика. Обновляй вовремя плагины и движок и ничего не будет.

А можно юзать не мейнстрим/самописную и забить хер, потому что ломать её никто никогда не будет.

crutch_master ★★★★★ ()
Ответ на: комментарий от Deleted

Ахаха, делаешь.
Во-первых сам факт наличия любой ссылки на любой ресурс с http:// — это проблема безопасности (браузер-то будет ломиться без шифрования и можно будет ему подсунуть что угодно вместо редиректа). Называется это Mixed Content Security Exception.
Во-вторых вордпресс может насильно редиректить тебя на http:// и получается бесконечный редирект.

Ну и ещё чёртова куча проблем, включая загрузку всяких говноскриптов с разных говнохостингов, типа

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1.12.4/jquery.min.js"></script>
.

И не редко вордпресс просто не может распарсить сам себя при обращении с https. Особенно если там какой-то кривожопый плагин пытается парсить урл реквеста зачем-то.

Goury ★★★★ ()
Ответ на: комментарий от anonymous

Обновляй вовремя плагины и движок и ничего не будет.

Вспоминается славное обновление 5.0, в которое разработчики заботливо встроили фичу индексирования паролей поисковиками 😂

alexferman ()
Ответ на: комментарий от Goury

Захардкоженый http:// в самом WP если и был, то только до того как https пошёл в массы. Сейчас оно осталось разве-что в древних заброшенных плагинах и темах, которые с тех пор не обновляли

MrClon ★★★★★ ()

У многих хостеров сейчас сертификат от LetsEncrypt получается либо автоматом, либо нужно где-то в панели управления включить TLS (SSL). Дальше нужно как-то сделать, чтобы все ходили на адрес с https (много разных способов).

anonymous ()
Ответ на: комментарий от MrClon

Ага, конечно

grep -R 'http://' | wc -l
1506

grep -R 'http://' --include='*.php' | wc -l
670

grep -R 'http://' --include='*.js' | wc -l
610


Свеженький, голый 5.2.
Так что можешь с этими сказками куда-нибудь ещё сходить.

Мало того что оно отдаёт кучу всего с http, так оно ещё и с сервера кучу запросов на сторонние ресурсы через него льёт.

Goury ★★★★ ()
Последнее исправление: Goury (всего исправлений: 1)
Ответ на: комментарий от Goury

Ты глянь что там конкретно. Я сейчас прогоядел, в основном http в коментах (типа «документация там»). Впиливал недавно клиенту https на несколько сайтов, запросов по http там из коробки не было. Когда https только начинали вставлять во все кофеварки и чайники ещё приходилось что-то подкостыливать, но не в самом WP

В любом случае http это наименьшая из проблем безопасности для подавляющего большинства CMSок

MrClon ★★★★★ ()

Вы бы ему еще LAMP со всеми вытекающими посоветовали поднять, не говоря уже о покупки и установки сертификатов.

Автор если у тебя простой личный блог, который работает ввиде витрины - тебе https особо не нужен.

nixbrain ()

Последний проект был связан с Wordpress. И кодерами, которые под него пишут. Господи, до сих пор вспоминать тошно про этот ад и израиль. Они до сих пор собирают фронтенд browserify + gulp, и всё ручками прописывают, какие файлы куда класть и т.п., посмотрел в кишки всех этих тем вордпресса и какой там бардак, это ппц.

Тут на лоре особо упоротые пытаются сравнивать wp и джангу, php vs python... В пхп мирке культуры кодинга нет от слова вообще. Всем рулит хаос и куча.

menangen ★★★★★ ()