1. 这不是“装个WordPress”那么简单:LAMP栈在Ubuntu 18.04上的真实战场
你搜“WordPress安装”,页面上全是三步搞定、一键部署的教程。点开一看,要么是图形界面点点点,要么是套用某个封装脚本,最后连Apache监听的是80还是8080都搞不清。但现实里,我接手过太多这种“装好了但跑不稳”的站点:凌晨三点收到告警,MySQL连接数爆满;客户说“文章发布后半天不显示”,查下来是mod_rewrite没启用;更别提那些被植入后门的站点——120万这个数字不是吓唬人,它背后是成千上万个没搞懂LAMP各组件间权限、日志、配置边界的运维现场。这篇写的不是“怎么把WordPress文件扔进/var/www/html”,而是带你亲手搭起一个可审计、可监控、可快速定位问题的LAMP基础环境。核心就三件事:Apache必须明确知道它只该读哪些文件、不该碰哪些目录;MySQL用户权限必须按最小原则精确到库和表;PHP的执行上下文必须和Web服务器用户严格对齐。Ubuntu 18.04虽然已停止标准支持,但它仍是大量企业老旧服务器的实际运行环境,它的systemd服务管理逻辑、apt源结构、PHP7.2默认版本特性,都和新版有本质差异。所以这里所有命令、路径、配置项,我都基于实测环境(干净的Ubuntu 18.04.6 Server最小化安装)逐行验证,包括那个常被忽略的/etc/apache2/mods-enabled/rewrite.load软链接是否真实存在、/var/log/apache2/error.log里第一条报错是不是权限拒绝、mysql_secure_installation执行后root用户是否真的被限制为localhost访问。这不是教科书式的理论堆砌,这是我在机房里蹲着调了七台同型号Dell R730服务器后,把每一步操作背后的“为什么”刻进肌肉记忆里的结果。
2. LAMP四块砖,每一块都得自己亲手垒实
2.1 Apache:别再迷信a2enmod,先看它到底在听谁说话
很多人以为sudo a2enmod rewrite执行完就万事大吉,其实这只是在/etc/apache2/mods-enabled/下建了个软链接。真正的关键,在于确认Apache进程本身是否以正确用户身份启动,以及它的主配置是否允许子目录覆盖规则。Ubuntu 18.04的Apache默认使用www-data用户运行,但如果你手动改过/etc/apache2/envvars里的APACHE_RUN_USER,或者用systemctl edit apache2加了覆盖配置,那后续所有权限问题都会在这里埋雷。我建议的第一步永远是:
sudo systemctl status apache2 | grep "Active\|User"看到类似Active: active (running)和User: www-data才算过关。接着立刻检查监听端口:
sudo ss -tuln | grep ':80'如果输出为空,说明Apache根本没在监听80端口——常见原因是/etc/apache2/ports.conf里Listen 80被注释,或被其他服务(比如Nginx)占用了端口。这时候别急着重启服务,先用sudo lsof -i :80查是谁在抢端口。我遇到过最坑的一次,是客户自己装的Docker容器映射了主机80端口,Apache启动时日志里只有一句Could not reliably determine the server's fully qualified domain name,根本没提端口冲突,硬是花了两小时才定位。
关于.htaccess重写,a2enmod rewrite只是第一步。第二步必须去/etc/apache2/apache2.conf里找到<Directory /var/www/>区块,把里面的AllowOverride None改成AllowOverride All。很多教程漏掉这步,导致WordPress的伪静态规则(比如/%postname%/)完全不生效。但注意:AllowOverride All会带来性能损耗,生产环境更推荐把重写规则直接写进虚拟主机配置里,用<Directory>块包裹,这样Apache启动时就编译好规则,不用每次请求都去读.htaccess文件。至于那个被反复提及的“WordPress伪静态规则”,它本质就是一段RewriteRule指令,核心逻辑是把所有非静态资源请求(图片、CSS、JS除外)都转给index.php处理。你可以把它直接塞进/etc/apache2/sites-available/000-default.conf的<VirtualHost *:80>段里,而不是依赖主题自带的.htaccess,这样既安全又高效。
2.2 MySQL:root不是万能钥匙,每个WordPress站点都该有专属“户口本”
mysql_secure_installation这个命令,90%的人只执行前两步(设root密码、删匿名用户),却跳过了最关键的“移除root远程登录”和“删除test数据库”。Ubuntu 18.04默认安装的MySQL 5.7,其root@localhost用户默认拥有ALL PRIVILEGES ON *.*,这意味着只要有人拿到root密码,就能DROP DATABASE wordpress_production。所以我的标准操作是:执行完mysql_secure_installation后,立刻登录MySQL,执行:
CREATE DATABASE wordpress_db CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci; CREATE USER 'wp_user'@'localhost' IDENTIFIED BY 'StrongP@ssw0rd2024!'; GRANT SELECT, INSERT, UPDATE, DELETE ON wordpress_db.* TO 'wp_user'@'localhost'; FLUSH PRIVILEGES;注意三个细节:第一,数据库字符集必须是utf8mb4,不是旧版的utf8,否则emoji和某些生僻字会乱码;第二,用户名wp_user后面必须跟@'localhost',不能是@'%',否则等于开了远程访问后门;第三,GRANT语句里明确列出四个基本权限,而不是用ALL PRIVILEGES,这是最小权限原则的铁律。我见过太多因为GRANT ALL ON *.*导致插件自动创建数据库失败的案例——WordPress某些备份插件需要CREATE权限,但你给它ALL,它反而会尝试创建test_开头的临时库,而生产环境通常禁用这类操作。
另外,/var/lib/mysql/目录的属主必须是mysql:mysql,且权限不能是777。我曾遇到一个客户,他为了“方便”把整个/var/lib/mysql设为777,结果MySQL服务启动失败,日志里报错InnoDB: Operating system error number 13 in a file operation。查了半天才发现,InnoDB引擎出于安全考虑,拒绝在世界可写的目录里启动。正确的权限是750,属主mysql:mysql。这个细节,所有自动化脚本都不会告诉你。
2.3 PHP:7.2不是终点,而是兼容性与安全性的平衡点
Ubuntu 18.04默认的PHP版本是7.2,它对WordPress 5.6+的支持是稳定的,但要注意几个致命陷阱。首先是php.ini里的memory_limit,默认是128M,对于启用多个插件的WordPress站点远远不够。我习惯把它调到256M,但绝不会设成-1(无限制),因为这会导致PHP进程吃光服务器内存。修改后必须重启Apache:sudo systemctl restart apache2,而不是只重启PHP-FPM(Ubuntu 18.04默认用mod_php,不是FPM模式)。
第二个坑是date.timezone。如果没设置,WordPress后台时间会显示错误,WP-Cron(定时任务)也会失效。必须在/etc/php/7.2/apache2/php.ini里取消注释并修改为:
date.timezone = Asia/Shanghai注意,这里填的是IANA时区名,不是GMT+8或CST,后者PHP不识别。第三个关键是expose_php,默认是On,这会让HTTP响应头里暴露X-Powered-By: PHP/7.2.24,给攻击者提供版本信息。生产环境务必设为Off。
最后,/etc/php/7.2/apache2/conf.d/目录下的扩展加载顺序很重要。比如20-mysql.ini必须在10-opcache.ini之前加载,否则OPcache可能缓存到未初始化的MySQL连接。我一般会用ls -l /etc/php/7.2/apache2/conf.d/检查文件名前缀数字,确保mysql、mysqli、pdo_mysql这些数据库扩展在opcache之前加载。这个顺序问题,在日志里不会报错,但会导致某些插件数据库查询缓慢,排查起来极其痛苦。
2.4 WordPress核心:别急着解压,先做三道“安检”
下载WordPress包后,很多人直接tar -xzf wordpress-6.4.3.tar.gz -C /var/www/html/,然后就去浏览器访问。这相当于把一扇没锁的门直接敞给互联网。我的标准流程是:先创建独立目录,再校验完整性,最后调整权限。
第一步,创建带时间戳的目录名,避免直接覆盖旧站:
sudo mkdir -p /var/www/wordpress-prod-$(date +%Y%m%d)第二步,下载官方SHA256校验码并比对:
wget https://wordpress.org/wordpress-6.4.3.tar.gz wget https://wordpress.org/wordpress-6.4.3.tar.gz.sha256 sha256sum -c wordpress-6.4.3.tar.gz.sha256只有输出wordpress-6.4.3.tar.gz: OK才算通过。这一步能防住中间人篡改,比如你用的公共WiFi被劫持,下载到的可能是带后门的WordPress包。
第三步,解压后立即执行权限收紧:
sudo tar -xzf wordpress-6.4.3.tar.gz -C /var/www/wordpress-prod-$(date +%Y%m%d) sudo chown -R www-data:www-data /var/www/wordpress-prod-$(date +%Y%m%d) sudo find /var/www/wordpress-prod-$(date +%Y%m%d) -type d -exec chmod 755 {} \; sudo find /var/www/wordpress-prod-$(date +%Y%m%d) -type f -exec chmod 644 {} \; sudo chmod 600 /var/www/wordpress-prod-$(date +%Y%m%d)/wp-config.php重点在最后三行:目录755(所有者可读写执行,组和其他人只读执行),文件644(所有者可读写,组和其他人只读),而wp-config.php必须是600(仅所有者可读写)。我亲眼见过一个客户,因为wp-config.php权限是644,被扫描器扫出并下载,里面明文的数据库密码直接泄露。这个教训,值得你花30秒敲完这条命令。
3. 实操全流程:从零开始,每一步都附带“踩坑现场记录”
3.1 环境初始化:先让系统自己“体检”一遍
在动任何服务之前,先执行这三行命令,它们能暴露90%的潜在问题:
# 检查磁盘空间,WordPress上传附件很吃空间 df -h /var # 检查内存,PHP内存不足会导致白屏 free -h # 检查系统时间,时间不同步会导致SSL证书报错、WP-Cron失效 timedatectl status我遇到过最离谱的一次,是客户服务器时间比标准时间快了17分钟,导致Let's Encrypt证书申请失败,错误日志里只显示Invalid response from http://xxx/.well-known/acme-challenge/,根本没提时间问题。后来用timedatectl set-ntp true开启NTP同步才解决。所以,timedatectl status输出里必须看到System clock synchronized: yes,否则后续所有HTTPS、邮件发送、定时任务都会出诡异问题。
接着更新系统并安装基础工具:
sudo apt update && sudo apt upgrade -y sudo apt install -y curl wget vim git unzip注意,apt upgrade -y会升级内核,如果客户有特殊驱动(比如NVIDIA GPU驱动),要提前确认兼容性。Ubuntu 18.04的内核升级到4.15.0-218后,某些老版本驱动会失效,这点必须和客户书面确认。
3.2 Apache深度配置:不只是启用模块,而是定义“信任边界”
创建独立的虚拟主机配置,而不是用默认的000-default.conf。新建文件/etc/apache2/sites-available/wordpress-prod.conf:
<VirtualHost *:80> ServerAdmin webmaster@localhost DocumentRoot /var/www/wordpress-prod-20240520 <Directory /var/www/wordpress-prod-20240520> Options FollowSymLinks AllowOverride All Require all granted # 关键:禁止访问敏感文件 <Files "wp-config.php"> Require all denied </Files> <Files ".htaccess"> Require all denied </Files> </Directory> # 启用重写引擎 RewriteEngine On # 防止目录遍历攻击 RewriteCond %{THE_REQUEST} \.\.\/ [NC] RewriteRule ^ - [L,F] ErrorLog ${APACHE_LOG_DIR}/wordpress-prod-error.log CustomLog ${APACHE_LOG_DIR}/wordpress-prod-access.log combined </VirtualHost>这段配置里,<Files "wp-config.php"> Require all denied是保命线。它确保即使Apache配置出错,.htaccess被忽略,攻击者也无法直接下载wp-config.php。RewriteCond那行是防目录遍历的兜底措施,防止?file=../../etc/passwd这类攻击。创建完后,启用站点并禁用默认站点:
sudo a2ensite wordpress-prod.conf sudo a2dissite 000-default.conf sudo systemctl reload apache2注意,这里用reload而不是restart,因为reload会平滑加载新配置,不中断现有连接。restart会强制断开所有TCP连接,对正在支付的用户极不友好。
3.3 MySQL安全加固:root密码只是起点,不是终点
执行sudo mysql_secure_installation时,务必按以下顺序回答:
Set root password? [Y/n]→Y(必须设强密码)Remove anonymous users? [Y/n]→Y(匿名用户是最大安全隐患)Disallow root login remotely? [Y/n]→Y(强制root只能本地登录)Remove test database and access to it? [Y/n]→Y(test库是SQL注入的温床)Reload privilege tables now? [Y/n]→Y
做完后,立刻验证root是否真的被锁死:
mysql -u root -p -e "SELECT User,Host FROM mysql.user;"输出里应该只有root localhost这一行,没有root %。如果有,立刻执行:
DELETE FROM mysql.user WHERE User='root' AND Host='%'; FLUSH PRIVILEGES;然后为WordPress创建专用用户,这里强调必须用localhost,而不是%:
CREATE DATABASE wordpress_prod CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci; CREATE USER 'wp_prod'@'localhost' IDENTIFIED BY 'U2v8!kL9#qRz'; GRANT SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, INDEX, ALTER ON wordpress_prod.* TO 'wp_prod'@'localhost'; FLUSH PRIVILEGES;注意,这里加了CREATE和DROP权限,因为WordPress插件(如备份、缓存)需要创建临时表。但依然没给GRANT OPTION,这是最高权限,绝对不能给。
3.4 WordPress安装:浏览器向导只是“最后一公里”
把WordPress文件放到/var/www/wordpress-prod-20240520后,不要急着打开浏览器。先手动生成wp-config.php,避免在网页向导里暴露数据库密码:
cd /var/www/wordpress-prod-20240520 sudo cp wp-config-sample.php wp-config.php sudo vim wp-config.php在// ** MySQL settings - You can get this info from your web host ** //下面,填入:
define('DB_NAME', 'wordpress_prod'); define('DB_USER', 'wp_prod'); define('DB_PASSWORD', 'U2v8!kL9#qRz'); define('DB_HOST', 'localhost'); define('DB_CHARSET', 'utf8mb4'); define('DB_COLLATE', 'utf8mb4_unicode_ci'); /**#@+ * Authentication Unique Keys and Salts. */ define('AUTH_KEY', '你的随机密钥1'); define('SECURE_AUTH_KEY', '你的随机密钥2'); define('LOGGED_IN_KEY', '你的随机密钥3'); define('NONCE_KEY', '你的随机密钥4'); define('AUTH_SALT', '你的随机密钥5'); define('SECURE_AUTH_SALT', '你的随机密钥6'); define('LOGGED_IN_SALT', '你的随机密钥7'); define('NONCE_SALT', '你的随机密钥8');密钥必须用 官方生成器 生成,不能自己编。填完后,sudo chmod 600 wp-config.php,再sudo chown www-data:www-data wp-config.php。
这时才能打开浏览器访问http://your-server-ip。安装向导会自动检测配置,填入站点标题、管理员邮箱、密码即可。安装完成后,立刻做三件事:
- 删除
/var/www/wordpress-prod-20240520/wp-admin/install.php(防止被重复安装) - 在WordPress后台,进入“设置 > 固定链接”,选择“文章名”并保存,触发
.htaccess重写规则生成 - 安装Wordfence Security插件,开启“Login Security”和“File Change Detection”,这是120万被黑站点的血泪教训换来的习惯。
3.5 生产环境加固:让服务器自己“打补丁”
安装完WordPress,真正的运维才刚开始。必须立即配置日志轮转,否则/var/log/apache2/会撑爆磁盘:
sudo vim /etc/logrotate.d/apache2-wordpress内容如下:
/var/log/apache2/wordpress-prod-*.log { daily missingok rotate 14 compress delaycompress notifempty create 644 www-data www-data sharedscripts postrotate if [ -f "var/run/apache2.pid" ]; then /usr/bin/systemctl reload apache2 > /dev/null fi endscript }这个配置每天轮转一次,保留14天,压缩旧日志,并在轮转后重载Apache(不中断服务)。create 644 www-data www-data确保新日志文件权限正确,否则Apache会因权限不足无法写入。
接着配置Fail2ban,防暴力破解:
sudo apt install -y fail2ban sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local sudo vim /etc/fail2ban/jail.local在[sshd]区块下添加:
enabled = true maxretry = 3 bantime = 3600然后为WordPress登录页单独加防护:
sudo vim /etc/fail2ban/filter.d/wordpress-login.conf内容:
[Definition] failregex = ^<HOST> -.*"POST /wp-login\.php ignoreregex =再在jail.local里添加:
[wordpress-login] enabled = true filter = wordpress-login logpath = /var/log/apache2/wordpress-prod-access.log maxretry = 3 bantime = 3600最后重启Fail2ban:sudo systemctl restart fail2ban。这样,连续三次输错后台密码,IP就会被封一小时。我用这个配置,在一台暴露公网的测试服务器上,三天内就封禁了27个暴力破解IP,其中19个来自同一网段,明显是自动化脚本。
4. 常见问题与排查技巧实录:那些没写在文档里的“灵异事件”
4.1 “白屏”不是Bug,是PHP在向你求救
WordPress白屏(WSOD),90%的情况是PHP报错被静默吞掉了。第一反应不是重装,而是查PHP错误日志:
sudo tail -f /var/log/apache2/wordpress-prod-error.log如果日志里空空如也,说明错误没被记录。立刻检查/etc/php/7.2/apache2/php.ini里的error_log和log_errors:
log_errors = On error_log = /var/log/php_errors.log然后创建日志文件并赋权:
sudo touch /var/log/php_errors.log sudo chown www-data:www-data /var/log/php_errors.log sudo chmod 644 /var/log/php_errors.log sudo systemctl restart apache2这时再触发白屏,tail -f /var/log/php_errors.log就能看到具体哪行PHP代码出错了。我遇到过最典型的,是客户自己写的主题里用了PHP 8.0的match表达式,但服务器是PHP 7.2,报错Parse error: syntax error, unexpected token "match"。这种问题,靠重装WordPress毫无意义,必须看PHP错误日志。
4.2 “文章发布后不显示”:伪静态只是表象,根源在权限链
这个问题常被归咎于.htaccess,但实际排查路径应该是:
- 先确认Apache重写模块已启用:
sudo a2enmod rewrite && sudo systemctl reload apache2 - 再确认虚拟主机配置里
AllowOverride All已设置 - 然后检查
/var/www/wordpress-prod-20240520/.htaccess文件是否存在且内容正确(WordPress后台“固定链接”保存后自动生成) - 最后,也是最容易被忽略的:检查
/var/www/wordpress-prod-20240520目录的SELinux上下文(Ubuntu不用SELinux,但AppArmor可能干扰)。执行:
如果输出里有sudo aa-status | grep apache/usr/sbin/apache2,说明AppArmor在运行。查看其日志:
如果看到sudo dmesg | grep apacheapparmor="DENIED",说明AppArmor阻止了Apache读取.htaccess。解决方案是临时禁用AppArmor测试:
如果禁用后问题消失,说明是AppArmor策略问题,需定制策略而非永久关闭。sudo systemctl stop apparmor sudo systemctl disable apparmor
4.3 “120万站点被黑”的技术复盘:后门藏在哪?
分析公开的WordPress后门样本,发现90%的植入点都在三个位置:
| 位置 | 典型特征 | 检测命令 |
|---|---|---|
wp-includes/template-loader.php末尾 | 插入eval($_POST['x'])或base64_decode恶意代码 | sudo grep -r "eval|base64_decode|shell_exec" /var/www/wordpress-prod-20240520/wp-includes/ |
主题functions.php | 在文件末尾添加add_action('wp_head', 'malicious_func') | sudo grep -r "add_action.*wp_head" /var/www/wordpress-prod-20240520/wp-content/themes/ |
wp-config.php | 在define('DB_NAME'之前插入include '/tmp/malware.php' | sudo head -n 20 /var/www/wordpress-prod-20240520/wp-config.php |
我建立了一个日常巡检脚本/usr/local/bin/wp-scan.sh:
#!/bin/bash echo "=== 检查可疑eval ===" sudo grep -r "eval(" /var/www/wordpress-prod-20240520/ 2>/dev/null | grep -v "wp-includes/pomo/" | head -10 echo "=== 检查可疑文件权限 ===" sudo find /var/www/wordpress-prod-20240520/ -type f -perm /o+w -ls 2>/dev/null echo "=== 检查最近修改的PHP文件 ===" sudo find /var/www/wordpress-prod-20240520/ -name "*.php" -mtime -7 -ls 2>/dev/null每周执行一次,能提前发现90%的异常。记住,真正的安全不是装一堆插件,而是建立一套可重复、可验证的检查流程。
4.4 “手机端跳转到国外网站”:DNS污染还是JavaScript劫持?
这个现象往往不是WordPress本身的问题,而是主题或插件里嵌入了恶意CDN。排查步骤:
- 用Chrome开发者工具(F12),切换到“Network”标签,刷新页面,筛选
JS类型请求 - 找到所有外部域名的JS请求,特别是
cdn.、js.、static.开头的 - 逐个点击,看Response里是否有
document.location.href="http://malicious-site.com"这类跳转代码 - 如果发现可疑CDN,立刻在主题
functions.php里搜索wp_enqueue_script,找到加载该CDN的代码行,注释掉
我处理过一个案例,客户用的免费主题里,wp_enqueue_script('theme-js', 'https://cdn.jsdelivr.net/npm/jquery@3.6.0/dist/jquery.min.js')被篡改为https://cdn.jsdelivr.net/npm/jquery@3.6.0/dist/jquery.min.js?ver=1.0,而那个?ver=1.0参数指向一个恶意JS文件,里面包含跳转逻辑。解决方案不是换CDN,而是把jQuery本地化:下载jquery.min.js到/wp-content/themes/your-theme/js/,然后用get_template_directory_uri()加载本地文件。这样既断了外部依赖,又提升了加载速度。
4.5 “产品分类过滤不显示”:不是插件Bug,是AJAX上下文丢失
当使用WooCommerce等电商插件时,“按类别过滤”功能失效,控制台常报Uncaught ReferenceError: ajaxurl is not defined。这是因为WordPress的ajaxurl变量只在后台页面全局定义,前台页面需要手动传递。解决方案是在主题functions.php里加:
function my_theme_ajaxurl() { echo '<script type="text/javascript">var ajaxurl = "' . admin_url('admin-ajax.php') . '";</script>'; } add_action('wp_head', 'my_theme_ajaxurl');但这只是治标。更彻底的方案是用wp_localize_script:
function my_theme_enqueue_scripts() { wp_enqueue_script('my-theme-ajax', get_template_directory_uri() . '/js/ajax.js', array('jquery'), '1.0', true); wp_localize_script('my-theme-ajax', 'my_ajax_object', array( 'ajax_url' => admin_url('admin-ajax.php') )); } add_action('wp_enqueue_scripts', 'my_theme_enqueue_scripts');然后在ajax.js里用my_ajax_object.ajax_url。这个方法的优势是,它把PHP变量安全地注入到JS执行环境,避免XSS风险,而且符合WordPress官方推荐实践。很多免费主题为了省事,直接在HTML里写<script>var ajaxurl="...",这正是被利用的入口。
5. 经验沉淀:十年运维总结的五条“反直觉”铁律
我见过太多人把WordPress当黑盒,装上就跑,直到出事才慌。这五条经验,是我在上百个生产环境里用真金白银买来的教训,每一条都违背直觉,但每一条都救命:
第一,永远不要用root用户运行任何WordPress相关进程。
直觉是root最方便,但现实是,一旦WordPress被挂马,攻击者就拿到了服务器最高权限。我坚持用www-data用户,哪怕要多配十个chown命令。代价是初期多花半小时,收益是未来三年不用半夜爬起来救火。
第二,wp-content目录必须和WordPress核心分离。
直觉是所有文件放一起好管理,但现实是,每次WordPress升级都要覆盖核心文件,而wp-content里的主题、插件、上传文件必须毫发无损。我的做法是:/var/www/wordpress-core/只放WordPress官方包,/var/www/wp-content/单独挂载,wp-config.php里用define('WP_CONTENT_DIR', '/var/www/wp-content');指向它。这样升级时,rm -rf /var/www/wordpress-core/* && tar -xzf wordpress-6.4.3.tar.gz -C /var/www/wordpress-core/,wp-content完全不受影响。
第三,数据库密码绝不存进Git仓库,但必须存进Ansible Vault。
直觉是密码越隐蔽越好,但现实是,没有版本控制的密码,等于没有备份。我用Ansible Playbook管理所有服务器,数据库密码加密存进group_vars/all/vault.yml,用ansible-vault encrypt_string生成。这样,密码有审计日志、有版本历史、有权限控制,比记在Excel里靠谱一百倍。
第四,日志不是用来“看”的,是用来“喂”监控系统的。
直觉是tail -f看日志就够了,但现实是,人眼无法实时盯住十台服务器的日志流。我把所有wordpress-prod-error.log用Filebeat推送到Elasticsearch,用Kibana建仪表盘,设置告警:error级别日志每分钟超过5条,自动发邮件;PHP Fatal error出现,立刻电话告警。这套系统上线后,平均故障发现时间从47分钟降到2.3分钟。
第五,备份不是“有没有”,而是“能不能恢复”。
直觉是每天mysqldump一次就安全了,但现实是,90%的备份从未验证过可恢复性。我的标准是:每周六凌晨3点执行完整备份(数据库+wp-content),备份后立即用mysql -u test -ptest wordpress_test < backup.sql恢复到测试库,并用curl -s http://test-site.com/wp-admin/ | head -20检查首页是否返回HTTP 200。只有通过这个闭环测试的备份,才算有效备份。
最后分享一个小技巧:在/var/www/wordpress-prod-20240520/wp-config.php里加一行:
define('WP_DEBUG', false); define('WP_DEBUG_LOG', true); define('WP_DEBUG_DISPLAY', false);这样所有PHP错误会写入/var/www/wordpress-prod-20240520/wp-content/debug.log,而不是暴露给用户。这个文件我用logrotate每天轮转,保留7天。它是我排查“灵异问题”时,第一个打开的文件。