]> git.openstreetmap.org Git - chef.git/blob - cookbooks/wordpress/resources/site.rb
Remove Strict-Transport-Security proxy passed header
[chef.git] / cookbooks / wordpress / resources / site.rb
1 # Cookbook Name:: wordpress
2 # Resource:: wordpress_site
3 #
4 # Copyright 2015, OpenStreetMap Foundation
5 #
6 # Licensed under the Apache License, Version 2.0 (the "License");
7 # you may not use this file except in compliance with the License.
8 # You may obtain a copy of the License at
9 #
10 # https://www.apache.org/licenses/LICENSE-2.0
11 #
12 # Unless required by applicable law or agreed to in writing, software
13 # distributed under the License is distributed on an "AS IS" BASIS,
14 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
15 # See the License for the specific language governing permissions and
16 # limitations under the License.
17 #
18
19 require "securerandom"
20
21 default_action :create
22
23 property :site, :kind_of => String, :name_attribute => true
24 property :aliases, :kind_of => [String, Array]
25 property :directory, :kind_of => String
26 property :version, :kind_of => String
27 property :database_name, :kind_of => String, :required => true
28 property :database_user, :kind_of => String, :required => true
29 property :database_password, :kind_of => String, :required => true
30 property :database_prefix, :kind_of => String, :default => "wp_"
31 property :urls, :kind_of => Hash, :default => {}
32 property :reload_apache, :kind_of => [TrueClass, FalseClass], :default => true
33
34 action :create do
35   version = new_resource.version || Chef::Wordpress.current_version
36
37   node.normal_unless[:wordpress][:sites][new_resource.site] = {}
38
39   node.normal[:wordpress][:sites][new_resource.site][:directory] = site_directory
40
41   node.normal_unless[:wordpress][:sites][new_resource.site][:auth_key] = SecureRandom.base64(48)
42   node.normal_unless[:wordpress][:sites][new_resource.site][:secure_auth_key] = SecureRandom.base64(48)
43   node.normal_unless[:wordpress][:sites][new_resource.site][:logged_in_key] = SecureRandom.base64(48)
44   node.normal_unless[:wordpress][:sites][new_resource.site][:nonce_key] = SecureRandom.base64(48)
45   node.normal_unless[:wordpress][:sites][new_resource.site][:auth_salt] = SecureRandom.base64(48)
46   node.normal_unless[:wordpress][:sites][new_resource.site][:secure_auth_salt] = SecureRandom.base64(48)
47   node.normal_unless[:wordpress][:sites][new_resource.site][:logged_in_salt] = SecureRandom.base64(48)
48   node.normal_unless[:wordpress][:sites][new_resource.site][:nonce_salt] = SecureRandom.base64(48)
49
50   mysql_user "#{new_resource.database_user}@localhost" do
51     password new_resource.database_password
52   end
53
54   mysql_database new_resource.database_name do
55     permissions "#{new_resource.database_user}@localhost" => :all
56   end
57
58   declare_resource :directory, site_directory do
59     owner node[:wordpress][:user]
60     group node[:wordpress][:group]
61     mode 0o755
62   end
63
64   subversion site_directory do
65     action :sync
66     repository "https://core.svn.wordpress.org/tags/#{version}"
67     user node[:wordpress][:user]
68     group node[:wordpress][:group]
69     ignore_failure true
70   end
71
72   wp_config = edit_file "#{site_directory}/wp-config-sample.php" do |line|
73     line.gsub!(/database_name_here/, new_resource.database_name)
74     line.gsub!(/username_here/, new_resource.database_user)
75     line.gsub!(/password_here/, new_resource.database_password)
76     line.gsub!(/wp_/, new_resource.database_prefix)
77
78     line.gsub!(/('AUTH_KEY', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:auth_key]}'")
79     line.gsub!(/('SECURE_AUTH_KEY', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:secure_auth_key]}'")
80     line.gsub!(/('LOGGED_IN_KEY', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:logged_in_key]}'")
81     line.gsub!(/('NONCE_KEY', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:nonce_key]}'")
82     line.gsub!(/('AUTH_SALT', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:auth_salt]}'")
83     line.gsub!(/('SECURE_AUTH_SALT', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:secure_auth_salt]}'")
84     line.gsub!(/('LOGGED_IN_SALT', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:logged_in_salt]}'")
85     line.gsub!(/('NONCE_SALT', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:nonce_salt]}'")
86
87     if line =~ /define\('WP_DEBUG'/
88       line += "\n"
89       line += "/**\n"
90       line += " * Don't allow file editing.\n"
91       line += " */\n"
92       line += "define('DISALLOW_FILE_EDIT', true);\n"
93       line += "define('FORCE_SSL_LOGIN', true);\n"
94       line += "define('FORCE_SSL_ADMIN', true);\n"
95     end
96
97     line
98   end
99
100   file "#{site_directory}/wp-config.php" do
101     owner node[:wordpress][:user]
102     group node[:wordpress][:group]
103     mode 0o644
104     content wp_config
105   end
106
107   declare_resource :directory, "#{site_directory}/wp-content/uploads" do
108     owner "www-data"
109     group "www-data"
110     mode 0o755
111   end
112
113   file "#{site_directory}/sitemap.xml" do
114     action :delete
115   end
116
117   file "#{site_directory}/sitemap.xml.gz" do
118     action :delete
119   end
120
121   cookbook_file "#{site_directory}/googlefac54c35e800caab.html" do
122     cookbook "wordpress"
123     owner node[:wordpress][:user]
124     group node[:wordpress][:group]
125     mode 0o644
126     backup false
127   end
128
129   ssl_certificate new_resource.site do
130     domains [new_resource.site] + Array(new_resource.aliases)
131   end
132
133   apache_site new_resource.site do
134     cookbook "wordpress"
135     template "apache.erb"
136     directory site_directory
137     variables :aliases => Array(new_resource.aliases),
138               :urls => new_resource.urls
139     reload_apache false
140   end
141
142   http_request "https://#{new_resource.site}/wp-admin/upgrade.php" do
143     action :nothing
144     url "https://#{new_resource.site}/wp-admin/upgrade.php?step=1"
145     subscribes :get, "subversion[#{site_directory}]"
146   end
147
148   wordpress_plugin "wp-fail2ban" do
149     site new_resource.site
150     reload_apache false
151   end
152
153   script "#{site_directory}/wp-content/plugins/wp-fail2ban" do
154     action :nothing
155     interpreter "php"
156     cwd site_directory
157     user "wordpress"
158     code <<-WP_FAIL2BAN
159     <?php
160     @include "wp-config.php";
161     @include_once "wp-includes/functions.php";
162     @include_once "wp-admin/includes/plugin.php";
163     activate_plugin("wp-fail2ban/wp-fail2ban.php", '', false, false);
164     ?>
165     WP_FAIL2BAN
166     subscribes :run, "wordpress_plugin[wp-fail2ban]"
167   end
168 end
169
170 action :delete do
171   wordpress_plugin "wp-fail2ban" do
172     action :delete
173     site new_resource.site
174     reload_apache false
175   end
176
177   apache_site new_resource.site do
178     action :delete
179     reload_apache false
180   end
181
182   declare_resource :directory, site_directory do
183     action :delete
184     recursive true
185   end
186
187   mysql_database new_resource.database_name do
188     action :drop
189   end
190
191   mysql_user "#{new_resource.database_user}@localhost" do
192     action :drop
193   end
194 end
195
196 action_class do
197   include Chef::Mixin::EditFile
198
199   def site_directory
200     new_resource.directory || "/srv/#{new_resource.site}"
201   end
202 end
203
204 def after_created
205   notifies :reload, "service[apache2]" if reload_apache
206 end