]> git.openstreetmap.org Git - chef.git/blob - cookbooks/wordpress/resources/site.rb
php: increase minimum base fpm to reasonable limits
[chef.git] / cookbooks / wordpress / resources / site.rb
1 # Cookbook:: wordpress
2 # Resource:: wordpress_site
3 #
4 # Copyright:: 2015, OpenStreetMap Foundation
5 #
6 # Licensed under the Apache License, Version 2.0 (the "License");
7 # you may not use this file except in compliance with the License.
8 # You may obtain a copy of the License at
9 #
10 # https://www.apache.org/licenses/LICENSE-2.0
11 #
12 # Unless required by applicable law or agreed to in writing, software
13 # distributed under the License is distributed on an "AS IS" BASIS,
14 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
15 # See the License for the specific language governing permissions and
16 # limitations under the License.
17 #
18
19 require "securerandom"
20
21 default_action :create
22
23 property :site, :kind_of => String, :name_property => true
24 property :aliases, :kind_of => [String, Array]
25 property :directory, :kind_of => String
26 property :version, :kind_of => String
27 property :database_name, :kind_of => String, :required => true
28 property :database_user, :kind_of => String, :required => [:create]
29 property :database_password, :kind_of => String, :required => [:create]
30 property :database_prefix, :kind_of => String, :default => "wp_"
31 property :urls, :kind_of => Hash, :default => {}
32 property :fpm_max_children, :kind_of => Integer, :default => 5
33 property :fpm_start_servers, :kind_of => Integer, :default => 2
34 property :fpm_min_spare_servers, :kind_of => Integer, :default => 1
35 property :fpm_max_spare_servers, :kind_of => Integer, :default => 3
36 property :fpm_request_terminate_timeout, :kind_of => Integer, :default => 300
37 property :fpm_prometheus_port, :kind_of => Integer
38 property :reload_apache, :kind_of => [TrueClass, FalseClass], :default => true
39
40 action :create do
41   version = new_resource.version || Chef::Wordpress.current_version
42
43   node.default[:wordpress][:sites][new_resource.site] = {
44     :directory => site_directory
45   }
46
47   auth_key = persistent_token("wordpress", new_resource.site, "auth_key")
48   secure_auth_key = persistent_token("wordpress", new_resource.site, "secure_auth_key")
49   logged_in_key = persistent_token("wordpress", new_resource.site, "logged_in_key")
50   nonce_key = persistent_token("wordpress", new_resource.site, "nonce_key")
51   auth_salt = persistent_token("wordpress", new_resource.site, "auth_salt")
52   secure_auth_salt = persistent_token("wordpress", new_resource.site, "secure_auth_salt")
53   logged_in_salt = persistent_token("wordpress", new_resource.site, "logged_in_salt")
54   nonce_salt = persistent_token("wordpress", new_resource.site, "nonce_salt")
55
56   mysql_user "#{new_resource.database_user}@localhost" do
57     password new_resource.database_password
58   end
59
60   mysql_database new_resource.database_name do
61     permissions "#{new_resource.database_user}@localhost" => :all
62   end
63
64   declare_resource :directory, site_directory do
65     owner node[:wordpress][:user]
66     group node[:wordpress][:group]
67     mode "755"
68   end
69
70   subversion site_directory do
71     action :sync
72     repository "https://core.svn.wordpress.org/tags/#{version}"
73     user node[:wordpress][:user]
74     group node[:wordpress][:group]
75     ignore_failure true
76   end
77
78   wp_config = edit_file "#{site_directory}/wp-config-sample.php" do |line|
79     line.gsub!(/database_name_here/, new_resource.database_name)
80     line.gsub!(/username_here/, new_resource.database_user)
81     line.gsub!(/password_here/, new_resource.database_password)
82     line.gsub!(/wp_/, new_resource.database_prefix)
83
84     line.gsub!(/('AUTH_KEY', *)'put your unique phrase here'/, "\\1'#{auth_key}'")
85     line.gsub!(/('SECURE_AUTH_KEY', *)'put your unique phrase here'/, "\\1'#{secure_auth_key}'")
86     line.gsub!(/('LOGGED_IN_KEY', *)'put your unique phrase here'/, "\\1'#{logged_in_key}'")
87     line.gsub!(/('NONCE_KEY', *)'put your unique phrase here'/, "\\1'#{nonce_key}'")
88     line.gsub!(/('AUTH_SALT', *)'put your unique phrase here'/, "\\1'#{auth_salt}'")
89     line.gsub!(/('SECURE_AUTH_SALT', *)'put your unique phrase here'/, "\\1'#{secure_auth_salt}'")
90     line.gsub!(/('LOGGED_IN_SALT', *)'put your unique phrase here'/, "\\1'#{logged_in_salt}'")
91     line.gsub!(/('NONCE_SALT', *)'put your unique phrase here'/, "\\1'#{nonce_salt}'")
92
93     if line =~ /define\('WP_DEBUG'/
94       line += "\n"
95       line += "/**\n"
96       line += " * Don't allow file editing.\n"
97       line += " */\n"
98       line += "define('DISALLOW_FILE_EDIT', true);\n"
99       line += "define('FORCE_SSL_LOGIN', true);\n"
100       line += "define('FORCE_SSL_ADMIN', true);\n"
101     end
102
103     line
104   end
105
106   file "#{site_directory}/wp-config.php" do
107     owner node[:wordpress][:user]
108     group node[:wordpress][:group]
109     mode "644"
110     content wp_config
111   end
112
113   declare_resource :directory, "#{site_directory}/wp-content/uploads" do
114     owner "www-data"
115     group "www-data"
116     mode "755"
117   end
118
119   file "#{site_directory}/sitemap.xml" do
120     action :delete
121   end
122
123   file "#{site_directory}/sitemap.xml.gz" do
124     action :delete
125   end
126
127   cookbook_file "#{site_directory}/googlefac54c35e800caab.html" do
128     cookbook "wordpress"
129     owner node[:wordpress][:user]
130     group node[:wordpress][:group]
131     mode "644"
132     backup false
133   end
134
135   ssl_certificate new_resource.site do
136     domains [new_resource.site] + Array(new_resource.aliases)
137   end
138
139   php_fpm new_resource.site do
140     pm_max_children new_resource.fpm_max_children
141     pm_start_servers new_resource.fpm_start_servers
142     pm_min_spare_servers new_resource.fpm_min_spare_servers
143     pm_max_spare_servers new_resource.fpm_max_spare_servers
144     request_terminate_timeout new_resource.fpm_request_terminate_timeout
145     php_admin_values "open_basedir" => "#{site_directory}/:/usr/share/php/:/tmp/",
146                      "disable_functions" => "exec,shell_exec,system,passthru,popen,proc_open"
147     php_values "upload_max_filesize" => "70M",
148                "post_max_size" => "100M"
149     prometheus_port new_resource.fpm_prometheus_port
150   end
151
152   apache_site new_resource.site do
153     cookbook "wordpress"
154     template "apache.erb"
155     directory site_directory
156     variables :aliases => Array(new_resource.aliases),
157               :urls => new_resource.urls
158     reload_apache false
159   end
160
161   http_request "https://#{new_resource.site}/wp-admin/upgrade.php" do
162     action :nothing
163     url "https://#{new_resource.site}/wp-admin/upgrade.php?step=1"
164     subscribes :get, "subversion[#{site_directory}]"
165   end
166
167   wordpress_plugin "wp-fail2ban" do
168     site new_resource.site
169     reload_apache false
170   end
171
172   script "#{site_directory}/wp-content/plugins/wp-fail2ban" do
173     action :nothing
174     interpreter "php"
175     cwd site_directory
176     user "wordpress"
177     code <<-WP_FAIL2BAN
178     <?php
179     @include "wp-config.php";
180     @include_once "wp-includes/functions.php";
181     @include_once "wp-admin/includes/plugin.php";
182     activate_plugin("wp-fail2ban/wp-fail2ban.php", '', false, false);
183     ?>
184     WP_FAIL2BAN
185     subscribes :run, "wordpress_plugin[wp-fail2ban]"
186   end
187 end
188
189 action :delete do
190   wordpress_plugin "wp-fail2ban" do
191     action :delete
192     site new_resource.site
193     reload_apache false
194   end
195
196   apache_site new_resource.site do
197     action :delete
198     reload_apache false
199   end
200
201   declare_resource :directory, site_directory do
202     action :delete
203     recursive true
204   end
205
206   mysql_database new_resource.database_name do
207     action :drop
208   end
209
210   mysql_user "#{new_resource.database_user}@localhost" do
211     action :drop
212   end
213 end
214
215 action_class do
216   include Chef::Mixin::EditFile
217   include Chef::Mixin::PersistentToken
218
219   def site_directory
220     new_resource.directory || "/srv/#{new_resource.site}"
221   end
222 end
223
224 def after_created
225   notifies :reload, "service[apache2]" if reload_apache
226 end