]> git.openstreetmap.org Git - chef.git/blob - cookbooks/wordpress/resources/site.rb
ee4f12b91614f17d956c9a6e5758b90cfa258d50
[chef.git] / cookbooks / wordpress / resources / site.rb
1 # Cookbook:: wordpress
2 # Resource:: wordpress_site
3 #
4 # Copyright:: 2015, OpenStreetMap Foundation
5 #
6 # Licensed under the Apache License, Version 2.0 (the "License");
7 # you may not use this file except in compliance with the License.
8 # You may obtain a copy of the License at
9 #
10 # https://www.apache.org/licenses/LICENSE-2.0
11 #
12 # Unless required by applicable law or agreed to in writing, software
13 # distributed under the License is distributed on an "AS IS" BASIS,
14 # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
15 # See the License for the specific language governing permissions and
16 # limitations under the License.
17 #
18
19 require "securerandom"
20
21 default_action :create
22
23 property :site, :kind_of => String, :name_property => true
24 property :aliases, :kind_of => [String, Array]
25 property :directory, :kind_of => String
26 property :version, :kind_of => String
27 property :database_name, :kind_of => String, :required => true
28 property :database_user, :kind_of => String, :required => true
29 property :database_password, :kind_of => String, :required => true
30 property :database_prefix, :kind_of => String, :default => "wp_"
31 property :urls, :kind_of => Hash, :default => {}
32 property :reload_apache, :kind_of => [TrueClass, FalseClass], :default => true
33
34 action :create do
35   version = new_resource.version || Chef::Wordpress.current_version
36
37   node.normal_unless[:wordpress][:sites][new_resource.site] = {}
38
39   node.normal[:wordpress][:sites][new_resource.site][:directory] = site_directory
40
41   node.normal_unless[:wordpress][:sites][new_resource.site][:auth_key] = SecureRandom.base64(48)
42   node.normal_unless[:wordpress][:sites][new_resource.site][:secure_auth_key] = SecureRandom.base64(48)
43   node.normal_unless[:wordpress][:sites][new_resource.site][:logged_in_key] = SecureRandom.base64(48)
44   node.normal_unless[:wordpress][:sites][new_resource.site][:nonce_key] = SecureRandom.base64(48)
45   node.normal_unless[:wordpress][:sites][new_resource.site][:auth_salt] = SecureRandom.base64(48)
46   node.normal_unless[:wordpress][:sites][new_resource.site][:secure_auth_salt] = SecureRandom.base64(48)
47   node.normal_unless[:wordpress][:sites][new_resource.site][:logged_in_salt] = SecureRandom.base64(48)
48   node.normal_unless[:wordpress][:sites][new_resource.site][:nonce_salt] = SecureRandom.base64(48)
49
50   mysql_user "#{new_resource.database_user}@localhost" do
51     password new_resource.database_password
52   end
53
54   mysql_database new_resource.database_name do
55     permissions "#{new_resource.database_user}@localhost" => :all
56   end
57
58   declare_resource :directory, site_directory do
59     owner node[:wordpress][:user]
60     group node[:wordpress][:group]
61     mode "755"
62   end
63
64   subversion site_directory do
65     action :sync
66     repository "https://core.svn.wordpress.org/tags/#{version}"
67     user node[:wordpress][:user]
68     group node[:wordpress][:group]
69     ignore_failure true
70   end
71
72   wp_config = edit_file "#{site_directory}/wp-config-sample.php" do |line|
73     line.gsub!(/database_name_here/, new_resource.database_name)
74     line.gsub!(/username_here/, new_resource.database_user)
75     line.gsub!(/password_here/, new_resource.database_password)
76     line.gsub!(/wp_/, new_resource.database_prefix)
77
78     line.gsub!(/('AUTH_KEY', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:auth_key]}'")
79     line.gsub!(/('SECURE_AUTH_KEY', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:secure_auth_key]}'")
80     line.gsub!(/('LOGGED_IN_KEY', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:logged_in_key]}'")
81     line.gsub!(/('NONCE_KEY', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:nonce_key]}'")
82     line.gsub!(/('AUTH_SALT', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:auth_salt]}'")
83     line.gsub!(/('SECURE_AUTH_SALT', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:secure_auth_salt]}'")
84     line.gsub!(/('LOGGED_IN_SALT', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:logged_in_salt]}'")
85     line.gsub!(/('NONCE_SALT', *)'put your unique phrase here'/, "\\1'#{node[:wordpress][:sites][new_resource.site][:nonce_salt]}'")
86
87     if line =~ /define\('WP_DEBUG'/
88       line += "\n"
89       line += "/**\n"
90       line += " * Don't allow file editing.\n"
91       line += " */\n"
92       line += "define('DISALLOW_FILE_EDIT', true);\n"
93       line += "define('FORCE_SSL_LOGIN', true);\n"
94       line += "define('FORCE_SSL_ADMIN', true);\n"
95     end
96
97     line
98   end
99
100   file "#{site_directory}/wp-config.php" do
101     owner node[:wordpress][:user]
102     group node[:wordpress][:group]
103     mode "644"
104     content wp_config
105   end
106
107   declare_resource :directory, "#{site_directory}/wp-content/uploads" do
108     owner "www-data"
109     group "www-data"
110     mode "755"
111   end
112
113   file "#{site_directory}/sitemap.xml" do
114     action :delete
115   end
116
117   file "#{site_directory}/sitemap.xml.gz" do
118     action :delete
119   end
120
121   cookbook_file "#{site_directory}/googlefac54c35e800caab.html" do
122     cookbook "wordpress"
123     owner node[:wordpress][:user]
124     group node[:wordpress][:group]
125     mode "644"
126     backup false
127   end
128
129   ssl_certificate new_resource.site do
130     domains [new_resource.site] + Array(new_resource.aliases)
131   end
132
133   php_fpm new_resource.site do
134     php_admin_values "open_basedir" => "#{site_directory}/:/usr/share/php/:/tmp/",
135                      "disable_functions" => "exec,shell_exec,system,passthru,popen,proc_open"
136     php_values "upload_max_filesize" => "70M",
137                "post_max_size" => "100M"
138   end
139
140   apache_site new_resource.site do
141     cookbook "wordpress"
142     template "apache.erb"
143     directory site_directory
144     variables :aliases => Array(new_resource.aliases),
145               :urls => new_resource.urls
146     reload_apache false
147   end
148
149   http_request "https://#{new_resource.site}/wp-admin/upgrade.php" do
150     action :nothing
151     url "https://#{new_resource.site}/wp-admin/upgrade.php?step=1"
152     subscribes :get, "subversion[#{site_directory}]"
153   end
154
155   wordpress_plugin "wp-fail2ban" do
156     site new_resource.site
157     reload_apache false
158   end
159
160   script "#{site_directory}/wp-content/plugins/wp-fail2ban" do
161     action :nothing
162     interpreter "php"
163     cwd site_directory
164     user "wordpress"
165     code <<-WP_FAIL2BAN
166     <?php
167     @include "wp-config.php";
168     @include_once "wp-includes/functions.php";
169     @include_once "wp-admin/includes/plugin.php";
170     activate_plugin("wp-fail2ban/wp-fail2ban.php", '', false, false);
171     ?>
172     WP_FAIL2BAN
173     subscribes :run, "wordpress_plugin[wp-fail2ban]"
174   end
175 end
176
177 action :delete do
178   wordpress_plugin "wp-fail2ban" do
179     action :delete
180     site new_resource.site
181     reload_apache false
182   end
183
184   apache_site new_resource.site do
185     action :delete
186     reload_apache false
187   end
188
189   declare_resource :directory, site_directory do
190     action :delete
191     recursive true
192   end
193
194   mysql_database new_resource.database_name do
195     action :drop
196   end
197
198   mysql_user "#{new_resource.database_user}@localhost" do
199     action :drop
200   end
201 end
202
203 action_class do
204   include Chef::Mixin::EditFile
205
206   def site_directory
207     new_resource.directory || "/srv/#{new_resource.site}"
208   end
209 end
210
211 def after_created
212   notifies :reload, "service[apache2]" if reload_apache
213 end