Администрирование сайта — удалённая работа в Москве

Развертывание WordPress + n8n + PostgreSQL на одном VPS. Лендинг. Платформа: WordPress. Настроить и развернуть готовую к эксплуатации среду для WordPress, n8n и PostgreSQL на одном VPS. Решение должно быть безопасным, оптимизированным и простым в обслуживании. Сделать так, чтобы чат на сайте вызывал безопасный публичный API-эндпоинт, а настоящий n8n webhook оставался скрытым и защищённым от злоупотреблений. ЗАДАЧИ Развёртывание: Ubuntu 22.04 LTS; Docker Compose; сети front/back; Nginx/Traefik c Let’s Encrypt, HSTS, security headers, real-IP для Cloudflare. Домены: mydomain.com → WP; /api/chat (gateway) на том же домене; UI n8n (опционально) — за Cloudflare Access/IP-allowlist; webhook n8n — только из back-сети/UFW allowlist (gateway IP). WP: OPcache+Redis, автопатчи, запрет xmlrpc, защита /wp-admin; кэш на Redis; gzip/brotli. n8n: внутренний webhook; первый узел — HMAC+timestamp+nonce; ранние [Телефон скрыт]. PostgreSQL: отдельные пользователи/БД, scram-sha-256, доступ — localhost/back-сеть; тюнинг. Redis: для кэша и rate-limit/nonce. Gateway /api/chat: Turnstile/hCaptcha (сервер-сайд), sanitization, лимиты 10 req/min per-IP и 5 req/min per-session (Redis), метаданные, HMAC-подпись (SHA-256), TTL ±5 мин + nonce-анти-replay, проксирование в внутренний webhook, маскировка ошибок. Безопасность: SSH-ключи, root-login off, UFW default-deny, allow Cloudflare IP к 80/443, закрыть PG/Redis/n8n; fail2ban. Бэкапы: daily+weekly, retention 14/30 дн., шифрование, offsite, документированный restore-тест. Мониторинг: аптайм-чеки, алерты по 5xx/4xx/ресурсам/SSL, ротация docker-логов. Секреты/ротация: .env (HMAC/CAPTCHA/DB/n8n), регламент ротации webhook UUID+секретов. Версии/лимиты: pinned образы; mem_limit/cpus в compose. ЧЕК-ЛИСТ ПРИЕМКИ Фронтенд вызывает только https://mydomain.com/api/chat. Публичные вызовы webhook n8n блокируются (скан портов + HTTP-проверка). CAPTCHA fail → 400, invalid HMAC/старый timestamp/повтор nonce → 401 (лог фиксируется). Rate-limit: >10 req/min/IP или >5 req/min/session → 429 (запись в Redis видна). Время ответа чата ≤ 2–4 с P95 при 1 rps; ошибок 5xx < 1%. Бэкап прошёл и restore-тест успешен (WP+n8n+PG). Документация: README (запуск/останов, добавление домена, ротация секретов, восстановление). Образы закреплены по версиям; .env вне репо; UFW/Cloudflare настроены; real-IP корректен в логах.