初心者でも簡単にできるWordPress常時SSL化の方法とポイント

wordpress ssl WordPress
「WordPressを常時SSL化したい」
「WordPressをSSL化するメリットは?」

WordPressのSSL化する方法が分からなくて困ってはいませんか?
GoogleからSSL化するように警告表示されても、一体何からやればよいのか分からないという方も多いでしょう。
SSL化するのは何かと面倒だという話もよく聞きます。

しかし、WordPressのSSL化はやり方さえ覚えてしまえばとても簡単です。
誰でもできるようになっているので、この機会にSSL化にチャレンジしてみるのもよいかもしれませんよ。

この記事ではWordPressを常時SSL化する方法を紹介します。
注意点やポイントなども解説するので、WordPressのSSL化に悩んでる方は参考にしてください。

WordPressを常時SSL化するメリット・デメリット

wordpress ssl
SSL(Secure Socket Layer)とは、通信は暗号化する技術です。
WordPressを常時SSL化することでどのようなメリット・デメリットがあるのでしょうか。

メリット

Webサイトの信頼性があがる

WordPressをSSL通信で暗号化することで、ウェブサイトとしての信頼性が高まります。
実際に大手検索エンジンのGoogleは、2014年の時点でSSL化がウェブサイトの評価の一つであると発表しています。

Googleからの評価が高まる可能性あり

WordPressの常時SSL化は、Googleからの評価を高めるのに効果的です。
実際、Googleは常時SSL化に対し、以下のような声明を出しています。

Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。
この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。

引用:Google

Googleからの警告表示が消える

Googleは、2018年7月から常時SSL化されてないWebサイトに対し「このサイトは安全ではありません」という警告を表示するようになりました。
表示される箇所はブラウザの上部にあるURLバーの左端です。

この警告は赤文字で表示されるため、かなり目立ちます。
ユーザーに「このサイトは安全ではないのかな?」と思われれば、離脱原因にもなりかねません。
WordPressを常時SSL化すれば、このような警告表示を消すことができます。

サイトのセキュリティが上がる

SSLは通信を暗号化する技術なため、セキュリティの向上に効果的です。
個人情報やクレジットカード番号など重要性の高いデータを送受信する場合に重宝します。
常時SSL化してないだけでセキュリティ的に問題ありといえるでしょう。

サイトに表示が速くなる可能性が高い

常時SSL化は次世代プロトコルであるHTTP/2に対応しているため、サイトのレスポンス速度の向上が期待できます。

HTTP/2とは、レスポンス速度の向上を目的としたwebプロトコルです。
従来のプロトコルであるHTTP/1.1のデメリットを解消するために開発されました。
HTTP/2を利用することで、表示速度の速いサイトを構築できます。

もちろん規格上は、非暗号通信であるHTTPもHTTP/2に含まれるのですが、多くのWebベンダーはSSL化した通信にのみ対応すると表明しています。
常時SSL化しなければHTTP/2を利用することは困難です。

このように、今後はHTTP/2プロトコルが主流になっていくと考えられます。
HTTP/2に対応するなら、常時SSL化が必要なのは言うまでもありません。

デメリット

コストがかかる

WordPressの常時SSL化は手間がかかります。
といっても新規作成するサイトの場合は、それほど手間はかかりません。

問題なのは長期間運営したサイトの場合です。
長期間運営したサイトは、画像や動画ファイルなどが大量に保存されています。
このようなサイトのSSL化はコストもかかり、エラーチェックするのも困難です。

SEOが不安定になる

WordPressを常時SSL化したことにより、SEOが不安定になることが報告されています。
と言っても人によりまちまちなので、必ず検索順位が落ちるというわけではありません。

特にSEOは日常的に上下変動繰り返します。
Googleが常時SSL化を推進している以上、気にしすぎるのもよくないでしょう。

WordPressの常時SSL化する方法・手順

wordpress ssl
早速WordPressを常時SSL化していきましょう。
ウェブサイト全てのページに適用させるため、人によっては大変な作業になると思います。
できるだけ簡単な作業にできるようにしていきますので、常時SSL化の参考にしてください。

WordPressを更新する

常時SSL化する前に、WordPressのバージョンを最新のものにしておきましょう。
プラグイン・テーマなども同様です。

SSL化の前にバックアップをとる

何らかのトラブルが起きた場合に備え、バックアップをとりましょう。
FTPやデータベースを利用して、全てのデータをコピーするのがおすすめです。
データベースのみをバックアップするなら、プラグイン「BackWPup」がおすすめです。

SSLサーバーの証明書を取得する

常時SSL化には、サーバーSSL証明書が必要です。
レンタルサーバーごとに取得方法が異なるので、サーバー会社に問い合わせてみましょう。

多くのレンタルサーバーでは管理画面にSSLの設定ページがあります。
取得方法に合わせ、Webサイトのドキュメントルートの設定手順なども確認しておくとよいでしょう。

プラグイン「Really Simple SSL」を使う

WordPressの常時SSL化はプラグイン「Really Simple SSL」を使えば簡単です。
プラグインを有効化して「はい、SSLを有効化します」を選択すれば完了です。

とはいえ、Really Simple SSLだけでは、内部リンクやページ内ファイルのURLまでは変更できません。
ページ数が膨大で、一つずつ変更するのが困難という方は「Search Regex」というプラグインを利用しましょう。
プラグインを削除すればSSL化も解除されます。

プラグインを使わずに常時SSL化する方法

WordPressの常時SSL化はプラグインを使わなくても可能です。
ここではプラグインを使わずにSSL化する方法を紹介します。

.WordPressのURLを変更する

ますは、管理画面からWordPressのURLを変更します。

  • 管理画面から「設定」⇒「一般設定」
  • 「WordPress アドレス (URL)」と「サイトアドレス (URL)」のhttpを「https」に変更する
  • 「変更を保存」をクリック

これでWordPressのURLのSSL化は完了です。

WordPressの内部リンクのURLを変更する

次は内部リンクのURLを、1ページずつhttpsに変更していきましょう。
ページ数が膨大にある場合は、プラグインを使うのが無難です。
1ページずつ確実にhttps化すれば、SSLチェックが楽になります。

URLをリダイレクト設定にして正規化する

次はURLをリダイレクト設定してきます。
常時SSL化したとしても、HTTPサイトがなくなったわけではありません。

この段階ではHTTPでもアクセスできるため、HTTPSのサイトURLを正規化する必要があります。
正規化しないとHTTPサイトにアクセスした時に「ページが見つかりません」と表示されるので注意してください。

このようなメッセージは、ユーザーの離脱を誘発しますしGoogleからの評価も落としかねません。
SSL化した後は必ずHTTPSの正規化を行いましょう。

URLの正規化方法は2つあります。

.htaccessを使う方法

まずは、.htaccessファイルを編集する方法です。
FTPなどを用いて、サーバーの.htaccessファイルにアクセスしましょう。
.htaccessファイルは、非常に重要なデータなので編集する前に必ずバックアップを取ってください。

.htaccessファイルにアクセスしたら、以下のコードをコピペしてください。

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://example.com/$1 [R=301,L]

これで.htaccessでの正規化完了です。

Redirectionを使う方法

.htaccessを編集したくないという方は、こちらの方法がオススメです。
プラグイン「Redirection」を使えば、誰でも簡単に正規化できます。

Redirectionの設定画面から「Add new redirection」⇒「Add Redirect」へと進んでください。
歯車のボタンをクリックして、「Source URL」にHTTPのURL、「Target URL」にHTTPSのURLを入力しましょう。

HTTP codeが「301」になっているか確認し、「Group」⇒「転送ルール」に切り替えたら「Add Redirect」をクリックしてください。
これでURLの正規化は完了です。

WordPressの常時SSL導入後の注意点

wordpress ssl
ここからは、WordPressをSSL化したあとの注意点を紹介していきます。

SSL化されてるか確かめる

SSL化できてなければ意味がありません。
SSL化したからといって安心せず、必ず通信が暗号化されているか確認するようにしてください。
プラグイン・テーマ・ページ内ファイルなどが原因で、エラーになることもあるようです。

ツールを再登録する

SSLはWordPressにのみ適用すればよいというわけでありません。
ここでは、サイト運営者がよく利用するツールやサービスの設定方法を紹介していきます。

Google Analytics

「アナリティクス設定」⇒「プロパティ設定」へと進み、「デフォルトのURL」の「http://」部分を「https://」に変更してください。

Google Search Console

SSL化したサイトは、Google Search Consoleでは「未確認サイト」になってます。
Google Search Consoleを利用するには、HTTPSサイトを再登録するしかないようです。

GRC

「検索設定」から「URLのhttpとhttpsの違いを無視」を有効にしてください。

エディタ類

Windows Live Writerなどのブログエディタなども、SSL対応が必要です。
登録しているWebアドレスを、HTTPSサイトに変更しましょう。

SNSシェアアカウント

WordPressサイトとSNSを連携させている場合は、SNSの登録サイトを変更します。
「SNS Count Cache」というプラグインを利用すれば、HTTPとHTTPSのアカウントを一括でキャッシュ化できます。

混合コンテンツがないかチェックする

HTTPSとHTTPが混在したコンテンツは、多くのブラウザでブロックされます。
SSL化した後は、HTTPSとHTTPが混在してないか、Googleデベロッパーツールなどで確認することが大切です。

WordPressがSSL化できないとき

wordpress ssl
WordPressがSSL化されない時は、以下の点を参考にしてください。

エラーの原因を特定する

Chromeのデベロッパーツールを利用する

Google Chromeに標準搭載されているデベロッパーツールを使えば、SSLエラーのチェックができます。
キーボードのF12キーを押して、デベロッパーツールを立ち上げてください。
「Console」タブを開けば、エラー原因が英語で記載されているはずです。

Chromeのセキュリティオーバービューを使う

Google Chromeのデベロッパーツールでは、SecurityタブでもSSLエラーがチェックできます。
HTTPS通信が正常なら、securityタブのセキュリティオーバービュー内に「This page is secure (valid HTTPS).」と表示されています。
SSL化が失敗している場合は、「This page is not secure.」と表示されているはずです。

SSLエラーを起こしそうな箇所

ここでは、SSLエラーを起こしそうな場所を紹介します。

テーマ

WordPressのテーマ自体にHTTPが適用されてないか調べましょう。
エディターのgrep検索機能などを使うのがオススメです。

ウィジェットエリア

WordPressの管理画面から「外観」⇒「ウィジェット」 へと進み、formタグ・scriptタグなどがHTTPになってないか確認してください。

テーマカスタマイザー

テーマカスタマイザーでヘッダーやロゴ画像を設定している場合は、そちらのURLも確認してください。

アフィリエイトタグ

稀にSSL化してないアフィリエイトタグがあるようです。

各種タグ類

カエレバ・ヨメレバなどのタグを利用している場合は、そちらのURLも確認してください。

SSL対応していないスクリプト

SSL対応していないスクリプトタグを利用する場合もエラーがでます。
チェックするページのソースを開き、<script>と検索してHTTPに対応してないか確認してください。

.HTTPファイルを削除する

HTTPとHTTPSのドキュメントルートを固定ディレクトリ以外にできない場合、HTTPファイルを削除する必要があります。

.CSSやプラグインの内部パスを変更する

CSSファイルやプラグインを自作している場合、内部パスがHTTPになってる可能性があります。

まとめ

WordPressのSSL化はセキュリティを向上させるのに効果的です。
Googleが推奨していることからSEOにも効果があると言われています。

多少の手間は必要ですが、導入するメリットは多いと言えるでしょう。
エラーが出た場合は、デベロッパーツールなど用いて原因を特定してください。

コメント