当サイトは、レンタルサーバーのロリポップを契約し、Wordpressで作成しています。SSL化しているので、安心してご利用ください!
SSLとはSecure Sockets Layerの略で、インターネット通信を暗号化する技術のこと。
SSL化されている=セキュリティが強化されたウェブサイトということなので、安心して閲覧できますよね。
ロリポップでは無料のSSL(Let’s Encrypt)が使えます。
素人の私でもSSL化できましたが、手続きでつまづいた部分ありました。なのでSSL化の詳しい手順をシェアしたいと思います。
SSL化するメリット
SSL化するメリットはざっくり言うと3つあると思います。
1.個人情報漏洩リスクの軽減
最大のメリットは、サイトの安全性を高められるという点。なりすまし、改ざん、盗聴を防げます。
2.httpsサイトがSEOで優遇される
SEOとは、Search Engine Optimizationの略。検索エンジン最適化を意味する言葉です。
Googleウェブマスター向け公式ブログでは、SSL化されたhttpsで始まるウェブサイトをSEO面で優遇することを発表しています。
一言でいえば、SSL化されているサイトは検索順位を上の方に持ってくるよ、ってこと!
3.視覚的に「安全なサイト」であると判断しやすい
私がSSL化したいと思った一番の理由がこれ。
SSL化サイトでは、アドレスバーの先頭に鍵マークが表示されます。
鍵マークをクリックすると、「この接続は保護されています」と表示されます。
SSL化未対応のままだと、どうなるのか
httpサイトを表示しただけで「保護されていない通信」と警告が出ます。
更に、2018年10月からは、非SSL化サイトで入力フォームに文字を入れようとすると、「保護されていません」の文字が赤字で表示される仕様になりました。
→Chrome のセキュリティにとって大きな一歩: HTTP ページに「保護されていません」と表示されるようになります│Googleウェブマスター向け公式ブログ
Googleは、SSL化未対応のサイトに対してどんどん厳しくなってきています。
これから新たにウェブサイトを立ち上げるのであれば、SSL化は必須。古いサイトも順次対応していかなければならないと思います。
「Let’s Encrypt」とは?無料の理由と安全性
Let’s Encryptとは
公式サイトは英語ですが、Let’s Encrypt総合ポータルというサイトで日本語の解説を読むことができます。
Let’s Encrypt は、認証局(CA)として「SSL/TLSサーバ証明書」を無料で発行するとともに、証明書の発行・インストール・更新のプロセスを自動化することにより、TLS や HTTPS(TLSプロトコルによって提供されるセキュアな接続の上でのHTTP通信)を普及させることを目的としているプロジェクトです。
Let’s Encrypt総合ポータル
非営利団体が運営し、複数の大手企業や団体がスポンサーとして支援しているとの記載があります。だから無料で証明書を発行できるんですね。
無料のSSL証明書は安全なのか
本来、SSL証明書って結構高額なんです。ロリポップでも、Let’s Encrypt導入前は月額2000円から。高額プランもあります。
実は、値段によって暗号化の強度が変わる訳ではないのですが、認証度のレベルによって金額が異なります。
認証度のレベルってなんぞや?と思いますよね。Let’s Encryptのように無料または安価で導入できるSSLは、「ドメイン認証」と言って、誰でも取得できるものなんです。
でも、個人でブログを運営する分にはじゅうぶん。
一方、企業・団体のみが取得できる「企業認証」というものがあります。電話審査などで厳しくチェックされるようです。
無事審査に通過すれば、より高度な認証レベルのSSLが取得できる。お墨付きがもらえるということですね。
更に、最高レベルのSSL証明書「EV認証」というものもあります。
が、本記事の読者さまで、最高レベルの物が必要な方はいないと思うので、割愛します。
ロリポップでサイトをSSL化するには数回のクリックだけ!
前置きが長くなりましたが、本題です。SSL化するだけであれば超簡単!
- ロリポップのユーザー専用ページのサイドバーから「 セキュリティ」をクリック
- 「独自SSL証明書導入」をクリック
- SSL化したいURLにチェック を入れる
- 「独自SSL(無料)を設定する」をクリックする
「×SSL保護無効」の表示が「SSL保護申請中」に変わります。
数時間後、httpsをつけたURLでサイトが無事に表示されれば、SSL化完了です。
WordPressの変更点
SSL化するだけならこれで終わりです。が、この時点ではhttpとhttps双方のURLが混在しています。
httpsにURLを統一し、常時SSL化(全ページSSL化)するには、Wordpressの管理画面でいくつかの設定が必要になります。
管理画面でサイトアドレスを「https://~」に書き換える
設定 → 一般
「WordPressアドレス(URL)」と「サイトアドレス(URL)」の頭を「https://~」に書き換え、「変更を保存」をクリック。
一度強制的にログアウトします。
IDとパスワードを入力して再ログイン。httpsがついた管理画面に入れます。
httpsになったのに鍵マークが表示されない理由
大抵の人が最初はこの状態になると思います。httpsなのに、鍵マークではなくiマークが付いている。クリックすると、
「このサイトへの接続は完全には保護されていません」
実はこの時点では、画像や内部リンクなどのURLはhttpのままです。
ページ内のすべてのURLをhttps~に変更しなければ鍵マークはつかないので、画像や内部リンクのURLを書き換える必要があります。
プラグイン「Search Regex」で画像アドレスなどを「https~」に置き換え
「Search Regex」というプラグインを使って文字列を一括で置き換えることができます。
手順のみ簡単に書きます。
- 「ツール」→「Search Regex」をクリック
- Post content・No limit・Ascending(デフォルト)を選択
- 「Search pattern」にhttp~でサイトドメインを入力
- 「Replace pattern」にhttps~でサイトドメインを入力
- 「Replace≫」をクリックして置換後の内容を確認
Resultsの下に置換結果が表示されます。
さいごに「Replace & Save≫」をクリックして保存してください。特に問題なければ、すべてのページに鍵マークがつき常時SSL化が完了します。
私は以前は「BackWPup」というプラグインを利用していました。(現在は別の方法でバックアップを取っています)
★「Search Regex」は、今後使う予定がなければ削除してOKです。
「https://~」に置き換えても鍵マークが表示されない場合は以下のページをご参照ください。
外部リンクにhttp~で始まるURLがあると常時SSL化できない?
http~で始まるサイトにリンクを貼ると、鍵マークが付かないという情報もあります。
アフィリエイトコードなどでない、ただのテキストリンク(アンカーテキスト)なら、httpのままでも大丈夫です。
メニューのカスタムリンク・ウィジェットのリンクを書き換える
「Search Regex」で置換できない部分は、手動でURLをhttps~に書き換えます。
Jetpackの自作ロゴがそうでしたね。私はほかに3箇所、手で直す必要がありました。
1.メニューのカスタムリンク
メニューにカスタムリンクを設定している場合は、自分で書き換えます。
2.テキストウィジェットにHTMLで入力した内部リンク
テキストウィジェットに直接内部リンクを書き込んでいる場合も、手動で書き換えます。
画像ウィジェットのカスタムURLで内部リンクを貼っている場合も、修正が必要です。
ウィジェット内の内部リンクは全てチェックしましょう。
3.子テーマのfooter.phpに直接書いた内部リンク
以前は、子テーマのfooter.phpに内部リンクを直接書き、メニューを作っていました。
この内部リンクのURLも、手動で修正が必要でした。
ここまでやれば、おそらく常時SSL化できると思います!
GoogleアナリティクスとSearch Consoleの設定変更
Googleアナリティクスとサーチコンソールを使っている方は、設定の変更が必要です。
詳しい解説サイトが複数あるので、やり方の説明は割愛。
「SSL化 Googleアナリティクス サーチコンソール」で検索してみてください。
個人的には、こちらのサイトが分かりやすかったです。
301リダイレクトの設定
301リダイレクトのやり方は、こちらの記事をご参照ください^^
最後に
ロリポップでワードプレスサイトをSSL化すること自体は簡単です。
が、その後の設定が、初心者の私には非常に難関でした。
新規にサイトを立ち上げる人が、最初にSSL化した状態でスタートすれば、そこまで大変ではありません。
でも、ある程度サイトを作りこんでしまってから、安易にSSL申請をすると、思わぬ苦労を強いられます。
SSL化は慎重に!
最後までお読みいただき、ありがとうございました。