このブログを書いてるのはこんな人

WordPressの常時SSL化(https)の方法「保護されていません」

だいたい 5 分で読めます。

常時SSL化のイメージhttp://oldno07.com → https:/oldno07.com

サイトの常時SSL化。URLをhttpからhttpsへ。細かい話は置いといて、セキュリティ向上とSEO微増の効果があります。
やることにメリットはあるのはわかるけどちょっと・・・面倒だ。

[voice icon=”//oldno07.com/img/masaoka120.png” name=”マサオカ” type=”l”]私の目指すコンテンツマーケティングは、より良い記事の作成に集中することだ。そういうのはちょっと…[/say]

というふうに、やらない理由を作っては自分に言い訳してました。SSL化に失敗してサイトが表示されなくなったり、今までの計測データが飛ぶのが怖くて、何よりめんどそうで消極的というのがホンネです。

今回、勇気を出してwordpressの常時SSL化にチャレンジです!

BackWPupでワードプレスのバックアップも取り、万全の状態で挑んだのですが、特に問題もなく4時間くらいで作業が終わりました。
拍子抜けです。

あとは、記本本文内のリンク、画像リンクの貼り換え作業が残っています。
今回の記事は、寝ログ様のWordPressを常時SSL化するにあたっての注意点と補足。Google公式ブログから考察する、SSL化のメリットについてのお話。

実際の設定については、WordPressをhttpからhttpsにSSL化した全手順まとめ(エックスサーバー環境)が詳しいのでオススメです。

WordPress常時SSL化のメリットとデメリットは?

常時SSL(Secure Sockets Layer)化というのは、Webサイト全てのページをhttps化(暗号化)した状態にすることです。

今まで、ログインページや個人情報をやり取りする場面で通信を暗号化する方法(部分的なSSL)が一般的でした。

SSL化のメリット

  • セキュリティの向上(盗聴やなりすましの防止)→ユーザーに安全なサイトと思ってもらえる
  • ウェブサイトの価値向上→Google曰くちょっぴりSEOの向上も見込まれる?

Google公式ブログのアナウンスから考察

Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。

出典:HTTPS をランキング シグナルに使用します|Googleウェブマスター向け公式ブログ

暗号化されユーザーの安全性を考慮したサイトは、ユーザーに有益なサイトと判断されるということですね。

Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします。具体的には、HTTP ページに対応する HTTPS ページのクロールを開始します。

出典:HTTPS ページが優先的にインデックスに登録されるようになります|Googleウェブマスター向け公式ブログ

HTTPに対応するHTTPSページがあればそちらを優先してクロールするとも言われており、HTTPSを使ったWebの安全性の強化を進めていることがわかります。

ユーザーが安心してWeb閲覧をできる環境を作ることは、我々サイト運営者の役目の一つではないでしょうか。

安全なサイトかそうでないサイトか、相手にも伝わる

ブラウザ上でも、安全なサイトかどうか表示はされています。
こちらが、SSLに対応していない我が「マサオカブログアクアリウム」です。!にカーソルをあわせると、こんな表示がされます。


あまりカーソルをあわせる人はいないと思いますが、これがログイン情報やパスワードを入力するページになると、このビックリマークの隣に赤字で「保護されていません」と表示されます。

では次の画像を御覧ください。

こちらは、我が「マサオカブログ」です。このhttpsは良くみる表示ですね。

「保護された通信」があるサイトは、「ああ、なんかわからないけど保護されてるんだなー」と閲覧者が思ってくれそう。
逆説的に、このアイコンがついていないサイトは「じゃあ保護されてないの?大丈夫?」となる不安を煽る危険性はありますね。

さらに今後Googleは、パスワードなどの入力画面だけでなく、すべてのHTTP(暗号化なし)のページに対して、警告を表示することを予告しているので注意が必要です。

HTTPサイトはユーザーに対してデータセキュリティを提供していないため、例えばURLの横に錠に赤いバツをつけたマークを表示するなどして、その事実をユーザーに警告することを提案している。
参考:ChromeにHTTPサイトを「保護されていない」と表示する機能が追加へ

SSL化のデメリット

  • コスト…HTTPS(暗号化通信)に必要なSSLサーバー証明書が有料(数千円~十数万円/年間)
  • 手間…サイトだけでなく、GAやサーチコンソール、リンクなど全てを変更する必要がある

コストについては、エックスサーバーはSSLのサーバ証明書を無料で発行してくれるようになりました。
手間については否めません。まとまった時間が多少は要りますので、このあたりがデメリットなのではないでしょうか。

wordpressサイトの常時SSL化にチャレンジ

本筋の常時SSL化については、寝ログ様の記事を参考に、Wordpressの常時SSL化を行いました。

参考:WordPressをhttpからhttpsにSSL化した全手順まとめ(エックスサーバー環境)

なんでも、SSLは有料というのが定説ですが、エックスサーバーはドメイン認証型のSSLが無料で発行できるようになっています。

記事を書かれていた皆様がWordPressのSSL化についてブログで、「バックアップとって、しっかり確認して。ここもバックアップとって、不備に備えて。」って優しく、ミスしたときの恐怖を煽ってくれたおかげで、かなり万全な状態で挑みました。

結果、思ってた以上に何事もありませんでした。

[voice icon=”//oldno07.com/img/masaoka120.png” name=”マサオカ” type=”l”]備えあれば憂いなし。[/say]

常時SSL化までのフロー

常時SSL化までの大まかな作業フローはこんな感じです。詳しくは寝ログ様の記事を参考にしていただければと思います。順番は変わりましたが、基本その記事の通りにやりました。

  1. Xサーバーのサーバーパネルより、SSLサーバ証明書の発行(反映に一時間)
  2. WordPressサイトアドレスの変更(http→https)
  3. httpの301リダイレクト設定(.htaccessに追記)
  4. サーチコンソールへの登録(httpsの新規登録と記事にはありませんがwwwとの結合)
  5. Googleアナリティクスへのhttpsの書き換え

これらの所要時間が、約2時間程でした。まだ、リンク張替えが終わってませんけどね。

SSLサーバ証明書の発行

これは、私も初めてなので他のサイトがどうなっているかわかりません。エックスサーバーの場合でお伝えさせていただきますと、SSLのサーバ証明書の発行にはおよそ1時間かかります。

この証明書が発行するまでの間、正直やることがないので、やると決めたらお昼ごはんに出る前に証明発行ボタンを押してランチを楽しむくらいの時間で発行ができ、効率よくその後の作業に移れると思います。

一連の作業の注意点・補足を2つ

  1. リンクの貼り替え置換にプラグインを利用するときのリスクを知っておくこと
  2. 上記サイトの説明にない、サーチコンソールの初期登録時にやらないといけない設定を忘れないこと

リンクを一括変換してくれるWordPressプラグインSearchRegex

というのも、記事内では、この面倒なリンクの貼り替えについてSearchRegexというプラグインを利用する一括置換の方法が案内されていました。楽をしようとするとリスクがつきものです。このSearchRegexを使うために背負うリスクは以下です。

Search Regexで変換後保存を行ってしまうと、基本的に元に戻すことはできないので、こういった部分は、丹念に丹念にチェックをしておくことをお勧めします。
参考:

WordPressをhttpからhttpsにSSL化した全手順まとめ(エックスサーバー環境)|寝ログ

元に戻せない。怖いわ。ということで、手作業でコツコツとやっております。

追記

内部リンク等のURLをSSL対応のものに全て置換する手間を軽減するphpのコードを紹介している記事がありましたので、今回はこの方法を取りhttpからhttpsの置き換えを行いました。Wordpress限定の方法です。functions.phpにコードをコピペするだけです。

素晴らしい。

[blogcard url=”https://nelog.jp/html-to-https-by-php-code”]

サーチコンソール設定での注意点

サチコの注意点は、今までの登録していたhttpのドメインとhttpsのドメインは全く別物だと認識されるというところです。
httpsドメインを新規登録することになります。

ここで忘れがちなのが、サイトの「www」を含むバージョンと「www」を含まないバージョンのURLを両方追加して、優先表示をどちらにするか統一しないといけない点。最初に一回だけ登録したらもうやらないので、忘れがち。

例:https://oldno07.comとhttps:/www.oldno07.com

Googleは、この二つを別のページだと判断します。重複ぺージと判断されることもあるため、サーチコンソールから設定を行いGoogleに伝えてあげる必要があります。

先の記事では紹介されていなかったため、これは別途行いました。もし、SSL設定をやられる場合にはお忘れなく。

サチコの優先URL設定方法

やり方は簡単です。まず、サーチコンソールに自分のサイトのURLを「www」ありと「www」なしの両方を登録しておきます。

それから、サーチコンソールの設定タブから「サイト設定」を選択します。

優先したいURLを選択して、保存を押すだけ。単体で記事にするほどでもないので、ここでちょっと紹介させていただきました。

WordPressの常時SSL化チャレンジまとめ

かなり構えてからやり始めたので、やり終わってみるとかなり拍子抜けでした。
なにも問題がなくて、一安心。ということなのですが、「何か起こってほしかったなー」という気持ちが少しだけあります。
自分自身が困ったことというのは、世界の誰かが経験しているはずなので、その解決ネタが見つけられたり、ニーズの発見になりますからね。

ともあれ、今回はスムーズに常時SSL化ができましたとさ。
めでたしめでたし。

コメントを残す