新しくWordPressサイトを立ち上げる際に、真っ先に設定して欲しいことがあります。
それは、サイトを常時SSL化して通信を保護することです。
常時SSL化とは、サイト全体(全てのページ)を暗号化した通信で接続すること。「通信が暗号化される=第三者に情報が洩れるリスクが格段に減る」ので、顧客情報を取り扱う私たちビジネスオーナーにとって必須の対策です。
嬉しいことに、サーバー各社の努力のおかげでウェブサイトの常時SSL化はかなり簡単になりました。
このコンテンツでは、私が利用しているエックスサーバーでウェブサイトを常時SSL化する際の手順を紹介します。
Contents
注意点:何もアップロードしない状態で作業すること
何故かと言うと、SSL化する前にアップロードしたファイルはこれから行う作業ではSSL化されないから。
ファイルやデータがアップ済みの状態からSSL化すると、暗号化されたファイルとされていないファイルとが混在した状態(mixed contents)になってしまいます。この状態でURLを閲覧しようとすると、ブラウザには警告が表示されます※
mixed contents状態からSSL化出来ないことはありませんが、時間と手間が掛かるので非常に面倒です。初心者の方にはお勧め出来ません。
何か小難しい話になってきた…とお思いかもしれないが、そんなことはありません。新規サイト立ち上げの際には真っ先にSSL化設定を行えば良いのです。これだけは、決してお忘れなく。
STEP1:無料独自SSLの設定
最初のステップは、無料独自SSLの設定です。
エックスサーバーの場合は管理画面上の簡単操作で無料独自SSLの設定が可能です。
作業自体はマニュアルを見ながら所定の個所をクリックするだけ。5分もあれば完了する簡単作業です。
STEP2:常時SSL化を行う
無料独自SSLの設定が終わったら、次はいよいよ常時SSL化を行っていきます。
「まだあんのかよ、、、」と思ったかもしれませんが、残念ながら未だウェブサイトの通信は暗号化されていません。
試しに管理画面にアクセスしてみて下さい。
…URLの先頭には下図のような警告が出ていることでしょう。
「保護されていない通信」部分をクリックしてみると、下記のような「警告」が表示されます。
見るからに嫌な感じがします…閲覧だけならともかく、カード情報や個人情報の入力はしたくないですよね。
ログイン画面だけではありません。ログインしてサイトを表示しても、「保護されていない通信」のまま。当然、あの嫌な警告も表示されます。
ご覧の通り、この段階では未だウェブサイトの通信は暗号化されていないのです。常時SSL化するためには、あと3つ作業する必要があります。それは以下の通り。
- .htaccessファイルのバックアップ取得
- .htaccessファイルの編集(リダイレクトコード追記)
- WordPressアドレス/サイトアドレスのURL変更
まずはこれらの設定を行い、完璧なものにしておきましょう。
エックスサーバーの場合はこれらの手順もマニュアル化されているので、悩まずに作業が出来るはずです。
念のために各項目について補足しておきます。
作業①:バックアップファイルの取得(.htaccessファイル)
「.htaccess」ファイルとは、httpサーバーの挙動を決定する設定ファイル。
簡単に言えば、「重要ファイル」です。
よっておかしなコードを書き込んだり、必要なコードを誤って削除したりすると、サイトが表示されないなどの大問題が発生することとなります。
こうしたトラブルを避けるために、.htaccessファイルのバックアップを取っておきましょう。
エックスサーバーの場合バックアップ取得手順は簡単で、以下の通りとなります。
1)トップページ(管理画面)にログイン
2)画面上段右側の「ファイル管理」ボタンをクリック
3)すると以下のような画面が表示されるはずです。この中から、該当のドメインをダブルクリック。
(モザイクだらけでイメージが湧かないかもしれませんが、画面左側、右側両方に該当のドメインが表示されます)
4)「public_html」リンクをダブルクリック
5)「.htaccess」リンクを1度クリックしてから「ダウンロード」をクリック。
これで.htaccessファイルがダウンロードされます。
万が一、トラブルが発生した場合にはダウンロードしたファイルを元の場所(public_html)にアップロードすれば元の状態に戻せますので、安心して作業して下さい。
作業②:.htaccessファイルの編集(リダイレクトコード追記)
.htaccessファイルのバックアップを取得したら、いよいよ作業に入ります。
作業といっても全く難しくはありません。サーバーパネルから「.htaccess編集」画面へアクセスし、下記のコードをコピーして.htaccessファイルに貼り付けるだけです。
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]念の為、この作業のマニュアルのリンクを添付しておきます。
.htaccess編集:エックスサーバー マニュアル
Webサイトの常時SSL化:エックスサーバー マニュアル
これでサーバー側の作業は終了です。WordPress管理画面に移動しましょう。
作業③:WordPressアドレス/サイトアドレスのURL変更
WordPress管理画面にログインしたら、画面左の「設定」をクリックしましょう。
すると、「一般設定」という画面が表示されます。変更するのは上から3つ目と4つ目。「WordPress アドレス (URL)」と「サイトアドレス (URL)」という項目です。現時点ではURLが「http://~」になっていますよね。
これらのURLをhttpからhttpsに変更し、「変更を保存」ボタンを押します。
「変更を保存」ボタンを押すと再度ログイン画面に飛ばされると思いますが、不具合ではありません。落ち着いてもう1度ログインし直して下さい。再度「一般設定」に戻るはずです。
「一般設定」に戻ったら、先ほど変更した「WordPress アドレス (URL)」と「サイトアドレス (URL)」が「https://~」に変わっていることを確認しましょう。変わっていればOKです。
STEP3:作業結果を確認する
作業が終わったら、ログイン画面→サイトと一通りチェックしてみて下さい。正しく作業を行っていれば、URLの先頭が「鍵」のアイコンに変わっているはずです。
まずはログイン画面から。「保護されていない通信」という警告が消え、シンプルな鍵のアイコンに変わっています。
鍵のアイコンをクリックすると、「この接続は保護されています」というメッセージが表示されます。この表示なら、お客さんの買う気を削ぐことにはなりませんよね。
続いて、サイトを確認してみましょう。
ログイン画面と同様、「鍵」のアイコンに変わっていれば常時SSL化作業は完了です。
上手くいかないときの対処法
万一、常時SSL化出来なかった場合の対処法は以下の通りです。
1)今までやって来た作業に抜け・漏れが無いか再度確認する
2)抜け・漏れが無い場合、ブラウザのデベロッパーツールを使って原因を探す
3)悪さの原因を除去する(該当データの削除または変更)
新規サイト立ち上げの場合、今まで説明してきた手順を実行すればエラーが出ることはありません。エラーが出るとすれば、ほぼ以下2パターンに該当していますので、チェックして下さい。
1)WordPressテーマが古い場合(外部リンクにhttpが含まれている場合アリ)
2)SSL化する前にアップロードしていたファイルがある場合
常時SSL化すると付いてくる、嬉しいオマケとは?
上の見出しの通り、ウェブサイトを常時SSL化すると嬉しいオマケが付いてきます。それは、HTTP/2という通信プロトコルの利用が可能になることです。
HTTP/2とは、一言で言えば「より高速なHTTPプロトコル」のこと。
従来のHTTP/1.1との決定的な違いは、一度に複数のデータがレスポンス可能となったため、より高速な通信が可能になったことです。
HTTP/1.1とHTTP/2各々の通信イメージについては、以下画像を参照下さい。
このHTTP/2は、現在ほとんどのレンタルサーバーが提供しています。
常時SSL化さえしておけば、設定不要・料金無料でウェブサイトの表示速度を高めることも出来るということです。
繰り返しになりますが、セキュリティ対策はサイトを閲覧する見込み客や顧客に安心を提供する上で不可欠です。常時SSL化は簡単手順かつ無料で出来る対策ですので、必ず対策しておくようにして下さい。
