セキュリティ設定その①：常時SSL化（エックスサーバー環境・2019年版）

新しくWordPressサイトを立ち上げる際に、真っ先に設定して欲しいことがあります。
それは、サイトを常時SSL化して通信を保護することです。

常時SSL化とは、サイト全体（全てのページ）を暗号化した通信で接続すること。
顧客情報を取り扱う私たちビジネスオーナーにとっては、必須の対策です。

嬉しいことに、サーバー各社の努力のおかげでウェブサイトの常時SSL化はかなり簡単になりました。
このコンテンツでは、私が利用しているエックスサーバーでウェブサイトを常時SSL化する際の手順を紹介します。

STEP1：無料独自SSLの設定

最初のステップは、無料独自SSLの設定です。

エックスサーバーの場合は管理画面上の簡単操作で無料独自SSLの設定が可能です。
詳しくは、以下エックスサーバーのマニュアルを見て下さい。

www.xserver.ne.jp

無料独自SSL設定 | レンタルサーバー【エックスサーバー】

https://www.xserver.ne.jp/manual/man_server_ssl.php

レンタルサーバー「エックスサーバー」のご利用マニュアル｜無料・無制限に利用可能な独自SSL「無料独自SSL」の設定手順に関するご案内です。

なお、無料独自SSLの設定に関して注意点を1つお伝えしておきます。

注意点：何のファイルもアップロードしない状態で設定すること

これは何故かと言うと、SSL化する前にアップロードしたファイルは当然SSL化されていない。つまり、暗号化されていない状態で保存されているということになります。暗号化されていないファイルを利用していることになるのでSSL化が完了しないのです（mixed contentsというエラーが出ます）。

何か小難しい話になってきた…とお思いかもしれないが、そんなことはありません。新規サイト立ち上げの際には真っ先にSSL化設定を行えば良いのです。これだけは、決してお忘れなく。

STEP2：常時SSL化を行う

先述の通り、基本的にはマニュアルの記載に沿って必要箇所をクリックするだけです。但し、STEP1の作業だけでは常時SSL化は完了しません。

…まだ、URLの先頭には下図のような警告が出ていることでしょう。

常時SSL化するためには、あと2つほど自分で設定しなければならない項目があります。それは以下の通り。

①WordPressアドレス／サイトアドレスのURL変更
②.htaccessファイルの編集（リダイレクトコード追記）

まずはこれらの設定を行い、完璧なものにしておきましょう。
エックスサーバーの場合はこれらの手順もマニュアル化されているので、悩まずに作業が出来るはずです。

www.xserver.ne.jp

Webサイトの常時SSL化 | レンタルサーバー【エックスサーバー】

https://www.xserver.ne.jp/manual/man_server_fullssl.php

レンタルサーバー「エックスサーバー」のご利用マニュアル｜Webサイトを常時SSL化する方法について記載しています。

念のために各項目について補足しておきます。

①WordPressアドレス／サイトアドレスのURL変更

マニュアルにも記載がありますが、まずはWordPress管理画面の「設定」をクリックしましょう。
次に、設定の中の「一般」をクリックする。これで「一般設定」というページに移動します。

変更するのは一般設定ページの上から3つ目と4つ目。「WordPress アドレス (URL)」と「サイトアドレス (URL)」という項目です。

これらのURLをhttpからhttpsに変更し、「変更を保存」ボタンを押せばOKです。

②.htaccessファイルの編集前にバックアップを取得しよう

「.htaccess」ファイルとは、httpサーバーの挙動を決定する設定ファイル。
簡単に言えば、「重要ファイル」です。

よっておかしなコードを書き込んだり、必要なコードを誤って削除したりすると、サイトが表示されないなどの大問題が発生することとなります。

こうしたトラブルを避けるために、.htaccessファイルのバックアップを取っておきましょう。
エックスサーバーの場合バックアップ取得手順は簡単で、以下の通りとなります。

①インフォパネル（管理画面）にログイン
②画面中ほどにサーバーという欄がある。そこの「ファイル管理」ボタンをクリック

③すると以下のような画面が表示されるはずです。この中から、該当のドメインをクリック

④「public_html」リンクをクリック
⑤「.htaccess」リンクをクリック

これで.htaccessファイルがダウンロードされます。

万が一、トラブルが発生した場合にはダウンロードしたファイルを元の場所（public_html）にアップロードしましょう。それで元の状態に戻せるので、安心して作業して下さい。

なお、.htaccessファイルの編集自体が分からない場合には、こちらを確認して下さい。

www.xserver.ne.jp

.htaccess編集 | レンタルサーバー【エックスサーバー】

https://www.xserver.ne.jp/manual/man_server_htaccess.php

レンタルサーバー「エックスサーバー」のご利用マニュアル｜ディレクトリ単位でWebサーバーの挙動を変更できる「.htaccess」ファイルをサーバーパネルから手軽に編集できる「.htaccess編集」機能に関するご案内です。

STEP3：作業が終わったら、状態を確認しよう

作業が終わったら、ブラウザ上部のURLを確認してみましょう。URLの先頭が、鍵のアイコンに変わっているはずです。

上図のように、鍵のアイコンが表示されていれば常時SSL化に関する作業は完了です。万一、URLの先頭が鍵のアイコンに変わらない場合の対処法は以下の通り。

①今までやって来た作業に抜け・漏れが無いか再度確認する
②抜け・漏れが無い場合、ブラウザのデベロッパーツールを使って原因を探す
③悪さの原因を除去する

新規サイト立ち上げの場合、今まで説明してきた手順を実行すればエラーが出ることはありません。エラーが出るとすれば、ほぼ以下2パターンに該当していますので、チェックして下さい。

①WordPressテーマが古い場合（外部リンクにhttpが含まれている場合アリ）
②SSL化する前にアップロードしていたファイルがある場合

常時SSL化すると付いてくる、嬉しいオマケとは？

上の見出しの通り、ウェブサイトを常時SSL化すると嬉しいオマケが付いてきます。それは、HTTP/2という通信プロトコルの利用が可能になることです。

HTTP/2とは、一言で言えば「より高速なHTTPプロトコル」のこと。
従来のHTTP/1.1との決定的な違いは、一度に複数のデータがレスポンス可能となったため、より高速な通信が可能になったことです。

HTTP/1.1とHTTP/2各々の通信イメージについては、以下画像を参照下さい。

このHTTP/2は、現在ほとんどのレンタルサーバーが提供しています。
常時SSL化さえしておけば、設定不要・料金無料でウェブサイトの表示速度を高めることも出来るということです。

繰り返しになりますが、セキュリティ対策はサイトを閲覧する見込み客や顧客に安心を提供する上で不可欠です。常時SSL化は簡単手順かつ無料で出来る対策ですので、必ず対策しておくようにして下さい。