WordPressサイトの公開時に確認しておきたいことのひとつに「SSL化」があります。
サイトをSSL化することで、セキュリティを強化でき、ユーザーや検索エンジンに対して安全性の証明になります。SSL化されているサイトでは、URLに「https」と表示され、接続が保護されていることがわかります。以下は当サイトの例です。
そこで当記事ではWordPressサイトをSSL化する手順を解説いたします。
目次
SSL化とは
SSL化とは、Secure Sockets Layerの略で、通信を暗号化するセキュリティ技術のことです。ユーザーとサイトの間の通信を暗号化することで、不正なアクセスや、データの改ざん、情報漏洩を防ぐ仕組みです。SSL化されているサイトのURLは、「https」と表示されます。
SSL化を行うべき理由
SSL化を行うと、セキュリティ強化はもちろん、ユーザー・検索エンジンからの評価も高まります。
むしろSSL化を行なっていないサイトは、それだけで評価を落としてしまいます。
Googleは2014年8月の公式記事にて、SSL(https)化を検索順位の評価にすることを述べています。また、2017年7月の記事では、SSL(https)化されていないサイトを「安全でないサイト」とみなす仕様にアップデートされたことがわかります。
つまり、セキュリティ強化だけでなく、ユーザーや検索エンジンに正しく評価してもらうためにも、サイトのSSL化は必須項目の一つといえるわけです。
WordPressサイトのSSL化の手順
WordPressサイトをSSL化する手順を解説いたします。今回はエックスサーバー
とロリポップを例にご紹介いたします。他のサーバーをお使いの方は各社のマニュアルを参考に設定してみてください。
- さくらのレンタルサーバ:無料SSL(Let’s Encrypt)を設定したい | さくらのサポート情報
- ConoHa WING:無料独自SSLを設定する|ConoHa WINGサポート
- へテムル:無料独自SSL設定と更新方法 – ヘルプセンター|ヘテムル
どのサーバーでもおおまかな流れは以下の3ステップです。
- サーバー側でSSL設定を行う
- WordPress側でhttp → httpsに変更する
- .htaccessファイルを編集する
エックスサーバーの場合
それではまずはエックスサーバーを例に見ていきましょう。
サーバー側の設定
サーバーパネルにログインして、SSL設定に進みます(ドメイン > SSL設定)。
設定対象のドメインが間違いないか確認しておきましょう。
次の画面で、「OFF」になっている設定を「ON」に変更します。
反映には最大1時間ほどかかるようで、「反映待ち」と表示されますが、最終的に次のように表示されればOKです。
これでサーバー側の設定は終わりです。
ここまでの作業が完了すれば、下記記事で紹介しているプラグインで簡単にSSL化することもできます。
あなたのWEBサイトは、SSL化(暗号化)されていますか? 今や多くのサイトでSSL化は当たり前となっており、SSL化されていないサイトは、それでだけで評価が下がることがあります。Chromeで非SSL化のサイトへ接続すると、下記のように警告の文言が表示されます。 上記のような文...
WordPress側の設定
上記プラグインを使わない場合は、WordPress側でhttp → httpsに変更する作業を行います。
ダッシュボードの一般設定から「WordPress アドレス (URL)」と「サイトアドレス (URL)」のURLをhttpsに変更して、保存します。
次に記事やページ内で使用している内部リンクの置換作業を行います。
内部リンク先がhttpのままだとリンク切れになってしまうので、httpsに置き換えるわけです。一括置換にはこちらのプラグイン「Better Search Replace」が便利です。
「Better Search Replace」プラグインをインストールしたら、ダッシュボード左メニューの「ツール」>「Better Search Replace」を選択します。
このように入力して、テーブルはすべて選択します。
- 「検索」:置換前のURL(http://sample.com等)
- 「次と置き換え」:置換後のURL(https://sample.com等)
最後に「検索/置換の実行」をクリックすればOKです。
.htaccessファイルの編集
最後にサーバーパネルに戻って、.htaccessファイルを編集します。
httpにアクセスしても、自動的にhttpsにリダイレクト(転送)するための作業です。
サーバーパネルのホームページ > .htaccess編集を選択します。
設定対象ドメインを確認して、下記のように記述を追加します。
「.htaccess」は非常に重要なファイルです。必ず編集前の内容をコピーしておき、元に戻せるようにしてから行いましょう。
追加する記述はこちらです。コピペしてそのままお使いください。
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]確認画面へ進んで実行すれば、SSL化の作業は終了です。サイトにアクセスして「https」に変更されているか確認してみてください。
「無効なURLです。」と表示される場合は?
サーバー・WordPressの設定が済んで、.htaccessファイルも編集したのに、サイトにアクセスすると、次のメッセージが表示されることがあります。
「無効なURLです。プログラム設定の反映待ちである可能性があります。」というメッセージです。
諸設定が正しく済んでいても、SSL化は即時反映されません。エックスサーバーの場合は、30分から最大1時間程度かかるようですので、しばらくしてから再確認してみてください。
ロリポップの場合
ロリポップのサーバーを例に解説いたします。
サーバー側の設定
まずは、ユーザー専用ページにログインします。
左側のメニューから「セキュリティ」>「独自SSL証明書導入」へ進みます。
独自SSL証明書お申込み・設定ページが表示されるするので、「独自SSL(無料)」>「SSL保護されていないドメイン」よりSSL化対応させたいサイトをチェック。「独自SSLを設定」します。
次のように「SSL設定作業中」の状態になるので、そのまま5分ほど待ちましょう。
しばらくしてから、SSL化させたいサイトのURLが「SSL保護有効」になっているか確認してください。
SSL保護が有効になっていれば、サーバ側の設定はいったん完了です。この後の作業は下記記事で紹介しているプラグインでも対応可能です。
あなたのWEBサイトは、SSL化(暗号化)されていますか? 今や多くのサイトでSSL化は当たり前となっており、SSL化されていないサイトは、それでだけで評価が下がることがあります。Chromeで非SSL化のサイトへ接続すると、下記のように警告の文言が表示されます。 上記のような文...
WordPress側の設定
上記プラグインを利用しない場合は、以下の作業が必要です。
- 「WordPress アドレス (URL)」と「サイトアドレス (URL)」のURLをhttpsに変更する。
- 記事やページ内で使用している内部リンクをhttp → httpsに一括置換する。
>> 詳しい手順を見る
.htaccessファイルの編集
最後に、httpにアクセスしてもhttpsにリダイレクト(転送)されるように設定を変更します。
ユーザー専用ページより、「サーバーの管理・設定」>「ロリポップ!FTP」を選択。
サーバー内のファイルにアクセスできるので、SSL化したいサイトのフォルダをクリックし、フォルダ内の「.htaccess」ファイルを開きます。
編集画面に以下をコピペします。「.htaccess」は非常に重要なファイルです。必ず編集前の内容をコピーしておき、元に戻せるようにしてから行いましょう。
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]次のように入力できたら、保存して設定完了です。
これでサイトにアクセスしてみてください。「https」となっていれば無事SSL化完了です。
まとめ
WordPressサイトをSSL(https)化する方法を解説いたしました。サーバーによって多少やり方は違うものの、おおまかな手順は同じです。
- サーバー側でSSL設定を行う
- WordPress側でhttp → httpsに変更する(一括置換)
- .htaccessファイルを編集する(リダイレクト)
手順にそって行えば、実質の作業時間は10分とかからないでしょう。SSL化していないサイトは、安全でないサイトと見なされるため、サイト公開時に必ず済ましておきたい設定です。
