要約:WordPressにSSLを追加する方法
ほとんどのWordPressホスティングサービスには無料のSSL証明書が含まれているため、作業は実際には2つの部分に分かれます。証明書を有効にし、次にWordPressをHTTPSで読み込むように強制します。私が従う順序は次のとおりです。
- 無料証明書を有効にする:ホスティングダッシュボードから、ホスティングサービスがバンドルしているSSL(通常はLet's Encrypt)を有効にします。
- プラグインでHTTPSを強制する:Really Simple SSLをインストールして、すべてのURLを自動的にHTTPSにリダイレクトします。
- サイトのURLを更新する:[設定]の下にある両方のURLをHTTPSに変更します(手動またはプラグイン経由)。
- 混合コンテンツを修正する:南京錠をブロックしているHTTPの画像やスクリプトが残っていないか確認します。
- 動作を確認する:南京錠が表示されていることを確認し、SSL Labsで簡単なチェックを実行します。
サイトに安全なHTTPS padlockを表示するために、WordPressにSSLを追加する必要がありますか?
ほとんどのWordPressホスティングサービスには、すべてのプランに無料のSSL証明書が含まれています。ホスティングダッシュボードで有効にし、WordPressをHTTPSで読み込むように強制するだけで済みます。
このガイドでは、無料のReally Simple SSLプラグインの使用方法や、Chromeの「保護されていない通信」という警告の修正方法など、各ステップを順を追って説明します。
WordPressにおけるSSL証明書とは?
SSL証明書は、訪問者のブラウザとWordPressサイト間の接続を暗号化する小さなデータファイルです。SSLはSecure Sockets Layerの略で、2つの間を移動する情報を保護するセキュリティプロトコルです。
私たちは皆、ブラウジング中にデータを共有しており、eコマースサイトではカードの詳細やログイン認証情報などの機密情報であることがよくあります。
通常のHTTPは、そのデータをそのまま送信するため、接続を監視している誰にでも公開されたままになります。HTTPSとしても知られるSSL証明書は、そのギャップを埋めます。
サイトには、認識されている認証局によって発行された証明書が必要です。検証されると、ブラウザにアドレスバーに南京錠が表示され、URLがHTTPからHTTPSに切り替わります。
保護は暗号化によってもたらされます。SSL証明書付きのサイトにアクセスすると、ブラウザは証明書をチェックし、サイトの公開鍵でデータをスクランブルするため、途中の誰もそれを読むことができません。サイトは、一致する秘密鍵を使用して到着時にそれを復号化します。
すべてのWordPressサイトでSSLが必要な理由
Googleは現在、セキュアな接続を基本的なウェブ標準として扱っているため、すべてのサイトでSSL/HTTPSを実行する必要があります。
GoogleのHTTPS透明性レポートによると、Chromeトラフィックの約95%以上が現在HTTPSで読み込まれています。サイトがまだHTTPの場合、Chromeは「保護されていない通信」という警告を表示する可能性があり、訪問者の信頼を損ないます。
SSLは、次のいずれかを取得する場合に最も重要です。
- クレジットカードの詳細
- 支払い情報
- ログイン情報
検証済みの証明書は、そのデータを保護します。また、多くの支払いサービスでは、支払いを一切受け付けない前にHTTPSを要求します。ストアを運営している場合、SSLはより広範な作業の一部であるため、WooCommerceストアをエンドツーエンドで保護する方法を知っておくと便利です。
「保護されていない接続」というフラグは、見た目が悪いだけでなく、それ以上の影響を与えます。訪問者は一言読む前に離脱し、エンゲージメントとコンバージョンを静かに低下させます。SSLは基盤であり、仕事の全てではないため、サイト全体をハッカーから保護するためのより広範なステップと自然に組み合わされます。
ほとんどの人は、サイトのセットアップ時や再ローンチ時という、訪問者に見られたくない混乱した瞬間にSSLを追加します。私は、証明書を有効にし、混合コンテンツをクリーンアップしている間、SeedProdのブランド化された「近日公開」ページの後ろにフロントエンドを隠しておきます。
SeedProdはWordPress用のドラッグ&ドロップウェブサイトビルダーであり、その「近日公開」および「メンテナンスモード」ページを使用すると、数分で洗練された保留ページを設置できます。訪問者は、セキュリティ警告を発する未完成のサイトの代わりに、「近日公開」という整然としたメッセージを見ることができます。
SSL証明書を購入する必要がありますか?
ほとんどのサイトでは不要です。ホスティングプロバイダーの無料証明書で十分であり、有料のものを購入する必要はありません。
これは多くの人を混乱させます。ホスティングプロバイダーがすでに提供している無料のLet's Encrypt証明書で同じことができると知らずに、200ドルの証明書を購入したサイトオーナーを見たことがあります。無料証明書は、有料証明書と全く同じ方法でトラフィックを暗号化します。
追加の検証や保証が必要な場合は、有料証明書にも依然として価値があります。価格は、基本的なドメイン検証証明書の年間10ドル未満から、組織検証または拡張検証の100ドル以上まで幅広くあります。標準的なブログや中小企業サイトでは、その費用が訪問者に見えるものを変えることはめったにありません。
有料にする場合の主な種類の簡単なガイドです。
- ドメイン検証(DV):ブログ、個人サイト、ほとんどの中小企業サイトに適しています。
- 組織検証または拡張検証(OV/EV):店舗、会員制サイト、ログインや支払いを取り扱うサイトに価値があります。
- ワイルドカードまたはマルチドメイン:blog.example.comのようなサブドメインや、1つの屋根の下で複数のドメインを運営している場合に便利です。
不明な場合は、まず無料証明書から始めてください。後でアップグレードすることはいつでも可能です。無料のものを有効にする方法は次のとおりです。
無料SSL証明書の取得方法
ほとんどのホスティングプロバイダーは現在、無料証明書をバンドルしているため、ほとんどの場合、スイッチを切り替えるだけです。無料証明書は、SSLを中小規模サイト向けに無料かつ自動化した非営利団体であるLet’s Encryptから提供されています。
これらのWordPressホスティング会社はすべて、プランに無料SSL証明書を含んでいます。
例としてBluehostを使用する場合、ダッシュボードのWebサイトセクションに移動し、サイトの下にある設定ボタンをクリックします。
そこから、セキュリティタブに切り替え、無料SSL証明書をオンにします。ほとんどの場合、Bluehostはこれを自動的に有効にします。
ホスティングプロバイダーがBluehostでない場合、手順は少し異なる場合があります。管理エリアまたはcPanelで見つからない場合は、ホスティングプロバイダーに有効にするよう依頼できます。
ホスティングプロバイダーがSSLを全く提供していない場合は、Comodo、GeoTrust、GlobalSign、RapidSSLなどの認証局から購入するか、Let's Encryptから直接無料のものを入手できます。
知っておくべきことの1つは、Let’s Encryptの証明書は90日ごとに失効することです。マネージドホストは自動的に更新するため、ほとんどの人は更新に触れることはありません。自分でサーバーに証明書を設定した場合、更新を自動化する必要があります。そうしないと、サイトは失効日にダウンします。
次に、新しい証明書でWordPressをHTTPS経由で読み込めるようにしましょう。
WordPressにSSLを自動的に追加する方法(プラグイン方式)
ホストで証明書が有効になったら、次の作業はWordPressですべてのURLでHTTPSを使用するようにすることです。
最も簡単な方法は、Really Simple SSLプラグインです。これは、このための最高のWordPressプラグインの1つであり、ほとんどの作業を自動で行ってくれます。プラグインのインストールが初めての場合は、このステップバイステップガイドで手順を確認してください。
プラグインをアクティブ化した後、WordPressダッシュボードから設定を開きます。Really Simple SSLは証明書を検出し、URL全体でHTTPSを強制してから、HTTPからHTTPSへのリダイレクトを自動的にオンにします。
このプラグインは、投稿や設定に埋め込まれた古いHTTP URLも書き換え、ページの読み込み時にオンザフライで修正します。これにより、ほとんどの人が見落とす手動のデータベース検索と置換が不要になります。
1つでもHTTP URLが残っていると、ブラウザはページを安全でないと見なします。Really Simple SSLはそれらを処理しますが、もし1つでも見逃された場合、ブラウザの検査ツールがそれを指摘します。
サイトの立ち上げまたは再開?
ブランド化された「近日公開」ページで作業を隠す
SSLを有効にし、混合コンテンツをクリーンアップしている間、訪問者を未完成のサイトではなく、洗練された待機ページに留めておきましょう。SeedProdならコードなしで数分で作成できます。
近日公開ページを作成したいWordPressにSSLを手動で追加する方法(上級者向け)
上記のプラグイン方法は最も簡単な方法です。しかし、手動でサイトをHTTPからHTTPSに移行したい場合もあります。
これにはWordPressファイルの編集が含まれるため、コードスニペットを貼り付けることに慣れている場合のみ実行してください。
まず、ダッシュボードの「設定」→「一般」ページに移動します。WordPressアドレスとサイトアドレスの両方のフィールドをHTTPからHTTPSに変更します。
保存後、WordPressはログアウトし、再度ログインする必要があります。
データベース内のハードコードされたURLを更新します:これら2つのフィールドはメインサイトアドレスのみをカバーします。古いサイトでは、投稿、ページ、オプションにHTTP URLが保存されている場合があり、これらは自動的には更新されません。
これは手動でフォローする人が最もよくスキップするステップであり、その後も混合コンテンツが表示される理由です。Better Search ReplaceのようなプラグインまたはWP-CLIコマンドwp search-replace 'http://example.com' 'https://example.com'を使用して、データベース全体でhttp://をhttps://に置き換える検索と置換を実行します。最初にデータベースをバックアップしてください。
ApacheでHTTPからHTTPSへのリダイレクト:訪問者全員がセキュアなバージョンにアクセスするように、これを.htaccessファイルに追加します。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>注意点:ホストがプロキシでSSLを終了する場合や、Cloudflareの柔軟なSSLを使用している場合、このルールは接続を安全でないと読み取り、リダイレクトをループさせる可能性があります。これらのセットアップでは、.htaccessを編集する代わりに、ホストまたはReally Simple SSLにリダイレクトを処理させます。
Nginx で HTTP を HTTPS にリダイレクト: サイトが Nginx で実行されている場合は、代わりに設定ファイルにこれを追加します。“example.com” を独自のドメインに置き換えてください。
server {
listen 80;
server_name example.com www.example.com;
return 301 https://example.com$request_uri;
}これらのリダイレクトにより、すべてのページが HTTPS で読み込まれるため、WordPress HTTPS が機能しないエラーが停止します。
管理画面とログインページで SSL を強制する: ログインページを保護するために、この行を “That’s all, stop editing!” の行の直前に wp-config.php に追加します。
define('FORCE_SSL_ADMIN', true);これにより、WordPress の管理画面全体で SSL と HTTPS が強制されます。
一般的なSSLの問題の修正(混合コンテンツエラー)
サイトが SSL になっても、混合コンテンツのエラーが表示される場合があります。これは、画像、スクリプト、またはスタイルシートがまだ HTTP で読み込まれており、証明書が有効であっても南京錠が表示されない場合に発生します。
一部のブラウザは安全でないリソースをブロックし、代わりにアドレスバーに通知を表示します。
まだ HTTP になっているものを検索するには、ブラウザの [検証] ツールを開き、コンソールを確認します。混合コンテンツの各項目は、問題のある URL とともに警告として表示されます。
これらのほとんどは画像、iframe、ギャラリーであり、プラグインまたはテーマからのスクリプトやスタイルシートがたまに含まれています。
修正方法は 2 つあります。最も簡単なのは、Really Simple SSL に処理させることです。ページが読み込まれるときに HTTP リソースを HTTPS に書き換えます。プラグインを使用していない場合は、データベースの検索と置換(Better Search Replace または WP-CLI)を実行して、すべての http:// 参照を https:// に置き換えます。これにより、ソースの URL がクリアされます。
単一のリソースが引き続き安全に読み込まれない場合は、通常、ウィジェット、テーマオプション、または外部埋め込みにハードコーディングされています。その 1 つの URL を手動で更新すると、南京錠が元に戻ります。
SSLが機能していることをテストする方法
機能したと思い込まないでください。簡単なチェックで、証明書が有効であり、まだ HTTP で読み込まれているものがないことを確認します。
- 南京錠を確認する: サイトにアクセスし、アドレスバーの南京錠を探し、URL が https:// で始まっていることを確認します。
- SSL Labs テストを実行する: SSL Labs (ssllabs.com/ssltest) でドメインを入力して、証明書と設定に関する完全なレポートを取得します。
- 混合コンテンツをスキャンする: いくつかの主要なページを開き、[検証] ツールのコンソールを開いた状態で、HTTP 警告が表示されないことを確認します。
すべてのページに南京錠が表示され、SSL Labs でクリーンな評価が得られたら、サイトは完全に HTTPS になります。
WordPressへのSSL追加に関するFAQ
SSL を有効にしてから WordPress で機能するまで、どのくらい時間がかかりますか?
ホストで証明書のスイッチを入れると、通常は数分から数時間で有効になります。その後、Really Simple SSL のようなプラグインで HTTPS を強制しても、すぐに効果があります。
SSL を追加した後、データベースの URL を更新する必要がありますか、それともプラグインが処理しますか?
Really Simple SSL は、ページが読み込まれるときにコンテンツ内の古い HTTP URL を自動的に書き換えるため、ほとんどの人はデータベースに触れることはありません。
サイトを手動で移動する場合は、Better Search Replace や WP-CLI のようなツールを使用してデータベースの検索と置換を実行し、ソースの http:// を https:// に置き換える必要があります。
既存の WordPress サイトに SSL を追加すると、リンクや画像が壊れますか?
URLの切り替えを適切に処理する限り、そうなるはずはありません。Really Simple SSLは、内部リンクと画像をHTTPSに自動的に書き換えます。
注意すべき点は、混在コンテンツです。これは、画像やスクリプトがHTTP経由で読み込まれている状態を指します。これらのURLを修正すると、何も壊れることなく鍵マークが表示されます。
SSL証明書は自動的に更新されますか、それとも自分で更新する必要がありますか?
ホストが証明書を発行した場合、ほぼ常に自動的に更新されるため、気にする必要はありません。
Let’s Encryptの証明書は90日ごとに期限切れになります。マネージドホストはこれを処理してくれますが、自分でサーバーにインストールした場合は、自動更新を設定する必要があります。
WordPressサイトを完全に保護しましょう
これで完了です。すべてのページに鍵マークが表示されれば、訪問者はあなたのサイトをより信頼するようになり、「保護されていない」という警告で離れていくのを防ぐことができます。
SSLをローンチの一部として設定する場合、SeedProdを使用すると、作業を完了する間、サイトをブランド化された「近日公開」ページの後ろに置いたままにすることができます。SeedProdで始めるて、数分で作成しましょう。
このガイドがお役に立った場合は、ビジネス用メールアドレスの設定やWordPressでのランディングページの構築に関するチュートリアルも役立つかもしれません。
お読みいただきありがとうございます!皆様のご意見をお聞かせいただければ幸いです。お気軽に会話にご参加ください YouTube, X および Facebook で、ビジネスを成長させるための役立つアドバイスやコンテンツをさらにご覧ください。
