横田です。手前味噌ですが「さくらインターネット」の「さくらのSSL」で9月30日まで「RapidSSL」が1年無料キャンペーンをやっています。というわけで、私も3年分の料金を支払って(複数年だと割引がかかりますが有料です。ちなみに支払いはもちろん自腹です。)自分のWordPressで作ったブログ(つまりこのサイト)をSSL化してみました。
SSL自体はかなり簡単ですが、そのままだとブラウザで警告が出る場合や最悪、画像が出ない場合もあります。そこで、今回はWordPressをSSL化する場合の注意点をまとめてみたいと思います。
《SSLを入れると良いこと》
そもそも、なぜ自分のWordPressをSSL化する必要があるのでしょうか? 一般的には暗号化と認証のためにSSLが必要だと言われています。このあたりの話は「改めて知ろう、SSLサーバー証明書とは?」に詳細に記載されているので、そちらを読んでいただきたいのですが、暗号化と認証が必要なECサイトや個人情報を取り扱うサイトはSSLサーバ証明書が必要だと言われてきました。
それでは、個人情報や特に商品の売買がない個人のブログやメディアサイトでは、SSLは必要ないのでしょうか? 今までは、特にSSLは関係なかったのですが、これにSEOの観点が加わってきました。どういうことかと言うと、GoogleがHTTPS をランキング シグナルに使用することにしたからです。ものすごく簡単に言うとSSL化されたサイトをGoogleのランキングに優遇するということです。Googleの発表を見ると
「このランキングの変更は、グローバルでクエリの 1% 未満にしか影響しませんが、これから長い期間をかけて強化していきます。」
と書いているので、いきなり非SSLのページがGoogleのランキングから消えることはないでしょうが、徐々に影響が出てくるのだと思います。もし仕事でWebページを作っている方であれば、これから作るページについてはSSLにしておいた方が良いと思います。
[関連リンク]
・改めて知ろう、SSLサーバー証明書とは? – さくらのナレッジ
・Google ウェブマスター向け公式ブログ: HTTPS をランキング シグナルに使用します
《昨今のSSLは安い》
「なるほどSSLを導入するメリットはわかった、でもお高いんでしょ?」と感じる方も多いと思いますが、最近のSSLは非常に安くレンタルサーバでも利用できる物があります。例えば(手前味噌ではありますが)さくらのSSLの中にあるRapid SSLもそうです。こちらのRapid SSLは年額1,500円と他のSSLのメニューと比べて非常に安価となっており、さらに2015年9月30日まではキャンペーン中ということで1年間は無料で利用できます。
このブログ(そう、あなたが見ているこのブログ)の環境は「さくらのレンタルサーバ」と「Rapid SSL」で環境を構築しておりますが、他のレンタルサーバや他社のSSLでも、それぞれのプランとSSLが対応していれば、共有レンタルサーバでもSSLが利用できます。ですので、別のレンタルサーバ業者をご利用の方は、それぞれのレンタル事業者の仕様を確認して、SSLが利用できるか確認をしてみるのも良いでしょう。実際、SSLに関して言えば「格安 SSL」あたりのキーワードで検索していただくと色々と安いSSLが検索できると思います。
[関連リンク]
・ラピッドSSL提供開始記念キャンペーン! | さくらインターネット
・年額3.65ドルでSSL証明書を手に入れる – Qiita
色々とSSLの話を書いてきましたが、WordPressの設定をする前に、まずは自分のサイトにSSL証明書を入れる必要があります。SSL証明書のインストールの方法は、各事業者や共有サーバによって異なります。私は前述した通り「さくらのレンタルサーバ」と「Rapid SSL」で構築しているので、さくらインターネット公式サポートサイト ラピッドSSLを初めて設定するを参考にして証明書の設定を行いました。
《WordPressの設定、サイトURLを変更する》
前置きが長かったですが、ここからWordPressのSSL化の設定を解説いたします。まずは、WordPressのダッシュボードに入って
「設定 → 一般」
を選択して「WordPressアドレス(URL)」と「サイトアドレス(URL)」を「http://?」となっている部分を「https://?」に変更してください。基本的には、これだけでWordPressのSSL化は完了です。
もし、新規にWordPressのサイトを作成されているのであれば、これだけでWordPressの設定は完了です。しかし、既存のWordPressをSSL化した場合は、色々なページに下記のような警告がでるはずです。
この警告はSSL化されたページにSSL化されていないコンテンツが混じっている事への警告です。警告を出さないようにするには、問題となっている所を修正する必要があります。
《どれがSSLの警告を出している物を調査する》
自分の見ているページの中で、どれがSSLの警告を出しているかを確認するにはブラウザから確認が可能です。例えば、Firefoxであれば、警告が出ているページから「右クリック」から「要素を調査」をクリック。
その後、「コンソール」「セキュリティ」の項目をクリックしてください。問題があるコンテンツが表示されているはずです。
Chromeの場合も警告が出ているページから右クリックをして「要素を検証」をクリックすると、エラーが表示されます。これをクリックすると、どのボタンが問題になっているのかがわかります。
《既存の画像ファイルの変更》
警告が出ているページがどの箇所なのかがわかったら修正を始めましょう。一番最初に修正するのは各エントリの画像ファイルでしょう。WordPressで画像を投稿している人は、自分のWordPress上に画像データを保存しているのであれば
「http://(自分のドメイン名)/wp-content/uploads/」
に画像データが保管されているはずです。画像データを保存している所が「http:」になっているので、これを「https:」に変更すれば警告がでなくなります。
ただし、画像データを大量に投稿している人については、画像ごとに修正するのは骨が折れる作業になると思います。そのような時は「Search Regex」というプラグインを使うと便利です。
この「Search Regex」はブログの全エントリから一括置換ができるプラグインです。利用方法は下記のブログが詳しいですが、これを利用すると1度にプログの置換ができます。大量に画像データがある人はこのプラグインを利用すると良いでしょう。
[関連リンク]
・WordPress ? Search Regex ≪ WordPress Plugins
・【WordPress】全記事から検索して一括置換出来るプラグイン「Search Regex」が素晴らしい
・[WP]特定のキーワードやタグを一括置換するプラグイン「Search Regex」 | ワードプレステーマTCD
《SNS等のソーシャル関連ボタンの変更》
画像ファイルの次に警告を出しやすいのが、SNS等のソーシャル関連のボタンでしょう。こちらの画像のURLが「http:」になっている場合は、それが原因で警告が出る場合があります。基本的には、これらの画像のURLを「https:」にすれば、大体は解決できます。
《テーマの画像の確認と変更》
エントリの画像データなどは修正したのに、まだ警告が出ている場合、それはテーマファイルで利用されている画像やソーシャルボタンが警告を出している可能性があります。テーマの画像で「http:」のソースの物を「https:」に変更しましょう。
《まとめ》
単にWordPressをSSL化するだけであれば、設定を変えるだけですが、主に画像などを引っ張ってくると色々と設定が必要となります。ほとんどが画像ファイルのURLを変更すれば良いと思いますが、気になるページがあれば警告が出ていないか確認をとってみましよう。
ちなみに、この内容をまとめて5分のLTで行いました。下記の資料はその時のものです。
[関連リンク]
・当 Blog を SSL 対応させたので手順や修正が必要になった点などをまとめ | WWW WATCH
・
