常時SSL化で実現できること
- なりすましの防止
- 盗聴や改ざんのリスクからの保護
- ブラウザ警告への対応と信頼性アピール
知ってましたか?ブラウザのアドレスバーに『保護されていない通信』という警告が出るんです。
これは常時SSL化をしていないと表示されるメッセージ。
実はブログのURLの始めの部分には2通りあります。
- http
- https
たとえば、インターネットを使って日々いろんなブログを閲覧すると思います。
商品の購入から会員登録など、個人情報を入力するようなデータ送受信を行う場面を想像してみて下さい。
こういった場合に訪問先のブログが通信暗号化に非対応だとどうなると思いますか?
そうです、個人情報が第三者に読み取られる可能性があります。
そんなことになったら大変ですよね。
それでなくても、ブログ運営者は『信頼性』が大事なのですから。
この問題を解決する方法が『SSL』と呼ばれるものです。
SSLというのは通信データを暗号化するセキュリティ対策のことになります。
ブログをSSL化することで、アドレスの始まりが『http』から『https』に。
なので、この表示を見るだけで、通信の安全性が確認できてるブログだなぁと分かるわけです。
もしまだアドレスが『http』から始まっているのなら、今すぐSSL化を始めましょう。
それとも、これからブログを始めようと思ってこの記事を先に見つけた人はラッキーです。
なぜなら前知識を入れておくだけでも対策を立てることができますし、先にSSL化しておく方がラクだからです。
そういった人はまず別記事『WordPress(ワードプレス)でブログを始めよう』を参考にしてブログを開設して下さい。
この記事ではSSLのメリット・デメリットから、具体的な手順まで初心者にも分かるよう解説していますので、最後まで読んでみて下さい。
すべては、あなたのブログを訪れた読者を守るためになりますよ。
目次
SSLとは
『SSL(Secure Sockets Layer)』とはWEB上でやりとりされる通信データを暗号化する仕組みのことです。
ブログをSSL対応にすることで、ユーザーは通信データを安全に送受信できるようになります。
そうすれば、ユーザーは安心して買い物や会員登録などを行うことができるはずですよね。
SSL化することで大切な個人情報を暗号化し、悪意ある第三者からしっかりと守るようにしましょう。
メリット
ブログの信頼性があがる
WordPressをSSL化することで、サイトの信頼性が高まります。
それはGoogleの声明からもはっきりとわかることです。
2014年発表のものですが、Googleは以下のような声明を出し、最優先事項と位置付けています。
Google では過去数か月にわたり、Google のランキング アルゴリズムでのシグナルとして、暗号化された安全な接続をサイトで使用しているかを考慮に入れたテストを実施してきました。
引用元:Google
この実験ではよい結果が得られているため、ユーザーがもっと安全にサイトを閲覧できるよう、すべてのサイト所有者の皆様に HTTP から HTTPS への切り替えをおすすめしたいと考えています。
警告表示が消える
2018年7月から常時SSL化されていないサイトには警告文を表示するようになりました。
ちょうどブラウザのアドレス部分左端のあたりです。
とても目立ちます。。。
アクセスしてくれたユーザーからすると『安全ではないのか?』と思ってしまいますよね?
するとどうなるでしょう。
とうぜん離脱原因になりかねません。
これを解決するにはWordPressブログで常時SSL化をすればいいわけです。
ちなみに、『常時SSL』とはブログなどサイト全ページをSSL化し通信暗号化により保護することを言います。
盗聴や改ざん、なりすましを防止する
SSL化されていないブログなどは盗聴や改ざんのリスクもあります。
常時SSLであればサイト全体を保護することができるので、信頼面からも必要不可欠なセキュリティ対策だと言えるはずです。
また、なりすましの防止効果もあります。
最近よくあるそっくりな偽サイト。
本物と間違わせてお金を振り込ませたりする手口ですね。
偽物のサイトは同じURLで作られる可能性がありますが、SSL証明書はコピーすることができません。
なので、SSL化していれば一目で本物かどうかを見分けることができます。
SSL証明書は以下の手順で確認できます。
① ブラウザのアドレスバー左端の鍵マークをクリック
② 証明書をクリック
デメリット
コストがかかる
WordPressで常時SSL化するにはコスト(時間)がかかります。
ここで言うコストがかかるというのは、長期間運営しているような記事数の多いブログなどの場合です。
長期間運営しているブログなどでは、そのデータ量が多くなるため、SSL化するのにどうしても時間がかかります。
なので、この解決法としてはブログを開設したら、すぐにSSL化をやってしまいましょう。
そうすれば余計な時間をかけることなく、ブログへの信頼性もアップします。
初心者に一番おすすめの簡単ブログ開設方法はこちらでご紹介しています。
計測データがリセットされる
SSL化するということは、『URLが変わる』ということです。
これまで使っていた『http』から『https』に変わることで累積データがクリアになる場合があります。
検索順位チェックツールGRC などはURLごとに計測が行われているので、SSL化するとこれまでの計測がリセットされてしまいます。
たしかにデータとしてはクリアになってしまうデメリットがあるかもしれません。
しかし、Googleも推奨しているように、今後のセキュリティー面で考えるとこれはどこかのタイミングで導入するべきだと思います。
つまり、いつか導入するなら最初のうちにやる方がクリアになるデータも少なくて済むという事です。
共有SSLと独自SSLの違い
SSLには2つの種類があります。
- 共有SSL
- 独自SSL
それぞれに特徴があり、どちらを選ぶかは個人差がありますが、結果から言うと『独自SSL』をおすすめします。
その理由は下記のとおりです。
メリットとデメリット、あわせてご説明します。
共有SSLのメリット・デメリット
共有SSLとは、サーバー会社が所有しているSSL証明書をユーザー間で共有して利用できるサービスのことです。
独自SSLとは違って手軽にセキュリティ強化できるのが特徴です。
独自SSLのメリット・デメリット
一方、独自SSLとはブログなどユーザー名義で独自ドメインに対して利用できるSSLのことです。
上記でもご説明しましたが、常時SSLに適しているのは『独自SSL』になります。
WordPressを常時SSL化する手順
ここまでで『SSL化』について2種類あること、それぞれのメリット・デメリットが理解できたかと思います。
次からは本題となるWordPressのSSL化の手順をご説明していきますね。
まずは手順については下記の内容で進めていきますので、先に確認しておいて下さい。
WordPressの常時SSL化の手順
- SSL証明書の発行
- 独自ドメインのSSL化
- URLの変更
- 内部リンクの変更
- リダイレクト設定
SSL化の作業前にやること
SSL化を実行する前に注意したいポイントが2つありますので、まずその点をご説明します。
① WordPressを更新する
常時SSL化する前にWordPressを最新状態のものにします。
他には各種プラグインとテーマなども同様に最新状態に更新しておくと良いでしょう。
② WordPressのバックアップを取る
もし、少しでもWordPressで記事を書いたりしている人はSSL化する前に必ずバックアップを取るようにして下さい。
URLの変更を伴う非常に大切な作業になりますので、万が一に備えてのバックアップは重要になります。
バックアップを取り忘れるとメンタル的にもツラいですので、お忘れなく。
SSL証明書の発行
SSL化をするために、まず『SSL証明書』なるものの取得が必要です。
SSL証明書とは、運営者が実在するのかを確認し、ブラウザとサーバーの間で行う通信データの暗号化を行うための証明書になります。
これについてはレンタルサーバー経由で取得するのが一般的ですね。
ただし、レンタルサーバーによって無料でできるところもあれば、有料のところもあります。
最近では共有SSLだけでなく、独自SSLについても無料が増えてきましたが、詳しくは契約されているレンタルサーバーへお問い合わせ下さい。
ちなみに、僕がおすすめしているConoHa やロリポップ! などは無料でSSL証明書の取得が可能でした。
ConoHa WING だと、『ドメインが永久無料』や『国内最速サーバー』も特徴の一つです。
これからサーバーを借りたい人、今契約中のサーバーを変更してみたい人は別記事『WordPress(ワードプレス)でブログを始めよう』をご覧下さい。
独自ドメインのSSL化
独自ドメインのSSL化は、一般的には各レンタルサーバーの管理画面(コントロールパネルなど)で設定を行います。
操作方法など詳細はレンタルサーバーの公式サイトでご確認下さい。
URLの変更
SSL化をすることでURLが変更になりますので、各種設定を見直す必要が出てきます。
レンタルサーバーでSSL化の設定が完了すると独自ドメインのURLが『 http ⇒ https 』になるので、WordPressの一般設定を変更します。
下記が手順になりますので、参考にして下さい。
① WordPressのダッシュボードにログインし、『設定』⇒『一般』をクリックします。
② 変更するポイントは2箇所あり、『WordPressアドレス(URL)』と『サイトアドレス(URL)』です。
すでに入っているURLは『http://』になっていると思うので、これを『https://』に変更します。
変更できたら、一番下の『変更を保存』をクリック。
これで完了ですが、反映されるまで時間がかかる場合もありますので、その時は時間を空けてからページを確認してみて下さい。
設定が無事に完了されると、アドレスバーのURL左端に『鍵マーク』が表示されます。
その『鍵マーク』をクリックすると、『この接続は保護されています』と表示され、SSL化できていることの確認ができるはずです。
この『鍵マーク』があるだけで、通信の保護など安全面にも気を配っているサイトという信頼感を得ることができます。
ユーザーにとっても大きなメリットの一つと言えるでしょうね。
内部リンクの変更
上記設定ページでURLを変更しましたが、WordPressで投稿されている記事内などの内部リンクは『http://』のままになっています。
これもSSL化したあとのURL『https://』に変更する必要があります。
できるだけ1ページずつURLを変更することをオススメするのですが、ここで気になる事があります。
『過去に投稿した記事数』です。
僕のように比較的ゆったりと更新している人はそれほど問題ではないかもしれません。
しかし、めちゃくちゃ更新スピードが早い人はそれらのURLすべてを変更するのにとても苦労するでしょう。
そういった場合はプラグインを使うと簡単できます。
『Really Simple SSL』というプラグインがありますので、それを使うと簡単にURLの変更ができます。
リダイレクト設定
実は常時SSL化してURLが『https://』に変更になっても『http://』のページは普通に表示することができます。
それは、URLが違うので別のページという認識になってしまうからです。
そうなると、2つのページが存在することになりますよね。
せっかくSSL化しても意味がありませんので、『http://』へアクセスしたユーザーを『https://』へ誘導する必要があります。
これを『リダイレクト』と言います。
リダイレクト設定をしておくことで、ユーザーが『http://』へアクセスしても自動的に『https://』へ移動することになります。
リダイレクト設定には『.htaccess(エイチティーアクセス)』というファイルを編集します。
ルートディレクトリにある『.htaccess』ファイルをダウンロードし、ファイルの中身の一番上に下記コードを追記して下さい。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
すでに記載されている内容は消さないように注意しましょう。
上書き保存できたら、再度ルートディレクトリにアップロードして完了です。
各種ツールの再登録
常時SSL化が完了してもここで終わりではありません。
ブログ運営に欠かせないツールなどへの再登録も忘れずに行いましょう。
Google Analytics
『アナリティクス設定』⇒『プロパティ設定』をクリックし、『デフォルトURL』の『http://』を『https://』に変更します。
Google Search Console
変更ではなく、『https://』のサイトを新規に登録して下さい。
【超簡単】WordPress(ワードプレス)常時SSL化の手順とポイント:まとめ
WordPressの常時SSL化はセキュリティ向上に必須な対策です。
ユーザー目線で考えて、これをやることで信頼性はアップします。
最初の手間を嫌がって導入が遅れるとデメリットが増えますので、最初にやっておくことを強くおすすめします。
今回は、以上となります。最後まで、ありがとうございました。