あなたのWebサイトもhttps化して、安全にしましょう!このページではWordPressサイトをhttpサイトからhttpsサイトへ変更する方法を解説します。
WordPressなら便利なプラグインをインストールして設定すれば、面倒なhtml・phpなどのコードメンテナンスは不要です!
なお、この記事でhttps化とは、常時SSL化のことを意味します。
https化って?
「Webサイトのhttps化」と言うとセキュリティ対策のために行うイメージがありますが、具体的にどのようにセキュリティ対策に効果があるのでしょうか?
まずはその辺りの最低限の前提知識を少し解説しましょう。
URLがhttpsで始まるWebページでは、そのWebページを読み書きするための通信にTLS(SSL)という暗号化技術が使われます。
この暗号化技術を利用するには、信頼のおける第三者機関(認証局といいます)が発行したSSLサーバ証明書という電子的な証明書が必要です。このSSLサーバ証明書によって、サイトの所有者や暗号の安全性、データの改ざんに対する安全性が担保されるのです。
常時SSL化って?
TLS(SSL)自体はさほど目新しい技術ではなく、20世紀から使われていましたが、最近まではhttps化が行われるのはユーザーの個人情報の送受信を行うフォームページなど特にセキュリティ対策を要するWebページだけであり、普通のWebページは通常のhttpページであることがほとんどでした。
しかし2010年代に入るとネットでやり取りされている情報を国家レベルで傍受しようとしていた動きが明るみになったことから、Googleやヤフーなど多くのメジャーなWebサービスサイトで、特定のページだけでなくすべてのWebページをhttps化する動きが盛んになってきました。
この「特定のページだけでなくすべてのWebページをhttps化する」ことを、常時SSL化と呼びます。
https化と常時SSL化についてもっと詳しいことが知りたければ、下記のリンク先を参照してみてください。
https化作業の流れ
それでは、https化作業の大まかな流れを説明しましょう。
- サーバ証明書を取得する
- WordPressのプラグイン「All in One SEO Pack」をインストール・有効化し、設定する
- Google Search Console・Bing WebマスターツールにhttpsのサイトURLを登録する
- WordPressのプラグイン「Really Simple SSL」をインストール・有効化し、設定する
私はこのサイト(Brand-new TOKYO)をhttps化するにあたって上に書いた手順を踏んだところ、HTML・CSS・phpを直接書き換えることなく常時SSL化を成し遂げることができました。
「https化」などの言葉でググると技術者向けにphpなどのコードをメンテナンスする方法を紹介するサイトが出てきますが、素人がコードやphpファイルの意味を分からないままメンテナンスするのは危険です。最悪Webサイトへアクセスできなくなったりサイトのコンテンツが消えてしまったりする可能性があります。
コードやphpファイルの意味を勉強して理解するか、この記事に書いたようにWordPressプラグインの設定でできる方法を探すかいずれかをお勧めします。
作業の詳細
サーバ証明書を取得する
https化するWebサイトを運営しているがHTMLやphpなどのコードについては全くの素人である人のほとんどは、サーバーレンタルサービスを使っているものと思います。
メジャーなサーバーレンタルサービスの多くは、オプションサービスとしてサーバ証明書を発行する認証局への取次ぎを行っています。
SSL証明書サービスには無料のものもありますが通常は有料のものが多く、値段は年1000円程度から年10万円を超えるものまでまちまちです。
高額なものは主に企業向けであり、個人のブログ程度であれば安いもので良いと思います。
「(レンタルサービス名) SSL証明書」でググれば、そのレンタルサービスでSSLサーバ証明書を発行する手続きの方法が検索できます。どのレンタルサービス会社も有償オプションサービスの契約獲得に真剣なので、お金さえ払えば証明書発行の手続きは素人でもさほど難しくないと思いました。
ちなみにサーバ証明書の取得で注意すべき点を一つ挙げておきます。
取得にあたってサイトURLの他に「組織名」を登録するのですが、この「組織名」に_(アンダーバー)を使うと登録ができず、サポートを必要とする事態になってしまいます。
「組織名」にはアンダーバーは使わないようにしましょう。
WordPressプラグインとGoogleなどの設定をする
サーバ証明書を取得できたら、サーバーレンタル会社からの案内通りに設定を行えば「https://~」でWebサイトにアクセスできるようになっていると思います。
が、これだけでは作業完了ではありません。
- WordPressのサイトアドレスURLを設定する
- Googleなどの検索サイトがhttpではなくhttpsを見てくれるように設定する
- httpサイトを見に来ると自動でhttpsへリダイレクトするように設定する
- HTMLページだけでなく、アップロードした画像等全てのデータの置き場所及びリンクをhttpsへ変更する
というような作業が必要です。。
特に最後に書いた「全てのリンクをhttps化する」ことは、行わなければChromeでサイト表示してもURL欄に「保護された通信」と表示されないためどうしても必要な作業なのですが、プラグインの力を借りなければ一つ一つのページのソースをチェックしていかなければならないため非常に辛くミスの起こりやすい作業になってしまいます。
気が遠くなりそうですが、実は下のリンク先のページに書いてある通りにWordPressプラグインやGoogleなどの設定をすれば、上に書いた作業はいつの間にか全てできてしまいます。
まずはこちらのページ。
このページではAll in One SEO Packのインストールと設定について非常に詳しく解説されており、上から下まで書いてある通りに設定すればWordPressのサイトアドレスURL設定からGoogle・Bingの検索サイト設定まで簡単に出来てしまいます。
長いですが意外と簡単に設定を進められますので、読み飛ばさないで着実に操作していってくださいね。
次に、こちらのページです。
Google検索では新しくできたhttpsサイトはhttpサイトとは別物として扱われるので、上のページにあるGoogle Search Consoleの設定が必要になります。
一点補足ですが、サイトマップの追加の際はさきほどAll in One SEO Packで設定した「sitemap」に拡張子.xmlを付けて「sitemap.xml」と入力しましょう。
最後に、このページです。
「プラグイン「Really Simple SSL」のインストール/有効化」という項目に書いてある操作を実行しましょう。
これでリダイレクトの設定と、画像などのリンクのhttps化も完了です。
おわりに
サイトのhttps化はネット技術の素人にとっては大きな壁ですが、WordPressプラグインを使えば面倒なコードメンテナンスは不要です。
このページが少しでも多くの方がhttps化を進めるきっかけになることを祈ります。
最後になりましたが、上記リンク先のサイト主様及び記事作成された方々に多々感謝申し上げます。