SPIRALマネージドクラウドの記事
ARTICLEWordPressのSSL化|やるべきことを徹底解説
SSLの正式名称はSecure Sockets Layerといいます。一言でお伝えすると、「Webサイトの通信を暗号化」することを指します。 今回は、なぜSSL化をWordPressサイトに導入すべきなのか、導入の方法や注意点まで解説します。
目次
SSL化とは
実は、私たちが行っているインターネット上のデータ通信は悪意のある人間によって傍受・改ざんされる危険性があります。この危険な状態を回避するための技術がSSL (Secure Sockets Layer) 化です。インターネット上の通信を暗号化するSSLという技術を用いることによって、より安心してインターネットを利用できるようになります。
SSL化を行うと何が変わるのか
SSLを導入するとサイトのURLがhttp://からhttps://に変更されます。追加された「s」は secure (セキュア、「安全であること」の意味を表す) の頭文字です。
これが、「このページはSSL化されている」という印になります。
SSL化を導入するべき理由
(1)リスクの防止
もし第三者によって途中で情報が傍受されてしまったとしても、SSL化されている場合、通信が暗号化されているため簡単に内容を解読されることはありません。そのため、個人情報の流出や改ざんといった深刻な状態を回避することができます。
(2)運営側の信頼をアピール
暗号化された通信が行われるなどSSL化によりセキュリティーが強化されることから、ユーザーが安心して個人情報を入力しやすくなります。
これは特に通販サイトなど、氏名や住所、クレジットカード番号といった個人情報の入力をお願いするサイトを運営するうえでとても重要になります。ユーザーにより安心して自社のサイトを利用していただくためにSSL化を用いて運営側の信頼をアピールすることが大切です。
(3)SEO対策
SEOとは、Search Engine Optimization (検索エンジン最適化)のことを指します。検索エンジン最適化とは、ネットで検索された時、自分のサイトが他のサイトよりも検索されやすい状態にすることです。検索結果のより上位に表示されやすくすることをSEO対策といいます。
SSL化がSEO対策でなぜ重要となるのか
日本で最も使われている検索エンジンであるGoogle(2022年現在)は、2014年に発行されたガイドラインにて、検索ランキングの指標としてSSL化 (HTTPS化) を使用することを宣言しました。
Google は過去数か月にわたり、暗号化された安全な接続をサイトで使用していることを検索のランキング アルゴリズムのシグナルとして考慮するテストを実施してきました。このテストで十分な結果が得られたため、Google はランキングシグナルとして HTTPS を使用することにしました。
引用元:Google検索セントラル
このため、SEO対策の面でもSSL化は欠かせないものとなっています。
WordPressをSSL化する手順
通常SSL対応には費用が発生しますが、最近ではどのレンタルサーバー会社でも無料のSSLの提供がある場合がほとんどです。
レンタルサーバー会社ごとにSSL化の方法は異なりますが、基本的に、サーバー側でSSL対応を行ってからWordPress側でSSL対応を行うという流れで実施します。まず今回は、サーバー側のSSL化の手順から確認しましょう。
サーバー側のSSL化の手順
どのレンタルサーバー会社でも基本的には、サーバーコントロールパネルにログインを行い、設定からSSL設定を有効にします。このSSL設定の方法については、各レンタルサーバー会社が詳しいやり方を掲載しているためそちらを参照しましょう。
WordPress側をSSL化する前に
よく誤解されますが、レンタルサーバー側のSSL化を完了させ、無料SSLを設定しただけでは「https」で繋がるだけの状態になっており、サイトがSSL化されているわけではありません。常時SSL化のためには、http→httpsのリダイレクト設定やサイトコンテンツのURL変更などが必要のため、WordPress側をSSL化させなければなりません。
この章では、WordPress側を安全にSSL化するための準備として行っておくべきことについて3点紹介します。
(1)WordPressのバックアップ/アップデートを忘れずに
SSL化を行う前に、必ずWordPressのバックアップをとっておきましょう。SSL化を行う場合、WordPressのテーマファイルとデータベースに手を加えるため、失敗するとそのままファイルが表示されなくなってしまうという事故も起こりかねません。そんな万が一の時に備えてバックアップを事前に取ることをおすすめします。
バックアップは、WordPressを自分でカスタマイズするために使われるツールであるプラグインを使って取ることも可能です。
たとえば、「BackWPUp」というプラグインを利用すると、定期的に自動でバックアップを取ることが可能になります。プラグインを使うと、初心者でも簡単にバックアップを取ることができます。
また、バックアップと一緒にWordPressのシステムとプラグインを最新状態にアップデートするのも忘れずに行いましょう。(アップデートされていない場合、正しくSSL化を設定できない場合があります。)
(2)事前にファイルを移動
Webサイトを公開しているサーバーの仕様で、httpとhttpsのドキュメントルートが固定のディレクトリ以外に設定できない場合があります。この場合はhttpで公開しているWebサイトのファイルをhttpsにコピーする必要があります。
※ドキュメントルートとは、Webサーバー上に公開するための外部のディレクトリのことを指す。
また、ドキュメントルートが自由に設定できるサーバーの場合は、httpとhttpsのドキュメントルートを同じディレクトリに設定すると便利です。
(3)CSSやプラグインの見直し
CSSファイルやテーマファイルを自作している場合は、内部のパスの記述を「https://」に修正する必要があります。外部のテーマやプラグインはhttpsに対応しているのか事前に確認しておきましょう。
WordPress側のSSL化
ここまできたら、ようやくWordPressのSSL化に入ります。既存のWordPressサイトの場合、さまざまな場所でSSL化されていないURLを利用しているため、手動で変更するのはかなり大変な作業となってきます。そのため便利なのが、バックアップの作業時にも登場したプラグインです。
プラグインを使用すると、内部リンクのURLや記事内画像のURL、「http://」を見つけた際の「https://」へのリダイレクト設定など全てを実施してくれるのでとても便利です。ここでおすすめプラグインを2つ紹介します。
おすすめのプラグインを2つ紹介
(1)Really Simple SSL
1つ目は、「Really Simple SSL」 です。このプラグインをインストールし、「はい、SSLを有効化します。」と言うボタンを押すだけでWordPress側のSSL化も完了させることができます。
(2)SSL Insecure Content Fixer
2つ目は、「SSL Insecure Content Fixer」です。このプラグインでは1つ目のプラグインに比べより細かな設定が可能となっています。Webブラウザでhttpとhttpsが混在している「Mixed-Content」というエラー状態にならないように、コンテンツを自動的に修正することが可能です。
エラーへの対処
プラグインを使用してもSSL化できない場合があります。上記のように「Mixed-Content」と表示された場合、エラーチェックが必要です。
もし「Mixed-Content」が表示されてしまったら、エラーを確認してWordPressの管理画面から手動で修正を行う必要があります。
手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド
当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。
Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。
ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアに簡単導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。
セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
今回は、Webサイトの通信を暗号化するSSL化について、なぜSSL化をWebサイトに導入すべきなのかといったところから、SSL化の導入の方法や注意点を解説しました。「自社のサイトをより上位に表示させたい」「自社のページがユーザーからさらに信頼されてほしい」という企業は、ぜひこの機会にSSL対応してみましょう。
