常時SSL Lab.編集部本記事には古い情報が含まれている可能性があります。
2019年9月以降、各ブラウザのEV証明書のアドレスバー表示は変更されており、
本記事に掲載されている表示とは異なっている場合がありますので、ご注意ください。
常時SSL Lab.の「実践術」ではこれまで、HTMLやCSSで構成された静的なWebサイトを常時SSLに対応させる手順を説明してきましたが、近年、Webサイトの構築にはWordPressをはじめとしたCMSを利用することが多くなっています。
ということで今回は、代表的なCMSであるWordPressの常時SSL化の方法を簡単にご案内します。
WordPressで構築されたWebサイトの常時SSL化にはさまざまな方法がありますが、ここでは常時SSL化のためのプラグイン「Really Simple SSL」を利用した手順をご案内します。
事前準備
実際の作業に入る前に、以下の内容を確認しておきましょう。
WordPressを最新の状態に
WordPressの本体、プラグイン、テーマなど、更新可能なものはすべて適用しておきましょう。
WordPress管理画面の「ダッシュボード」→「更新」に表示される更新を行い、Webサイトを最新の状態にしておきます。
必ずバックアップを
作業中にトラブルが発生してもすぐに切り戻しができるように、WordPressで公開しているWebサイトのファイル/データベースのバックアップを実施しておきます。
WordPressのプログラムファイルをFTPでダウンロードしたり、データベースをphpMyAdminなどでエクスポートしておきます。
SSLサーバー証明書の購入/設定
これは静的なWebサイトでも同じことですが、常時SSL化にあたり必要なSSLサーバー証明書の購入や導入方法、Webサイトのドキュメントルートの設定手順などを確認しておきましょう。
HTTPとHTTPSのドキュメントルートが固定のディレクトリ以外に設定できない場合は、ファイルの移動などの作業が必要になります。
留意すべき点
常時SSL化の際、Google系のツールは設定の変更や再登録が必要なものがあります。
以下の記事を確認しておいてください。
以下の記事でも記載したとおり、常時SSL化に伴いWebサイトのURLが変わるので、SNSでのシェア数はゼロからのリスタートになります。
SNSのシェアボタンを表示するプラグインなどをご利用の場合でも同様です。
WordPressの常時SSL化の作業
ファイルの移動やドキュメントルートの設定
Webサイトを公開しているサーバーの仕様で、HTTPとHTTPSのドキュメントルートが固定のディレクトリ以外に設定できない場合は、HTTPで公開しているWebサイトのファイルをHTTPSにコピーします。
常時SSL化が完了したら、HTTPで公開しているWordPressのファイルは、FTPなどですべて削除します。
ドキュメントルートが自由に設定できるサーバーの場合は、HTTPとHTTPSのドキュメントルートを同じディレクトリに設定します。
CSSやテーマ/プラグインなどのファイルの見直し/修正
CSSやテーマの各ファイルを自作している場合、内部のパスの記述が「http://」になっている箇所は、「https://」に修正します。
外部のテーマやプラグインはHTTPSに対応しているか確認しておき、調整が必要な場合は事前に実施しておきます。
プラグイン「Really Simple SSL」のインストール/有効化
WordPressの管理画面に「https://」(HTTPS)でアクセスします。
管理画面にログインできたら、プラグイン「Really Simple SSL」をインストールします。
プラグインを有効化すると確認メッセージとともに表示される「はい、SSLを有効化します」ボタンをクリックします。
完了メッセージが表示されたら、常時SSL化は完了しています。
なお、本プラグインを削除すると、常時SSL化も解除されますのでご注意ください。
また、ドキュメントルートが固定のディレクトリの場合、プラグインの有効化後はデータの整合性が取れなくなる可能性がありますので、HTTPの管理画面にはログインしないでください。
Webサイトのチェックやエラーへの対処
常時SSL化が完了したつもりでも、プラグインやテーマ、外部ファイルの読込などが原因で、WebブラウザがSSLに関するエラー(「Mixed Content」など)を表示する場合があります。この状態ではまだ完了しているとは言えません。
Webブラウザのアドレスバーの左端が鍵マークなどになっていない場合は、以下のページを参考に、エラーの原因と対処を実施してみましょう。
※2018年10月リリース予定の「Chrome 70」からは、鍵マークが緑から灰色に変わります。
エラーの原因がプラグインやテーマなどに特定され、それらがHTTPSに対応できない場合は、同程度の機能を持つ他のものに代替することも検討しましょう。
Webサイトの常時SSL化に失敗しないエラーチェックと対応方法
なお、投稿や固定ページなどの記事のソースに含まれる内部リンクや画像パスなどは、常時SSL化プラグインだけでは対応できず、各記事のソースに記述されたパスなどの書き換えが必要な場合があります。
記事が少ない場合は個別に書き換えれば済みますが、大量の記事を持つWebサイトなどでは、データベース内の指定文言を直接一括で書き換えるプラグインなどを利用する方法もあります。
Search Regex
DATABASE SEARCH AND REPLACE SCRIPT IN PHP
各プログラムのご利用方法は、公式サイトなどを参照してください。
「DATABASE SEARCH AND REPLACE SCRIPT IN PHP」については、ZenlogicのWebサイトに掲載されている内容が参考になるかと思います。
Zenlogic – WordPress 引っ越しガイド STEP3
これらのプログラムは、事前にテスト環境などで十分に挙動を確認してからご利用ください。
HTTPSでのアクセスが正常に行われることが確認できたら、以下の内容も確認してみてください。
この記事のポイント
- サーバーの仕様や現在の状態により、必要な作業が異なる場合があります。
- WordPressの常時SSL化には、プラグイン「Really Simple SSL」が早くて便利です。
- Webサイトの表示やエラーのチェックを必ず実施しましょう。
株式会社IDCフロンティア
