プラグインで簡単！WordPressの常時SSL対応

［目次］

以前に公開した『WordPressで構築されたWebサイトの常時SSL化手順』では、WordPressを常時SSLに対応するための手順をご紹介しました。

その記事の中で使用している「Really Simple SSL」のように、常時SSLに対応するために便利なプラグインを調査、比較してみました。

WordPressの常時SSL対応というと、すごく難しそうなイメージがありますが、プラグインを利用することで簡単に実現が可能になっています。

プラグイン選定のチェックポイント

すぐに使える有用なプラグインをご紹介するため、いくつかの条件を設定してみました。

セキュリティ面から、WordPress管理画面で追加できるもの(= 登録済み)とし、最新のWordPressとの互換性、高評価のものを選択します。

別サービスとの連携が必要なプラグインではなく、単独で常時SSLに対応できるものを選択します。

常時SSLを実現できるプラグインには、SSL以外の機能も合わせ持つ多用途のものもありますが、設定の難易度や導入へのハードルも高いケースが多いため、常時SSLへの対応に限定したものを選択します。

SSLサーバー証明書を購入済みであり、HTTPSでアクセスした際のドキュメントルートが、HTTPと同じディレクトリに設定してあることを前提とします。

WordPress管理画面でインストールし、有効化ボタンをクリックすると、以下のような画面が表示されます。そのまま、「はい、SSLを有効化します。」ボタンをクリックするだけで、常時SSLへの対応が完了します。

有効化と同時に、HTTPへのアクセスすべて自動的にHTTPSにリダイレクトする、という挙動になります。

このプラグインには、以下のような設定画面がありますが、普通のWebサイトであれば初期状態から何も変更しなくても問題ありません。

WordPress管理画面でインストールし、有効化ボタンをクリックすると、以下のような画面が表示されます。

プラグインの設定自体は完了していますが、この完了画面で表示されるメッセージに従い、WordPress管理画面の「設定」→「一般」で「WordPressアドレス(URL)」と「サイトアドレス(URL)」のURLを「https://～」に変更する作業が必要になります。

なお、このプラグインには、専用の設定画面は一切ありません。
完了画面で表示されるメッセージの通り、HTTPでの接続を自動的にHTTPSにリダイレクトするようになります。

WordPress管理画面でインストールし、有効化ボタンをクリックしても、前述の2つプラグインのような画面は表示されません。通常のプラグインのインストールと同様の挙動となります。

インストール後に、「WP Force SSL」と同様に、WordPress管理画面の「設定」→「一般」でURLの修正が必要です。

このプラグインには、以下のような専用の設定画面が用意され、細かい設定ができるようになっています。

Webブラウザで「Mixed Content」(HTTPとHTTPSが混在)のエラーにならないように、コンテンツを自動的に修正することが可能です。

内部のパーツや画像、スクリプトなども、設定画面の状態に合わせて自動的に修正してくれます。

「サイト内検索にも警告が?Chromeが10月にさらにセキュリティ強化」にあるように、WordPressのウィジェットで設置したサイト内検索でもHTTP接続で警告の表示対象になるため、常時SSLの対応は避けて通れません。

本記事の3つのプラグインは、WordPress管理画面での設定、専用の設定画面の有無のような差異がありますが、どのプラグインも導入自体は非常に簡単で、あっという間に常時SSLへの対応が完了します。

迷っているならば、とりあえず本記事のどれかを導入しておけば、まず問題ないといえるでしょう。