ブログやホームページを見ていると、多くのサイトでアドレスバーに鍵マークが表示されているのにお気づきでしょうか?
この鍵マークは、SSL化(https化)によって安全なデータ通信をしている目印です。
今回の記事では、「SSLなんてよくわからない……」という初心者向けに、SSL化(https化)の基礎知識、必要性、具体的な設定手順などを解説していきます。
クサカベ
この記事で解決できる疑問はこれ!
- 「SSLって何?」
- 「SSL化(https化)する必要あるの?」
- 「SSL化(https化)するための手順は?」
SSLとは、Webサイト上のデータ通信を暗号化して、セキュリティを高める仕組みのこと。
WebサイトにSSLを導入し、httpからhttpsでのデータ通信に切り替えることをSSL化と言います。httpsではじまるURLでアクセスできるため、https化とも呼ばれます。
ブログやホームページのSSL化は今や必須。ユーザーの安全や信頼に繋がり、SEOの評価にも影響するからです。
この記事では、WordPressサイトの開設状況別に手順を紹介しているので、ぜひ最後まで読んでみてください。
SSL化はhttpsでの安全なデータ通信に切り替えること
SSLとは、Webサイトとサーバー間のデータ通信を暗号化して、ブログやホームページのセキュリティを高める仕組みのことです。
SSLを導入しているWebサイトでは、URLの先頭が「http」から「https」に変わります。
SSL化とは、ブログやホームページにSSLを導入し、「https」での安全なデータ通信に切り替えること。
URLが「https」に変わるので、「https化」と呼ばれることもあります。
サイト内すべてのページをSSL化することを「常時SSL」といいます。
以前はフォームなどで重要な情報をやり取りするページにしか使われていない傾向がありましたが、昨今ではサイト内すべてのページをSSL化する「常時SSL」が主流です。
SSL導入時のアドレスバー表示
SSL化したページにアクセスすると、URLが「https」になるほか、アドレスバーにも鍵マークが表示されることがあるので、導入状況が一目で確認できます。
ただ、Google Chromeでは鍵マークが表示されなくなりました。
クサカベ
Google Chromeなどでhttpsが表示されていないときは、アドレスバーを右クリックして「URL全体を常に表示」をクリックしてください。
サイトをSSL化すべき4つの理由
安心・安全なサイト運用にSSL化は今や必須。
Webサイトのセキュリティを強化できるうえ、SEOにも影響するため、ほとんどのWebサイトで対応しています。
ここではSSL化すべき理由を4つ紹介します。
それぞれ解説していきます。
1. サイトのセキュリティが上がるため
SSL化は、WordPressサイトのセキュリティ対策として重要です。
セキュリティが高いことは、訪問者も安心して使いやすく、WordPressサイトの信頼性を高めやすいです。
インターネット上では常にセキュリティリスクがつきまとい、とくにWordPressは利用者が多いため、ハッカーなどに狙われやすい傾向にあります。
SSL化せず、通信を暗号化しないままにしておくと、通信経路の途中で、悪意をもった第三者に盗聴や改ざんされるリスクがあります。
セキュリティにかかわるトラブルを起こせば、企業はもちろん、個人でもサイト運営者としての信頼は失ってしまうでしょう。
セキュリティを保全し、安心して利用できるWordPressサイトにするために、SSL化は有効です。
2. 訪問者に不安を与えないようにするため
常時SSLでないサイトをほぼ見かけなくなった今、「SSL化していないサイトは危険」という印象を持たれやすい傾向にあります。
SSL化していないことは、ブラウザ上の表示ですぐにわかります。
以下はGoogle Chromeの例ですが、「保護されていない通信」と表示されている状況です。
訪問者がこの表示を見れば、不安に感じて離脱してしまうかもしれません。
また、この状態では、サイト自体や掲載している情報を信用してもらうのが困難です。
WordPressサイトを安心して利用してもらい、訪問者の信頼を得るためにも、SSL化はすべきでしょう。
3. サイトが高速化するため
SSL化は、WordPressサイトを高速化するメリットもあります。
https通信では、「HTTP/2」という表示速度を向上させられる通信規格が利用できるからです。
画像表示など、並行して複数を処理できるので、より高速にページを表示できます。
ご利用のレンタルサーバーが「HTTP/2」に対応している必要がありますが、SSL化には速度面でもメリットがあります。
参考:HTTP/2について | レンタルサーバーならエックスサーバー
4. SEOの評価に影響するため
SSL化は、SEO面でも評価によい影響を及ぼすメリットがあります。
Googleなどの検索エンジンの検索結果で上位表示され、アクセスアップするように取り組むこと。
ブログやホームページでの集客施策において、重要な取り組みの一つ。
なぜなら、httpsでの通信は、Googleの検索結果の上位に表示する判断基準の一つとなっているためです。
Google はランキング シグナルとして HTTPS を使用することにしました。
引用元:ランキング シグナルとしての HTTPS | Google 検索セントラル ブログ、2023年7月時点
とは言え、SSL化しても、すぐに順位が上がるようなものではありません。
多くのサイトがSSL化している中で、対応していないと不利になるという程度に捉えるのが適切でしょう。
また、「3. サイトが高速化するため」で紹介したように、サイトの表示速度が上がることもSEO評価によい影響が期待できますよ。
次のセクションでは、SSL化するために必要なSSL証明書について解説します。
SSL化にはSSL証明書が必要
WordPressのブログやホームページをSSL化するためには、SSL証明書が必要です。
SSL証明書は、ネット上などで本人確認の役割を担う電子証明書の一種で、SSLサーバー証明書とも呼ばれます。
Webサイトの運営者を証明し、通信を暗号化する役割を主に担います。
SSL証明書には、無料で利用できるものと有料のものがありますが、「https化」だけが目的ならば無料のSSL証明書で十分です。
有料のSSL証明書は、より信頼性の高い証明をしてくれるものや、証明されていることを訪問者に強くアピールできる機能をもったものなどがあります。
企業などで、WordPressサイトのセキュリティを強くアピールしたい事情などが出てきてから検討すれば、OKです。
独自SSLと共有SSL
SSL化について検索したときに、「独自SSL」や「共有SSL」といったワードが出てくるかもしれません。
独自SSLと共有SSLの違いは、以下のとおりです。
- 独自SSL
自分の所有する独自ドメインに対して、SSL証明書を導入して利用するもの - 共有SSL
サーバーサービスなどの事業者が所有するドメインに対してSSL証明書を導入し、複数のユーザーで共有して利用するもの
WordPressでブログやホームページを運営している場合、独自ドメインで公開しているサイトが多いでしょう。
独自ドメインにSSL証明書を導入して利用する場合は、「独自SSL」と呼ばれます。
「共有SSL」は手軽に使えますが、事業者が提供するドメインで利用しなくてはいけないデメリットがあります。
クサカベ
今は多くのレンタルサーバーが無料で「独自SSL」を利用できますよ!
SSL化には2つの作業が必要
一般的に、SSL化には以下2つの作業が必要です。
具体的な手順は、記事後半で状況別に紹介します。
ここでは、SSL化に必要な作業内容を把握してもらえればOKです。
1. SSL証明書をサーバーに導入する
まず、SSL証明書をWordPressサイトを設置しているサーバーに導入します。
レンタルサーバーの管理パネルなどで提供されている、無料の独自SSLを利用する機能を活用すれば簡単に設定できます。
実際の手順は、ご利用レンタルサーバーのマニュアルを参考にしてみてください。
当社運営の『エックスサーバー』での設定手順は、記事後半で詳しく紹介します。
2. httpへのアクセスをすべてhttpsへ転送する
SSL証明書をサーバーに導入しただけでは、httpsのURLでアクセスできるようになっただけです。
SSL化されていないhttp通信でもアクセスできてしまいます。
そのため、WordPressサイトのアドレス設定を「https」にしたうえで、httpでのアクセスをすべてhttpsに転送(リダイレクト)する必要があります。
リダイレクトには、.htaccess(ドットエイチティーアクセス)というファイルや、WordPressプラグインを用いる方法がありますが、詳しい手順は記事後半で紹介します。
Webサーバーにおける基本的な動作を制御できる設定ファイルのこと。
アクセス制限やユーザー認証など、さまざまな設定を行える。ディレクトリ単位で制御できる。
WordPressサイトをSSL化する具体的な手順
それでは、具体的にサイトをSSL化する手順を見ていきましょう。
この記事では、以下の3パターンに分けて解説していきます。
手順は、当社運営のレンタルサーバー『エックスサーバー』を利用する例で、解説していきます。
当てはまるパターンの手順に沿って、SSL化を進めていきましょう!
WordPressの新規インストール時に「自動」でSSL化する
これからWordPressでサイトやブログを構築するなら、ぜひ最初からSSL化しておきましょう。
レンタルサーバーをまだ契約していない方は、『エックスサーバー』が提供する「WordPressクイックスタート」を活用するのがおすすめです。
SSL化はもちろん、以下の内容がすべて自動的に完了するため、非常に便利です。
- レンタルサーバーの申し込み
- 独自ドメインの取得
- ドメイン設定/無料独自SSL設定
- WordPress本体のインストール
- WordPressテーマのインストール
WordPress開設まで最短10分で完了します!
これからサーバーを申し込む方は、「エックスサーバーレンタルサーバーお申し込みフォーム」から、ぜひ活用してみてください。
詳しい手順は、以下の記事で解説していますので、参考にしてみてくださいね。
WordPressの新規インストール時に「手動」でSSL化する
レンタルサーバーの契約やドメインの取得が済んでいて、これから新規にWordPressをインストールする人向けの手順です。
以下のとおり進めていきます。
もし、独自ドメインの取得がまだの場合は、以下のサイトを参考にしてみてください。
それでは、実際の手順を解説していきます。
1. ドメイン設定/無料独自SSL設定
「ドメイン設定」は、取得したドメインをサーバーで利用するための設定です。
この設定手順で、同時に無料独自SSLも設定できます。
『エックスサーバー』公式サイトから、ログインメニューを開いて、サーバーパネルにログイン
「ドメイン設定」をクリック
ドメインを追加をクリック
取得済みのドメイン名を入力
「無料独自SSL」や「HTTPS転送」はチェックしたまま、追加するをクリック
設定済みドメインの一覧に表示されたら設定完了
ただし、反映まで時間がかかるため、しばらく待ちましょう
サーバーにドメイン設定が反映されるまで、数時間~最大24時間程度かかる場合があります。 また、SSLの設定がサーバーに反映されるまで、最大で1時間程度かかります。
次に、無料独自SSL設定の反映が完了したかどうかを確認してみましょう。
2. SSL設定を確認・設定する
無料独自SSL設定の反映が完了したかどうかは、『エックスサーバー』サーバーパネルの「SSL設定」で確認できます。
- SSLの設定状況の確認
「ドメイン設定」を対応したあと、無料独自SSL設定の反映が完了しているか確認したいとき - SSLの設定追加・変更
ドメイン設定時にチェックを外して進んだので、個別に設定したいとき
無料独自SSL設定が失敗した旨のメッセージが表示されたので、再設定したいとき
無料独自SSL設定の反映が完了しているかを確認してみましょう。
サーバーパネルのSSL設定をクリック
設定状況が「ON」になっていて、「反映待ち」と表示されていないことを確認
以下のように「反映待ち」という表示がある場合は、設定の反映中なので、もうしばらく待ちます
3. WordPress本体とテーマのインストール
ドメイン設定と無料独自SSL設定の反映の確認が済んだら、WordPressをインストールしましょう。
『エックスサーバー』の「WordPress簡単インストール」機能を利用すれば、WordPress本体と同時に、WordPressテーマもインストールできるのでおすすめです。
サーバーパネルにログインし、WordPress簡単インストールをクリック
WordPressを追加をクリック
まずはWordPressサイトのアドレス関連の情報を入力
- 追加形式:「新規インストール」を選択します
- 対象ドメイン:インストール先のドメインを選択します
- サイトURL:「/」から右側の入力欄は空白で構いません
続いて、WordPressサイトの基本情報を入力
パスワードは強度の高いものを設定しましょう
- ブログ名:サイト名のことです。あとから変更できます
- ユーザー名:WordPress管理画面のユーザー名です
- パスワード:WordPress管理画面のパスワードです
- メールアドレス:WordPress管理用のメールアドレスです
次に、補助的な設定、データベースの設定を入力
- キャッシュ自動削除:「ONにする」のままで構いません
- データベース:「自動でデータベースを生成する」のままで構いません
最初にインストールしておくWordPressテーマを選択
- テーマ:デザインテンプレートのこと。お好きなテーマを選択してください
- テーマオプション:子テーマをインストールする場合はチェックを入れます
テーマでどれを選ぶか迷ったとき、手軽に使える無料テーマなら「Cocoon(ブログ向け)」「Lightning(ホームページ向け)」がおすすめ。
もし速やかに質の高いサイトを作りたいなら、最初から有料テーマを選ぶのもおすすめです。
有料テーマなら、初心者でも簡単に使えるように、より多くの機能を備えていることが多いです。
当社エックスサーバー開発の「XWRITE」は、簡単にブログやホームページを作りたい初心者におすすめです!
最後に、セキュリティプラグインの利用を選択
管理画面への不正アクセスやログインを阻止するためのセキュリティプラグインです。
WordPressはセキュリティ対策が必須です。ほかのセキュリティプラグインなどを検討していない場合は、そのまま有効にしておきましょう。
情報をすべて入力したらインストールするをクリック
処理が完了するまで少し待ち、WordPressの一覧に表示されたらインストール完了です。
4. WordPressのアドレス(URL)をhttpからhttpsへ変更
WordPressのインストールが完了したら、WordPressのアドレス(URL)をhttpからhttpsへ変更します。
最初に設定変更しておけば、今後は常に「https://~」のURLでアクセスできます。
設定変更は、WordPressの管理画面へログインして行います。
WordPressの一覧から詳細を押し、管理画面URLからWordPressにログイン
ログイン画面にアクセスしたときに「保護されていない通信」と表示されていても、このあと設定していくので無視してOK
WordPressの管理画面が表示されたらメニューから「設定」をクリック
以下のURLをどちらも「https://~」に書き換え
- WordPress アドレス(URL)
- サイトアドレス(URL)
「http」→「https」以外は変更しないようご注意ください。
誤って変更された場合、WordPressの管理画面にログインできなくなるおそれがあります。
変更を保存をクリック
URLを変更後、ブラウザのアドレスバーに鍵マークが表示されていることを確認し、もう一度ログイン
再度、一般設定の画面を開き、「WordPress アドレス(URL)」と「サイトアドレス(URL)」どちらも「https~」になっていることを確認
サイトを表示して、ブラウザのアドレスバーに鍵マークが表示されることを確認
WordPressのアドレス(URL)の変更手順は以上です。
次に、httpからhttpsへのリダイレクト設定へ進みます。
なお、WordPressの管理画面の基本的な使い方については、以下の記事を参考にしてみてください。
5. httpからhttpsへのリダイレクト設定
httpのURLにアクセスがあったときに、httpsのURLに転送(リダイレクト)する設定を行います。
『エックスサーバー』で、先に紹介した「ドメイン設定」時に「HTTPS転送」をONにしていた場合は対応不要です。むしろ、処理が重複して不具合を起こす可能性もあるため、スキップしてください。
この記事では、『エックスサーバー』のサーバーパネルから「.htaccess編集」機能を利用して、リダイレクトを設定する方法を解説します。
サーバーパネルへログインし、.htaccess編集をクリック
編集したいドメインの編集をクリック
入力欄の先頭へ以下のコードを追記
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
この記述は、一時的ではなく、恒久的なURL変更を行いたいときに利用します。
恒久的な転送は、「301リダイレクト」と呼ばれます。
.htaccessが原因でエラーになった場合でもすぐ戻せるよう、編集前の記述内容をコピーしておくことをおすすめします。
また、ほかの記述内容を編集しないようにしてください。
記述の順によって処理が変わるため、リダイレクトの記述は、先頭へ追記することをおすすめします。
設定するをクリックしてください。
.htaccess編集後は、「http」でアクセスして「https」にリダイレクトするかどうか、サイトが正常に表示されるかを、必ず確認してください。
もし、編集後にサイトが表示ができなくなった場合は、.htaccessの内容を元に戻して更新しましょう。
インストール済みのWordPressサイトをSSL化する
すでに構築されているWordPressブログやホームページを、途中からSSL化する場合は、以下の手順のとおりです。
順に解説していきます。
1. バックアップの取得
WordPressに変更を加えるため、バックアップは必須です。
データの書き換え時などにトラブルが発生すると、正常にリンクされなくなったり、最悪、元の状態に戻せないなんてことも。
そのため、作業前に必ずバックアップを取得しておきましょう。
バックアップデータがあれば、作業前の状態に戻せます。
バックアップについては、以下の記事を参考にしてください。
2. サーバーでSSLの設定
バックアップを取ったら、以下の手順でSSLを設定します。
サーバーパネルにログインし、SSL設定をクリック
WordPressを設置しているドメインのトグルスイッチを「ON」へ変更
「ON」にした直後は、「反映待ち」と表示されるので、しばらく待ちます
反映完了まで、最大1時間ほどかかります
以下のように「反映待ち」の表示がなく、「ON」になっていれば反映完了
3. WordPressのアドレス(URL)のhttpからhttpsへの変更
続いて、WordPressのサイトアドレスの設定を変更していきます。
WordPressの管理画面にログインし、メニューから「設定」をクリック
以下のURLをどちらも「https://~」に書き換え
- WordPress アドレス(URL)
- サイトアドレス(URL)
http」→「https」以外は変更しないようご注意ください。
誤って変更された場合、WordPressの管理画面にログインできなくなるおそれがあります。
変更後、変更を保存をクリック
URLを変更すると、管理画面から自動的にログアウトされます。
再度ログインし、一般設定の画面から、「WordPress アドレス(URL)」と「サイトアドレス(URL)」どちらも「https~」になっていることを確認しましょう。
また、WordPressサイトを表示して、ブラウザのアドレスバーに鍵マークが表示されることを確認してください。
4. 内部リンクをすべてhttpsに書き換える
SSL化を進めるには、WordPress内にある「http」を用いたリンクを「https」に書き換えていく必要があります。
たとえば、外部サイトへのリンクとして「http」からはじまるURLを記載している部分など。
ただ、コンテンツの量が多いと大変ですし、初心者の方には少し難しく感じるかもしれません。
その場合、「Search Regex」というプラグインを利用すれば、比較的簡単に検索と置換が可能です。
「Search Regex」プラグインをインストールして有効化したあと、管理画面の「ツール」→「Search Regex」へ進むと、以下のような画面が表示されます。
「検索」には「http」ではじまるサイトのURLを、「置換」には「https」ではじまるサイトのURLをそれぞれ入力し、検索します。
検索結果が表示されるので、内容を確認します。
「すべて置換」をクリックすると、「http」から「https」へURLを置換できます。
5. httpからhttpsへのリダイレクト設定
httpのURLにアクセスがあったときに、httpsのURLに転送(リダイレクト)する設定を行います。
『エックスサーバー』で、先に紹介した「ドメイン設定」時に「HTTPS転送」をONにしていた場合は対応不要です。むしろ、処理が重複して不具合を起こす可能性もあるため、スキップしてください。
この記事では、『エックスサーバー』のサーバーパネルから「.htaccess編集」機能を利用して、リダイレクトを設定する方法を解説します。
サーバーパネルへログインし、「.htaccess編集」をクリック
編集したいドメインの編集(鉛筆マーク)ボタンをクリック
入力欄の先頭へ以下のコードを追記
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
この記述は、一時的ではなく、恒久的なURL変更を行いたいときに利用します。
恒久的な転送は、「301リダイレクト」と呼ばれます。
.htaccessが原因でエラーになった場合でもすぐ戻せるよう、編集前の記述内容をコピーしておくことをおすすめします。
また、ほかの記述内容を編集しないようにしてください。
記述の順によって処理が変わるため、リダイレクトの記述は、先頭へ追記することをおすすめします。
設定するをクリックしてください。
.htaccess編集後は、「http」でアクセスして「https」にリダイレクトするかどうか、サイトが正常に表示されるかを、必ず確認してください。
もし、編集後にサイトが表示ができなくなった場合は、.htaccessの内容を元に戻して更新しましょう。
SSL化したら必ず動作確認をしよう
SSL化の対応が完了したら、必ずサイトの各ページを閲覧して動作確認をしましょう。
確認すべきポイントは、以下のとおりです。
[box class=”box_point_01″ title=”動作確認のポイント”]
- どのページに「http」でアクセスしても、すべて自動的に「https」に転送されるか
- 「http」で読み込まれている画像や動画などの「混合コンテンツ」がないか
[/box]
とくに、途中でSSL化した場合、「混合コンテンツ」には注意が必要です。
混合コンテンツとは、httpsで通信しているページの中に、httpではじまるURLの画像や外部コンテンツなどが含まれている状態のことです。
この場合、部分的にしか暗号化されていないため、安全なページとは言えません。
混合コンテンツがないかを確認するには、ブラウザの検証ツールを利用するとよいでしょう。
たとえば、Google Chromeであれば、ページを表示した状態で、Google Chromeの右上の「⋮」から「その他のツール」の「デベロッパーツール」をクリックします。
「Console」タブに「Mixed Content」の案内が表示されていると、混合コンテンツがあると確認できます。
画像などのURLが、httpではじまっているのがわかります。
記事の画像やヘッダーのロゴ画像が原因の場合、一度画像を削除して、もう一度同じ画像を設定することで、混合コンテンツを解消できます。
外部の動画やコンテンツについては、httpsではじまるURLに設定し直しましょう。
まとめ
本記事では、SSL化について、httpとhttpsの通信の違い、SSL化すべき理由を解説しました。
また、状況に合わせたSSL化の作業手順を紹介しました。
最後に、要点をおさらいしましょう。
[box class=”box_point_last” title=”まとめ”]
- SSL化は、SSLを導入してhttpsでの安全な通信に切り替えること
- SSL化はセキュリティを高めるほか、SEOや表示速度にもメリットがある
- SSL化は、サーバーにSSL証明書をインストールしたうえで、サイト側の設定を変更する必要がある
- これからWordPressサイトを開設するなら、最初にSSL化しておくのがよい
- SSL化したら必ず動作確認し、混合コンテンツなどを排除する必要がある
[/box]
SSL化(https化)は多くのメリットがありますので、できるだけ早く対応しておきましょう。
WordPressサイトの開設時には、自動的にSSL化が完了する機能が活用できて便利です。
開設済みのWordPressサイトのSSL化も、手順どおり進めば大丈夫です。
コンテンツが膨大な量になる前に、当記事を参考にぜひ設定してみてくださいね!
この記事が少しでもあなたの役に立てば幸いです。
以上、最後までご覧いただきありがとうございました。
WordPressを実際に始めたい方へ
WordPressサイト用のレンタルサーバーやテーマはお決まりですか?
もしまだならレンタルサーバー『エックスサーバー』&WordPressテーマ『XWRITE』がおすすめです!
『エックスサーバー』なら、「WordPressクイックスタート」機能で、申し込みと同時に、最短10分でWordPressサイトが構築できます!
また、WordPressの高速環境「KUSANAGI」の高速化技術を導入した、最新ハイスペックサーバー環境で快適なサイト運営を実現します。
WordPress運用に最適化された高速・安定のレンタルサーバー『エックスサーバー』
さらに、独自ドメインが永久無料になる特典やセキュリティ対策機能、自動データバックアップなど、運営をサポートする機能も充実しています。
『XWRITE』は、当社エックスサーバーが開発したブログにおすすめのWordPressテーマ。
記事を魅力的に仕上げる装飾や機能が豊富で、初心者でも簡単にブログが書けます!
初心者でも簡単にブログが書ける!WordPressテーマ『XWRITE』
『エックスサーバー』のサイト・管理画面からだと、お得な限定価格で『XWRITE』が購入可能!
ぜひセットでのご利用をご検討ください!
『エックスサーバー』でWordPressを始める手順は以下の記事でくわしく紹介しています。
