
WordPressサイトをSSL対応させるときのポイント
- columbusproject
- Photo:
- 2018-11-08
WordPressサイトのセキュリティを高めるために「https化」すなわちSSLに対応したい。でも、どうやってhttpsにすればいいの?そもそもSSLとかhttpsって何?とお悩みの方もいらっしゃるでしょう。
SSLとはWordPressが稼働するサーバーとユーザー間の通信を暗号化する技術であり、https化することによってセキュリティが高まります。 一般的なhttp通信ではサイトの内容を書き換えられてしまうことや、ユーザーが送信した情報を第三者に盗み見られる可能性が存在します。
今回はWordPressサイトをSSL対応させるときのポイントと、SSL/httpsの仕組みについてしっかりとご説明します。
WordPressサイトをSSL対応/https化する意味
WordPressでサイトを立ち上げた方の中には、HTMLやCSSだけでなく、インターネットセキュリティに詳しくない場合もあるでしょう。 サイバー攻撃と聞くと他人事の用に聞こえますが、実は身近な存在、誰でも被害を受ける可能性が高まっています。
httpによる通信はサーバーとのやりとりを他人に傍受や盗み見されたり、改竄される恐れがあります。これだけを聞いてもピンと来ないかもしれませんね。
例としてはフォームに入力した内容を読み取られたり、発信している情報を改竄されてしまうことで、意図しない悪質なページをユーザーに見せてしまうことも考えられます。 「WordPressで情報を発信しているだけだから問題ないでしょ?」というのは間違いではありませんが、暗号化されていない通信「http」のままですと、安全性が低いと判断される段階になったのも事実です。
https化、SSL対応することで、サーバーとユーザー間の通信が暗号化されるので、サイトの改竄や入力したデータの盗み見などを防ぐことができるようになります。 今まではhttpでもhttpsでも、クレジットカードや個人情報の入力などがなければ問題ないというイメージもありましたが、データの内容に問わらず、暗号化通信、SSL対応することが求められています。 サイトを運営する側、サイトを閲覧する側の双方が安全、安心に利用するためにも、SSL対応/https化は必須であると言えるでしょう。
無料と有料のSSL証明書の違いを知ろう
無料と有料のSSLのセキュリティ強度による大きな違いはありません。暗号化通信において無料だから弱い、有料だから強いといったことではありませんのでご安心ください。
無料と有料の大きな違いは「審査があるかどうか」です。無料は審査はほぼ不要、有料は企業や組織が実在するのかを証明するために、書類の提出や審査が発生します。 WordPressを稼働させているレンタルサーバーによっては、無料でSSL対応/https化できるものものもあれば、規模や形態によって有料となる場合もあります。
※レンタルサーバーによっては解釈や機能が異なる場合もあります。
個人であれば無料のSSL証明書で問題ありませんが、何らかの形で物販や課金があり、クレジットカード情報や個人情報の入力を必要とするなら有料のSSL証明書の方が信頼性が高まります。
同時に公的なサービス、企業や大規模の組織であれば、無料よりも有料のSSL証明書にすることで、なりすましを防ぐことができるようになります。
偽装されたSSL証明書によって行われる偽装サイトなどのなりすましによって、「https」だから大丈夫だと信じて、銀行やクレジットカードの情報を入力してしまうようなサイバー攻撃も増えており、一般的な企業だけでなく、WEBサービスを運営する組織などでもSSL対応/https化は進んでいます。
今後、SSL対応/https化はサイトやサービスを運営する上で必須のセキュリティ対策となることも考えられるので、早い段階で対応しておくことをおすすめします。
SSL対応/https化する時の注意点
WordPressサイトをSSL対応/https化する時の注意点として大きく分けて5つのポイントがあります。
- 投稿のバックアップを必ず取る
- プラグインやテーマをメモする
- 画像データをFTPでダウンロードしておく
- 「.htaccess」ファイルを扱う時に注意!
- URLが変更になることを忘れない
まずは作業する時に何らかのヒューマンエラーでデータが損失しても大丈夫なように、バックアップを取ることが大切です。
次に.htaccessの内容の変更、WordPressの設定画面での反映など、手順を間違えると「WordPressにログインできない」可能性もありますので、しっかりと下調べをしましょう。
1.投稿のバックアップを必ず取る
WordPressの管理画面で「ツール」→「エクスポート」をクリックすると上記のスクリーンショットのようにWordPressのデータをエクスポートすることができます。 「エクスポートファイルをダウンロード」をクリックして、手元のパソコンにバックアップを残しておきましょう。
2.プラグインやテーマをメモする
バックアップを取るというのは、記事データだけでなく、WordPressを構築しているテーマやプラグインなどをメモすることも意味します。 大げさなことを言えば、WordPressの管理画面にアクセスできなくなったり、ログインできなくなり、ゼロから再構築することになっても大丈夫な準備をしておくことです。
もし、テーマファイルを手入力やコピー&ペーストなどで変更している場合は、変更箇所のファイルもしっかりとバックアップを取りましょう。
3.画像データをFTPでダウンロードしておく
ツール→エクスポートでバックアップできるのは画像データの本体ではないので、心配な方は画像フォルダからすべてダウンロードしておくことをおすすめします。
WordPressの標準の画像データ(メディア)のフォルダの位置は「/wp-content/uploads/」です。
メディアを管理するプラグインなどを利用していなければ、日付ごとにフォルダ分けされています。
uploadsのフォルダごとFTPで一括ダウンロードしておき、エクスポートした記事データと組み合わせれば、再構築することになったとしても、フォルダをそのままアップロードすると、フォルダ階層を維持したままアップロードできるので、簡単に再構築できます。
4.「.htaccess」ファイルを扱う時に注意!
.htaccessはWordPressがインストールされているフォルダに存在します。ただし、一つ上の階層、下の階層にも存在するので、同じサーバー内でいくつかのWEBサービスを構築している場合は十分に注意しましょう。
また、権限についても意味がわからないまま変更してしまうとアクセスできなくなったり、復旧する為に思わぬ時間を費やすことになるので、「作業手順をメモ」しましょう。
面倒であれば、変更前、変更後でスクリーンショットを撮影しておくだけでも「自分がどこを間違えたのか」を後でチェックできます。
5.URLが変更されることを忘れない
WEBサービスによってはhttpがhttpsに変更されることで「いいね」やシェアの数値が0になってしまうことがあります。
httpからhttpsへの転送設定が行われていれば、つぶやきやタイムラインへ投稿したURLが無効になることはありませんが、ブックマークサービスなども含めて「蓄積された数値」に変化があることを忘れないようにしましょう。
またhttps化する時に良いタイミングだと考えて、記事URLやフォルダ階層を一括で変更してしまうことがあります。しかし、きちんとした転送設定を行わないと、投稿やつぶやきで既にアップされているURLが存在しないページを参照してしまいます。 検索エンジンなどの評価については転送設定さえ設定しておけば引き継がれますが、必ずしも元と同じアクセスが来るかは別問題ですので、急激にアクセスが下がっても慌てすぎないようにしましょう。
レンタルサーバーの仕様をチェックする
レンタルサーバーの仕様によって、SSLへの変更手順が異なる場合があります。ドメインを取得したサービスとレンタルサーバーが別の場合はさらに手順が変わることもあるので、十分にチェックするようにしましょう。
また、無料のSSL対応はクリックだけで済むことがありますが、企業の方、公式サービスなど組織で運営されている場合など、有料のSSL対応には書類の提出などが考えられます。
有料SSLの申し込みが終わってしまう前に、WordPressやサーバー側の設定や操作を進めてしまうと、WordPressにログインできなくなることも考えられます。 先にどのような手順が必要なのか、しっかりと精査して、申し込みや手続きが終わってからサーバーやWordPressの設定を変更しましょう。
WordPress側のURLの設定方法
ドメインサービスやレンタルサーバーの申し込みや設定が終了したら、WordPress側の設定を行います。
WordPressの管理画面にログインしたら、設定の項目をクリックし「一般設定」が開いたらWordPressのアドレスとサイトアドレスを「https」に変更しましょう。
サーバー側の.htaccessを編集すると今までのhttpから始まるURLではログインできなくなるか、ブラウザの設定によっては一度、WordPressの管理画面からログアウトすることがあります。
慌てずに今までのログインURLをhttpsに変更してアクセスし、今までと同様にログインしましょう。
サーバー側の.htaccessの設定
※上記スクリーンショットは変更前の画像です。
バックアップを取って、ドメインやレンタルサーバー側の手続きや申し込み、WordPress側の設定が終わったら「.htaccess」の編集を行います。
.htaccessの編集方法は大きく分けて2つ、WEBFTPでログインして直接書き換えるか、FTPソフトでダウンロードして編集し、再度アップロードするかのどちらかです。
WEBFTPで編集する場合はWEBFTPにログインした後、.htaccessの位置をよく確認して開きましょう。 また、.htaccess編集するために一時的に権限を変更する必要があります。その後、権限を元に戻さないと第三者によって.htaccessを書き換えられてしまう恐れがあるので、十分に注意して作業しましょう。
ドメインサービスやレンタルサーバーによって「WordPress SSL化」など検索し、公式のヘルプをしっかりとチェックしておくことも大切です。 .htaccessの設定を行わないとhttpでもアクセス出来てしまう可能性があるため、SSL対応/https化した意味がなくなってしまいます。しっかりと.htaccessを書き換えて、httpsに転送されるように設定しましょう。
SSL対応する時にプラグインはどうなの?
「WordPress SSL対応」や「WordPress https化」などで検索するとWordPressのプラグインを利用して簡単にSSL対応/https化や転送設定ができるような説明も見受けられます。
実際に利用して見ると簡単に作業が終わるものもあるかもしれませんが、ドメインサービスやレンタルサーバーの仕様や機能を調べたり「.htaccess」の取扱いやSSL化/hhtps化がなぜ必要なのかを知りながら、自分の手で作業をすることは今後に役立ちます。 また、一つ一つは小さなプラグインでも、「わからないからプラグインで済ませた」ということが続けば、後々WordPressが重くなり、記事投稿やサイト閲覧が不便になることも考えられます。
プラグインについては「手作業でもできること」や「意味や仕組みが理解できた」ものから利用するのがおすすめです。
逆に言えばある程度慣れている方、複数のWordPressを運営されている方であれば、プラグインやWordPressのファイルの直接編集など、簡単で管理しやすい方法を模索していみましょう。 WordPressでは「元の状態」に戻せるかどうか、元の状態をどれだけ把握しているかどうかが大事です。
コピペするだけで簡単にカスタマイズできるものも多いですが、しっかりと学びながら、理解しながら導入したり、試すことを忘れないようにしてくださいね。