カスタマイズ 2018.10.02 2023.12.08

WordPressのSSL化とは?設定手順とおすすめプラグイン、注意点を徹底解説

この記事を書いた人

土井 純也

WordPressスペシャリスト・エンジニア/株式会社デジタルアイデンティティ Tech Div.マネージャー

WordPress専門サービス「wp.make」を立ち上げ、事業責任者として200社以上の大手上場企業のWordPressサイトの制作、保守・セキュリティをサポート。2022年にエンジニアを統括するTechnology Div.を創設。

【 展開しているサービス一覧 】
■WordPress開発サービス「wp.make
■WordPress保守/運用サービス「wp.support
■WordPressハッキング/緊急復旧対応サービス「wp.rescue
■WordPressバージョンアップ代行サービス「wp.versionup

SSLとは自分のパソコンからサイトへのアクセスを暗号化して、自分の情報を不必要な外部の会社や人に漏れるのを防いでくれます。

もし、SSL対応しない場合は、そのサイトに入力した情報(名前、メールアドレス、住所、電話番号、クレジットカード番号等)が悪意のを持った第三者に盗み見られてしまう可能性があります。SSL化を行うと防ぐことができるのでショッピングサイトやSNSサイトでは必須の機能となっています。

今回はWordPressのSSL化が必要な理由や設定手順、おすすめのプラグイン、注意点などを詳しく解説していきます。

なぜSSLが必要なのか

なぜSSLが必要なのか

まずは、SSL化が必要な理由を解説していきます。

SSL化が必要な理由は、主に3つです。

  • 【セキュリティ対策】データの盗聴・改ざんを防ぐため
  • 【ブランディング】ユーザーからの信頼を獲得するため
  • 【SEO対策】Googleが推奨しているため

それぞれの理由について、もう少し詳しく見ていきましょう。

【セキュリティ対策】データの盗聴・改ざんを防ぐため

前述したように、SSL化とは自分のパソコンからサイトへのアクセスを暗号化して、自分の情報が不必要な外部の会社や人に漏れるのを防いでくれます。

逆に言うと、SSL化がされていない場合、サイトへアクセスした際に自分の情報が第三者に分かる状態で通信されてしまうので、悪意を持った人にデータを盗聴されてしまう、改ざんされてしまうなどのリスクがあるのです。

特に近年は、通信途中のデータを盗む「パケット盗聴(ネットワーク盗聴)」の被害が多発しています。

例えばクレジットカード情報や個人情報、メールの内容、さらにはログイン情報まで取得されてしまうので、「いつの間にかクレジットカードが使われていた」「顧客情報が漏れていた」「自社サイトの内容が書き換えられていた」などのトラブルに繋がる可能性があります。

重大なトラブルを引き起こすデータの盗聴・改ざんを防ぐために、SSL化は欠かせません。

【ブランディング】ユーザーからの信頼を獲得するため

Googleによって2018年7月にリリースされたChromeブラウザを使用していると、SSL対応していないサイトにアクセスした場合、アドレスバーに「保護されていない通信」と表示されるようになりました。

【ブランディング】ユーザーからの信頼を獲得するため

SSL化の認知度は決して高くはないので、その詳細を知らないユーザーは多いですが、「保護されていない」というメッセージに対して漠然とした不安を覚えることも事実。

そんな不安を覚えるサイトに、長時間滞在したいと思うでしょうか?
答えはNOです。

SSL対応せずアドレスバーに「保護されていない通信」と表示されるようなサイトは、ユーザーの信頼を獲得できるとは言えず、ユーザーが離れていく可能性が高いです。

つまりSSL化は、自分達の情報を守ることに加えて、ユーザーからの信頼を獲得するためにも欠かせません。

【SEO対策】Googleが推奨しているため

もう1つ、SSL化をしておくべき理由として、SEO対策で有利になることが挙げられます。

これにより、今やショッピングサイトやSNSサイト以外の個人情報を扱わないサイトでも、SSL対応が必須となっています。

Googleとしても2014年に、検索順位を決める要因の1つにSSL化を含めることを発表しています。

HTTPS(HTTP over TLS(Transport Layer Security)ともいう)をウェブサイトに導入するウェブマスターが増えていますが、これはとても心強いことです。

こうした理由から、Google は過去数か月にわたり、暗号化された安全な接続をサイトで使用していることを検索のランキング アルゴリズムのシグナルとして考慮するテストを実施してきました。このテストで十分な結果が得られたため、Google はランキング シグナルとして HTTPS を使用することにしました。

引用:ランキング シグナルとしての HTTPS

※サイトをSSL化すると、アドレスの「http://」が「https://」になります。

また、「【ブランディング】ユーザーからの信頼を獲得するため」の見出しでも解説したように、信頼を得られずにユーザーが離れていけば、それもSEOにおいて検索順位が下がる原因になります。

以上の理由も踏まえ、WordPressに限らずWebサイトを運営するのなら、SSL化は必須と言えるのです。

また、SEO対策について詳しく知りたい方は、以下の記事も併せてご覧ください。

SEOとは?SEOの分かりやすいやり方と具体的な対策方法を解説

手順1:SSLの購入・設定

xserverやさくら等のレンタルサーバーの場合は、無料でSSLの取得ができるようになりました。以下のページを参考に自分の使用しているサイトにあったレンタルサーバーでSSLを取得・設定してください。無料SSLが自社の規約等で使用できない場合は、有料のSSLを購入・設定してください。各サーバーによって設定方法が大きく異なるため、詳細は各サーバー会社にお問い合わせください。

xserver https://www.xserver.ne.jp/manual/man_server_ssl.php
さくらのレンタルサーバー https://help.sakura.ad.jp/rs/2163/
heteml https://heteml.jp/support/manual/d-ssl/

「 https:// 」でサイトにアクセスし、エラーが表示さず正常にページが表示できれば、SSLの購入・設定は完了です。次にWordPressの設定方法を確認していきます。

手順2:WordPress・DBのバックアップをとる

WordPressの設定を変更する前にバックアップをとりましょう。SSL化を行ったあとに何か重大な不具合が見つかったときは、速やかに元の状態に戻す必要があります。サイトをもとに戻すためには、WordPressのファイルとデータベースの内容が必要になります。

WordPressのファイル全てに関しては、FTP等でサーバーにアクセスし、全ディレクトリ・全ファイルを自分のパソコンなどに保存してください。FTPがわからない場合はバックアップ用のプラグインを使う方法もあるので、関連記事を参照してください。

データベースの内容は、レンタルサーバーのコントロールパネルからphpMyAdmin等にアクセスして、すべてのデータをエクスポートします。データ量が多いと正常にすべてのデータがエクスポート出来ない場合もあるので、その場合は、バックアップ用のプラグインを導入してエクスポートしてください。

WordPressのバックアップは必要なのか?必要性や方法について紹介

手順3:管理画面の設定変更

WordPressの管理画面にログインし、左メニューの設定→一般のページに遷移します。そのページ内にある「WordPress アドレス (URL)」と「サイトアドレス (URL)」を変更します。具体的には「 http:// 」を「 https:// 」に変更します。

変更後、「変更を保存」ボタンをクリックするとURLが http から https に変わり、自動的にログアウトされます。管理画面以外のページに関しても正しく見えるか確認をしてください。もしレイアウト崩れや画像がヒョ持されない場合は、もう少し設定の変更が必要なため以下の項目を確認してください。

手順4:内部URLを変更

テーマファイルや固定ページ内のcss、js、画像等のパスが http:// から始まっている場合、 SSL化したあとにChrome等のブラウザが警告を出します。そのため http:// から始まっているURLはすべて https:// に書き換える必要があります。

※相対パス(http:// からはじまらず、スラッシュ等で始まっている場合)はそのままで問題ありません。

※SSLに対応していないリセットCSSを使用している場合、http:// を https:// に書き換えても動作しないので注意してください。

手順5:htaccessでリダイレクト

以下の例を参考に http:// 出来たアクセスをすべて https:// にリダイレクトするように設定をします。

RewriteEngine on
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

この記述はすべてのアクセスを https:// にリダイレクトしますので、もしリダイレクトしたくないディレクトリ等がある場合は適宜除外するなどしてください。

手順6:最後に設定が反映されているか確認

SSL化が正しく設定されているかを確認する方法として、ブラウザのURLの隣にビックリマークが表示されていないかを確認してください。もし表示されている場合は、内部に http:// のURLが残っているので確認して対応してください。要素を検証すれば該当ファイルや詳細なエラーが確認できますので併せて確認してみてください。

サイトにもよりますが、トップページ、一覧ページ、詳細ページ、固定ページ、お問い合わせページ等が確認できれば問題ありません。

WordPressのSSL化におすすめプラグイン

WordPressのSSL化におすすめプラグイン

WordPressのサイトをSSL化をするならば、プラグインを利用するのが便利です。

ここでは、WordPressのSSL化におすすめのプラグインをご紹介します。

プラグインでSSL化を行う前にバージョンアップを実施

プラグインでSSL化を行う前に、必ず「WordPressのシステムやプラグインバージョンが最新か?」を確認しましょう。

バージョンアップが実施されていない場合、正しくSSL化ができない可能性があります。

バージョンアップは、WordPress管理画面のダッシュボードから実施できます。

WordPress管理画面のダッシュボード

バージョンアップが完了したら、いよいよプラグインを導入していきましょう。
今回ご紹介するプラグインは、次の2つです。

  • Really Simple SSL
  • SSL Insecure Content Fixer

「Really Simple SSL」

既存サイトのSSL化に使われる無料プラグインの1つが「Really Simple SSL」です。
とても簡単にサイトのSSL化ができます。

具体的には、Really Simple SSLを導入すると以下のようなことができるようになります。

  • httpからhttpsへリダイレクト設定をする
  • WordPressアドレスやサイトアドレスといった内部リンクをhttpsに変更する
  • コンテンツ内のhttpリンクをhttpsリンクに変換して、混合コンテンツを修正できる

Really Simple SSLを導入するには、まず管理画面からReally Simple SSLを検索し、インストールします。

その後、同じく管理画面から有効化してください。

有効化するとログアウトされます。
再度ログインして、正しくSSL化されているか確認してみましょう。

アドレスバーに鍵マークがついていれば、SSL化が成功しています。

SSL化確認

「SSL Insecure Content Fixer」

「SSL Insecure Content Fixer」は、より細かな設定が可能な無料プラグインです。

専用の設定画面が用意されており、コンテンツ、ウィジェット、キャプチャの項目に対して、それぞれ個別に修正レベルを選択できます。

「SSL Insecure Content Fixer」

導入したばかりの方向けに、ウェブサイトの性能に与える影響を最小限に抑えた「シンプル」の設定も用意されています。

こちらも管理画面からインストールし、有効化することで利用できるようになります。

SSL化時の注意点

SSL化時の注意点

SSL化の際には、以下のように注意すべき点もあります。

  • 「Mixed-Content」エラーの原因と解決法
  • Google AnalyticsのURL変更
  • 不具合やエラー発生時はプロに相談

どんなところに気をつけなければならないのか、具体的に見ていきましょう。

「Mixed-Content」エラーの原因と解決法

Mixed Content(混合コンテンツ)とは、SSL化されたHTTPSのページに、SSL化されていないHTTPのコンテンツが含まれている状態を指します。

Mixed-Contentになっていると、コンテンツの種類によっては表示されません。これがMixed-Contentエラーです。

では、どうやって解決するのかというと、URLが「http://」になっているコンテンツを対象に、「https://」となるよう、sを追加します。

このように、URLを「https://」に変更することでMixed-Contentエラーは解消できます。

Google AnalyticsのURL変更

Google Analyticsを利用している場合、SSL化した後にはGoogle AnalyticsのURL変更が必要になります。

URL変更の手順は次の通りです。

  1. Google Analyticsにログインする
  2. 左のメニューにある歯車アイコンの「管理」から「プロパティ設定」を選ぶ
  3. 「 デフォルトのURL」を「https://」に変更し、保存する
  4. 左のメニューにある歯車アイコンの「管理」から「ビュー設定」を選ぶ
  5. 「ウェブサイトのURL」を「https://」に変更し、保存する

URL変更をしなければ、表示や操作に不具合が生じる恐れがあるため、忘れずに設定しましょう。

不具合やエラー発生時はプロに相談

以上で紹介した他にも、場合によってはSSL化に伴い、何らかの不具合やエラーが生じることがあります。

不具合やエラーは、放置すると重大なトラブルに繋がりかねません。すぐにプロへと相談し、適切な対処をしてもらいましょう。

『wp.rescue』は、WordPressを専門とするハッキング・緊急復旧対応サービスです。
WordPressで起こる不具合やエラーに対して、原因調査から再発防止まで迅速に対応。最短1時間でサイトが復旧します。

復旧後、再び同様のトラブルが発生した際に再度無料で対応する保証が3ヶ月ついているのもポイントです。一度の対策でトラブルを完全解決します。

WordPressのSSL化に伴う不具合やエラーは、『wp.rescue』までご相談ください。

総案件数1,000件以上!wp.rescueのサービス詳細

まとめ

WordPressのSSL化設定方法について、解説しました。
SSL化は最近のサイトでは必須と言える項目で、GoogleもSEO上の優遇効果があることを明言しているので、ぜひ設定してみてください。

WordPressのSSL化設定を含め、WordPressに関するお困りごたなら、私たちに遠慮なくご相談ください。
お問合せ・ご相談・お見積もりは無料ですので、こちらからお気軽にお問い合わせください。

WordPressサイト制作・カスタマイズなら「wp.make」にお任せ!

WordPressでのサイト制作やリニューアルを検討する時、以下のようなお悩みはありませんか?

  • WordPressに詳しい制作会社に依頼したいが、どこがいいかわからない…
  • セキュリティ対策をしっかりしたいが、社内にノウハウがないのでプロに任せたい…
  • WordPressに最適なサーバーの選定や構築から依頼したい…
  • SEO対策や高速化も考慮したサイト構築を行なってほしい…
  • 制作後の保守・運用についてもサポートしてほしい…
  • 今のサイトを簡単に運用できるようにしてほしい…

「wp.make」は、WordPressのプロフェッショナル集団によるWordPressサイト制作・カスタマイズサービスです。
サイトの制作だけでなく、WordPressに最適なサーバーの選定や構築といったインフラ面の支援から、SEO対策や表示スピードの高速化、高度なセキュリティ対策や制作後の保守・運用サポートまで、WordPressに関わることならあらゆるお悩みを解消いたします。

既存のお客さまからも
「コミュニケーションが取りやすく、クオリティが高い」
「WordPressのプロとして信頼感がある」
と大変ご好評をいただいています。

WordPressサイトの制作・カスタマイズをご検討されているなら、ぜひ以下からお気軽にご相談ください。

>> wp.makeに無料相談する

WordPress開発・カスタマイズなら 『wp.make』

wp.make資料

全案件WordPressのみ!
株式会社e2eの『wp.make』はWordPress専門のWeb制作サービスです。

WordPress案件だけを扱っているから、技術・ノウハウ・対応力が圧倒的!

【WordPressサイト制作でよくあるお悩み】
・運用シーンが想定されておらず、更新しづらかった…
・打ち合わせで専門用語が多くてわかりづらい…
・制作後の保守には対応してくれなかった…

こんな事態になる前に、ぜひ一度、ご相談ください!
WordPressサイトを作るなら、一番WordPressに詳しいところへ!

もっと詳しく