WordPressをHTTPS(SSL)に対応する手順

セキュリティ・信用性・集客の面でHTTPS(SSL)化は必須に

HTTPS(SSL)化はWebサイト上の通信を暗号化するセキュリティ対策です。

ECサイトや銀行サイトなど、重要な個人情報の入力を行うサイトではHTTPS化は古くから常識的に行われていましたが、サイバー攻撃の高度化や守るべき情報の増加に伴い、Googleは数年前から段階的に全サイトHTTPS化を推進しています。

Googleは以下2点でHTTPS化しているサイトを優遇しています

前者は集客(SEO)の面に直結し、後者は信用性の面で影響が出ます。
HTTPS化はセキュリティ向上が本来の目的ですが、より危機感を持ってもらうため集客と信用性にも影響を与えることでGoogleはHTTPS化を促進させています。

WordPressの利用の有無に関わらずHTTPS化の手順はほぼ共通していますが、WordPressはプラグインを使って一部手順を簡単にできます。HTTPS化に伴う注意も含めて手順を紹介していきます。

目次

 

準備

WordPressでHTTPS化の作業を始める前の手順です。

 

WordPressのバックアップ

HTTP化の過程でトラブルが起きても復元できるようバックアップを取ります。
バックアップと復元まで行う手順を以下の記事で紹介しています。

 

WordPressの更新

バージョンの差による不具合などを避けるため、WordPress本体、テーマ、プラグインを更新します。
企業サイトに利用されるWordPressでも安全に更新できる手順を以下の記事で紹介しています。

更新後にもバックアップを取っておきましょう。

 

SSL証明書の購入とサーバーへの設定

サーバー事業者やセキュリティ会社よりSSL証明書を購入し、サーバーへ適用します。

サーバーへの設定方法は証明書の形式やサーバーOSなど環境によって変わりますので割愛します。詳しくはSSL証明書を購入した業者のサイトを確認してください。

SSL証明書をサーバーへインストールした時点よりHTTPSでのアクセスが有効になりますが、従来通りHTTPでのアクセスも可能なためWebサイトへの影響はまだありません。WordPressサイト側での設定を行います。

無料のSSL証明書「Let’s Encrypt」について

2016年より開始され広まりを見せる無料の「Let’s Encrypt」ですが、企業での利用は手放しにオススメできません。90日間で証明書が無効になるためその度に証明書を作り直す必要がありメンテナンスの頻度が高く、セキュリティに詳しいサーバーエンジニア不在の企業では有料のSSL証明書を買った方がコストパフォーマンスや信頼性で優ります。

 

プラグイン「Really Simple SSL」の設定

準備が済んだらWordPress側でHTTPS化を進めます。

WordPressの管理画面よりプラグイン「Really Simple SSL」をインストール・有効化します。

プラグイン「Really Simple SSL」の設定-1

HTTPS(SSL)対応プラグインの中で最も多い80万件以上のインストール数、評価の件数と高さ、更新頻度の高さ、また導入が極めて簡単な点から採用しました。

有効化すると以下のような表示がWordPress管理画面に現れます。

プラグイン「Really Simple SSL」の設定-2

この時点ではまだHTTPS化は有効になっておらず、「はい、SSLを有効化します。」を押したくなりますが待ってください。有効化する前に以下3点を促されています。

  1. .cssと.jsファイル内の「http://」の記述を「//」に変更する
  2. 画像、スタイルシート、JavaScriptなどHTTPS化されていない外部URLから読み込んでいるファイルを自分のサーバーに移す
  3. SSL化する前にバックアップを取ること

3は分かりやすいと思いますので1と2について説明します。

 

.cssと.jsファイル内の「http://」の記述を「//」に変更する

「https://」で開いているページから「http://」でファイルを読み込むとセキュリティが不完全としてエラーが表示されます。そのためCSSやJavaScriptで外部URLからファイルを読み込む時のURLを以下のように修正します。

http://www.example.com/example.png
↓修正
//www.example.com/example.png

URLの冒頭を「//」に書き直すことでhttpにもhttpsにも対応した記述になります。

ただしこれはHTTPS化されているドメインにのみ有効で、そうでない場合は次の対応が必要です。

 

HTTPS化されていない外部URLから読み込んでいるファイルを自分のサーバーに移す

読み込み先のドメインがHTTPSに対応していない場合、そのファイルをHTTPS化した自分のサーバーにコピーし、そのファイルを読み込むよう修正します。

ファイルパスの修正を一通り終えたら「はい、SSLを有効にします。」ボタンをクリックします。

プラグイン「Really Simple SSL」の設定-3

有効化するとWordPressアドレスとサイトアドレスが「https://」で始まる形に変更されるため、ログイン状態が切れてログイン画面に戻されます。サーバーへのSSL証明書が正常に反映されていればこの時点でWordPressがHTTPS化されたことを確認できます。

プラグイン「Really Simple SSL」の設定-4

 

HTTPS化をした後の対応

WordPressサイト側のHTTPS化は以上の手順で完了していますが、事後の対応も必要に応じて行ってください。

 

Google AnalyticsのURL変更

Google Analyticsを利用している場合、解析対象のURLを https に変更します。

Analyticsのメニューより「管理」を開き、対象プロパティの「プロパティ設定」の「デフォルトのURL」の設定を変更します。

HTTPS化をした後の対応 - Google AnalyticsのURL変更

 

Googleサーチコンソールの再登録

Googleサーチコンソールを利用している場合、AnalyticsのようにURLを変更することは出来ないため https から始まるURLを登録し直します。

HTTPS化をした後の対応 - Googleサーチコンソールの再登録

従来の設定も見る必要が無くなるまでは取っておくと良いでしょう。


以上がWordPressサイトをプラグインを使ってHTTPS化する主な手順になります。

プラグイン自体は1クリックで済んでしまうので簡単ですが、事前準備や事後の作業も漏らさず安全にHTTPS化できるように進めたいですね。