皆さんは「SSL」という言葉をご存知でしょうか。最近Webに関わる情報サイト、書籍などでたびたび取り上げられる言葉ですので聞いたことはあるという方も多いかもしれません。今回は、SSL化の必要性とどのようにSSL化していけばいいのか、SSL化のやり方(ロリポップ!の設定を参考)についてご紹介していきます。

まだサイトのSSL化が済んでいない方は、ぜひ今回の記事を参考に対応をご検討ください。

サイトの信頼性を向上させる「SSL化」

サイトが有害なコンテンツでないことを証明する「SSL化」

SSL化」とは、運営するWebサイトすべてのページを暗号化することをいいます。サイトのなりすましはもちろん、サイト内に保存されたコンテンツを通しての盗聴や情報漏洩を防ぎ、サイトを利用するユーザーを犯罪被害から守ります。

またサイトが安全なものであると証明することで、検索エンジンからも一定の評価を得ることが可能です。

顧客情報を取り扱うサイトは導入必須?「SSL化」を行うべき理由

顧客情報を取り扱うサイトは導入必須?「SSL化」を行うべき理由

「SSL化」を行うべき理由は主に二つ。一つは、SSL化することで、運営するサイトから第三者への個人情報流出やサイト内情報の改ざんを未然に防ぐことができるからです。というのもインターネットを使っている以上、私たちが閲覧したページはウェブ上で記録されているので、常に危険が付きまとっています。

具体的には、第三者によるサイト内コンテンツの改ざんやサイト運営者を装ったメールによる読者の個人情報の盗難といった問題が身近に起こっています。とくに後者は、顧客情報を取り扱ったショッピングサイトで多く見られるケースでもあるため、公式のSNSやメールマガジンの配信を日々追っている方は、心当たりとなることもあるでしょう。

SSLはそういった危険から読者を守り、少しでも安全にネットサーフィンを行ってもらえるようにするのが目的でもあります。

もう一つは、検索順位を上げる要因にもなるからです。というのもGoogleは2014年8月のウェブマスター向けの公式ブログにて、より広い範囲でユーザーがインターネットを利用できるよう、https化を検索順位の評価にすることを述べています。

またそれを催促するかのように、2017年10月からは、Chrome上でhttps化されていないサイトを「安全でないサイト」とみなす仕様にアップデートされ、より一層、ユーザーへ誤解を与えないためにサイト運営者はSSL化の対応に迫られており、良質なWebコンテンツを作るうえで必要な施策となりつつあります。

SSL化のやり方

そこで、そんなSSL化にいち早く対応するため、SSL化のやり方についてみていきましょう。今回は、レンタルサーバーとして有名なロリポップのサーバーを例にSSL化対応の流れを紹介していきます。他のサーバーではSSL化対応の方法が少し異なるので、普段ロリポップのサーバー以外を使っている方は参考程度に留めていただけると幸いです。

ちなみにロリポップサーバー以外でSSL化を行う場合、レンタルサーバー側のSSL設定については、各サーバーに設けられている以下のマニュアルをご参照ください。

エックスサーバー

ヘテムルサーバー

さくらサーバー

SSL化に必要なモノ

ではまず、サイトをSSL化するにあたって必要なものを揃えてしまいましょう。今回SSL化で使うものは主に3つ。

  • レンタルサーバーにアップロード済みで独自ドメインが設定されたWordPressの管理画面メニュー
  • レンタルサーバー側のユーザーメニュー
  • メモ帳(.htaccessファイルのバックアップ用)

メモ帳は必須ではありませんが、念のため用意しておくと安心して作業をおこなえます。

ロリポップ

SSL化の流れ

サイトのSSL化の流れは次の通りです。

  1. レンタルサーバー側でSSL化設定を有効にします。
  2. レンタルサーバー側で設定したSSL化後のURLをWordPressサイト側に反映します。
  3. 2の設定時点では、SSL化前のURLにも飛べる設定となってしまっているので、SSL化前のURLをブックマークしていると、ユーザーはSSL化前のURLページに流れついてしまいかねません。そこでそういった状態を防ぐために「.htaccess」ファイルを書き直し、ページを訪れたユーザーが自然とSSL化後のURLへ流れるよう設定します。

以上の3ステップでサイトのSSL化を進めましょう。

ロリポップログイン

ではさっそくレンタルサーバー側でSSL化設定を有効にします。まずは、ロリポップのユーザー専用ページへログイン。

SSL導入証明

「セキュリティ」欄に「独自SSL証明書導入」という項目があるので選択します。

保護されていないドメイン

すると独自SSL証明書お申込み・設定ページへ遷移するので、「独自SSL(無料)」>「SSL保護されていないドメイン」よりSSL化対応させたいサイトをチェック。「独自SSLを設定」します。

SSL設定作業中

あとは「SSL設定作業中」の状態になるので、そのまま5分ほど待ちましょう。

SSL保護有効

しばらくしてからページそのものを再読み込みし、SSL化対応させたいサイトのURLが「SSL保護有効」状態になっているか確認してください。SSL保護が有効になっていれば、ロリポップ画面での作業はいったん完了です。この後の作業は下記記事で紹介しているプラグインでも対応可能です。

プラグインを使用しない場合は、レンタルサーバー側で設定したSSL化後のURLをWordPressサイト側に反映します。

設定をいじる

WordPressの管理画面へログインし、「設定」>「一般設定」を選択。

httpsに表示を書きかえる

すると「WordPressアドレス」・「サイトアドレス」という項目があると思うので、そこに表記されている「http」を「https」へと変更し「変更を保存」します。

SSL化成功

URL欄を確認するとこの通り。「保護されていません」から「保護されています」にステータスが変更されていればSSL化は成功です。

※ちなみにSSL化するには、http表示となっているところをすべてhttps表示に変更する必要があります。そのため運営歴が長いサイトの場合は、この作業だけではSSL化されません。もしSSL化が不十分と判断された場合、JSの動作を含むGoogleAnalyticsやSearch ConsoleといったWordPressに連携するアクセス分析ツールが正常に動作しなくなる恐れがあります。そういった事態を避けるためにも、サイト内コンテンツである画像情報や内部リンクといったURLを一度見直し、http記述のところをすべてhttps記述に書きかえていきましょう。

imgタグや内部リンクのhttp変換作業は、特定のキーワードやタグを一括置換するプラグイン「Search Regex」を使えば一気に簡略化できるので、サイト内コンテンツのhttp表示を探しに行くのが面倒という方は、ぜひこちらの記事を参考にプラグインを導入し、httpを一括変換してみてください↓

 

ロリポップFTP

ただこのままですと、「http」と「https」どちらからでもサイトが表示されてしまい中途半端な状態になってしまいかねません。そこで最後に、httpのURLからでもhttpsのURLに飛ぶよう誘導していきます。先ほど開いたロリポップのユーザー専用ページより、「サーバーの管理・設定」>「ロリポップ!FTP」を選択。

.htaccessファイルを書きかえます

するとサーバー内のファイルにアクセスできるようになるので、そこからSSL化したサイトのフォルダをクリックし、フォルダ内に入っている「.htaccess」ファイルを開きましょう。編集画面が出現したら、2行目から新たな内容を書き加えていきます。書き加える内容は以下の通り。

  1. /*
  2. <IfModule mod_rewrite.c>
  3. RewriteEngine On
  4. RewriteCond %{HTTPS} off
  5. RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  6. </IfModule>
  7. */

 

.htaccessファイルに追記

入力出来たら保存して設定完了です。

※「.htaccess」ファイルの記述を誤ると、内部エラーによって最悪サイトが消えてしまうこともあります。そのため可能であるならば、「.htaccess」ファイルを書きかえる前に「.htaccess」ファイルの記述をあらかじめメモ帳にコピー&ペーストしてから、操作するようにしましょう。

サイトをSSL化するのに最適なタイミングとは…?

サイトをSSL化するのに最適なタイミングとは…?

サイトのSSL化のやり方をご紹介いたしましたが、では結局のところ、どのタイミングでサイトをSSLすればいいのでしょうか。結論を述べるとサイトを立ち上げた直後にSSL化に向けて動くのが最適です。というのもサイトをSSL化するには、httpと記述された内容をすべてhttps記述に変更しなければなりません。

これは先述した通り、サイト内のURL記述に留まらず、サイト内コンテンツである画像情報や内部リンク情報といったURLを取り扱うすべてのポイントが該当するので、サイトの運営歴が長ければ長いほど手直しする範囲が増えてしまいます。

そのためサイト運営者の方は、可能であるならばサイトを構築してからすぐにSSL化に向けて行動するといいでしょう。

ついに秒読みとなったGoogleのスピードアップデート。今後のGoogleのアップデートに乗り遅れないためにも、所有サイトのSSL化が済んでいない方は、ぜひこの機会に自サイトをSSL化対応させてみてください。