WEBサイト常時SSL化の必要性と設定方法(WordPress + XSERVER編)

2016年9月21日

最近気になっていた常時SSL化を当サイトに設定してみました。導入したほうがいいか気になる方の参考になれば幸いです。

まず「SSL」ってなに?という方への簡単な説明を。インターネットで暗号通信をする仕組みのことで、これまではECサイトの購入ページや、WEBサイトの問い合わせページなど、個人情報を扱う場合にこのSSLが使用されてきました。

しかし、2014年にGoogleがHTTPとHTTPSで同じようなコンテンツがあればHTTPSが優遇する(優先的にインデックス)と発表したり、つい先日にはGoogleはHTTP接続を「安全ではない」と扱う方針を明らかにしました。

2017年1月にリリース予定のChrome 56からは、パスワードやクレジットカード情報を送信するHTTPサイトに接続した場合に「保護されていません」という警告が表示されてしまうのです。

SSLで保護されていない場合

WEBサイトの一部だけではなく、WEBサイト全ページをSSL化(HTTPS化)することを「常時SSL」と呼びますが、実はFacebookやTwitter、YouTubeなどは既に常時SSLになっているんです。SSLが導入されているWEBサイトは、URLが「https:○○○」となっており、こんな感じで緑色に表示。

SSLで保護されている場合

GoogleはHTTP接続を使用しているサイト管理者に対し、Chrome 56がリリースされてから仕様を変更するのではなく、なるべく早めにHTTPSに変更したほうが良いよと言っています。

じゃあ実際、作業コストをかけて常時SSL化するメリットなんですが、

1.WEBサイトのハッキング対策(中間者攻撃から盗聴・なりすましを防ぐ)
個人情報は、フォームに入力する名前やパスワード、クレジットカード番号だけではありません。通常のページを閲覧している時もcookie等のデータが含まれていることがあります。閲覧履歴やログイン情報等の個人情報も含まれますが、常時SSLによってこれらの盗聴も防ぐことができます。

2.訪問者が安心する(信頼性が高まる)
SSL化の際、第三者機関のSSL認証局がSSLサーバ証明書を発行します。証明書の種類にもよりますが、サイト運営企業の実態まで調査してから発行します。発行を受けたサイトは認証局のサイトシールをサイト上に設置することができ、SSLサーバ証明書をユーザーがブラウザで確認することができます。これによってユーザーにSSL化された安心して利用できるサイトであることをアピールでき、サイト、並びに企業の信頼性の向上につなげることができます。

3.今後、通信速度が高まる
今後スピード向上を目的とした新しいHTTP/2という規格が広がるのですが、HTTPS接続の場合だけ高速化の恩恵を受けることができる。

4.SEOで評価される、検索順位での優遇(Google)
冒頭で書いた通り、Googleは2014年8月にhttpsを検索結果のランキングシグナルに使用することを公式に発表しました。ですが「httpのサイトよりhttpsのサイトの方が検索順位を優遇しますよ」というで、現状ではSEOの影響は非常に小さいです。今後重要度が増す可能性はありますが、現状ではほとんど気にしなくていいレベルでしょう。

デメリットとしては、
WEBサイトのSSL対応作業が大変、「http:○○○」から「https:○○○」へとURLがURLが変わる、SSLブランドによっては証明書の維持費用がかかる、SNSで獲得したシェア数がリセットされる(WordPressの場合は「SNS Count Cache」で対応可能)、広告収入を目的としたサイトでは広告収入の減少リスクがある、などがあります。

これらを比較して常時SSL化をするかどうかを決めましょう。
当サイトをSSL化した際のポイントをあげておきます。

WordPressで作られているWEBサイトをSSL化する方法

1.データベースのバックアップをとる
 作業中にミスをする可能性もありますので、バックアッププラグインやphpMyAdminなどでデータベースをバックアップしておきましょう。

2.エックスサーバーでSSL設定を行う
 次に、エックスサーバーのサーバーパネルにログインし、「SSL設定」→「ドメイン選択」→「独自SSL設定の追加」へ進んだら、「独自SSL設定を追加する(確定)」をクリックします。
 申請が終わっても1時間ぐらいはサイトにHTTPS接続できません。こんなエラーがでますのでコーヒーでも飲みながら待ちましょう。

3.WordPressの設定からURLを変更する
 サイトがHTTPS接続できるようになったのを確認したら、WordPress管理画面→「設定」→「一般」にある「WordPressアドレス(URL)」と「サイトアドレス(URL)」もhttps:に書き換えておきます。

4.内部リンクを修正
 次に読み込んでいるファイルや画像のパスが、httpから始まる絶対パスになっている場合、httpsに書き換える必要があります。httpからの読み込みが混ざっていると、エラーになってちゃんとSSL化できませんので注意が必要です。
 記事が多い場合はSearch Regexプラグインを使うことで一括で変換作業ができますよ。
 当サイトはスラッシュから始まる絶対パスを採用していて、この手間はありませんでした。

5.全てのページがHTTPSに対応したか確認
 完全にHTTPSに対応すると、Chromeで表示した際「緑色の鍵マーク」が出てくるので、もれが無いか確認し全てのページを対応させます。出来ていない場合たいていは④の読み込みファイルのパスの問題が多いです。

6.301リダイレクト
 SSL化が完了したら、httpsへ自動転送されるように.htaccessで301リダイレクトさせましょう。

これでWEBサイト自体のSSL化は完了ですが、他にも確認しておくべき点があります。

Search Consoleへ登録
 HTTPとHTTPSのサイトは別サイトの扱いになるため、新しくHTTPSでサイトを登録し直します。この時、HTTPS版のサイトマップ再登録と、Google Analyticsとの再連携も忘れずに。あ、念のためGoogle Analyticsのサイトプロパティでもhttpsに設定変更しておきましょう。

サイトによってはその他、canonical、SNS・外部リンクなど様々な設定の変更が必要になります。

以上が、WordPressサイトのSSL化になります。サイトの規模によっては作業コストもかかりますが、今後メリットも多くなりますので弊社のお客様を優先的に常時SSL化を進めていきたいと思います。