はじめに
WebサイトのSSL化は、それなりにリスクの高い作業です。ファイルやデータベースのバックアップを行うなど、事前に確認や準備を入念に行ってからSSL化に挑みましょう。
SSL証明書の選択と購入
まずはSSLサーバー証明書(以下、SSL証明書)の準備です。WordPressサイトだからといってSSL証明書の種類が制限されるわけではありません。さくらのSSLではコーポレートサイトやECサイトにおすすめなEV証明書から、年間990円で利用できるお得なDV証明書まで、自由に選択することができます。
お使いのレンタルサーバーで無料SSL機能が利用できる場合はそちらを選ぶのもおすすめです。無料SSL機能には自動更新機能も備わっていることが多いため、一度設定すればあとは自動で更新されるというメリットがあり、更新忘れを心配する必要がありません。
サーバーにSSL証明書を設定する≠サイトのSSL化
よく誤解されますが、サーバーにSSL証明書を設定する=サイトのSSL化ではありません。SSL証明書を設定してhttps://〜のURLで繋がるようになるだけでは、単純にSSLが利用できる状態になっただけであり、サイトがSSL化されているわけではないのです。https://〜のURLが繋がるようになることでWordPressの設定変更を行う”準備”が整います。
さくらのレンタルサーバでは設定しない限りリダイレクトはされませんが、他社のレンタルサーバーでは無料SSL機能などで設定した場合にhttp → httpsのリダイレクト設定が自動で行われてしまう場合もあります。事前にマニュアル等をよく読んでから実施しましょう。
WordPressの設定変更
レンタルサーバーでSSL設定を行ったら、次はWordPress側の設定が必要です。設定する箇所が多いので「Really Simple SSL」のようなSSL化プラグインを使って置換してしまうのが簡単な方法です。ただし、リアルタイムでURLの変換処理を行うものも存在するため、それなりに負荷が掛かります。もちろん、プラグインを利用せずに元データを書き換えてWordPressサイトをSSL化することも可能です。
プラグインを利用しないでSSL化する場合、WordPressの設定を如何に変更するかが最大の難関です。すでにhttpで提供しているサイトをhttps化するには、URLが記載されている箇所を見つけて全てhttp → httpsへ変更する必要があり、WordPressでは以下の場所にURLが記述されている可能性があります。
- データベース(一般設定、テーマ、プラグインなどの設定値)
- cssやsingle.phpなどの表示、テーマに関わるファイル
- wp-config.phpに代表される設定ファイル
一番の難関はデータベースです。記事内の画像URLやテーマ内のCSSパスなど、URLが保存されている箇所が多いため、WordPressの管理画面(ダッシュボード)から一個ずつ変更しようとすると対応が漏れてしまいがちです。「全部変えた!」と思ったら、「テーマの設定画面にヘッダー画像のURLをフルパスで入れていた!」という罠を経験したことある方も多いと思います。
ここは「Better Search Replace」などのデータベース置換プラグインなどで一気に置換してしまうのが良いでしょう。置換用のプラグインは「Search Regex」が一般的ですが、「Better Search Replace」は初期設定でも置換範囲が広いので簡単に作業できます。ただし、置換処理が終わった瞬間にサイトのURLがhttpsになるため、必ずレンタルサーバーのSSL設定が完了していることを確認してから実施してください。SSL設定が完了していない状態でリダイレクトや置換を行ってしまうと、ブラウザのエラーが出てサイトが閲覧できなくなってしまいます。
次にcssや設定ファイルの変更ですが、これらのファイル内にフルパスのURLが記述されていることはあまりありません。通常はデータベース側だけ対応し、Mixed contentが解消できない場合などにcssや設定ファイルをチェックしてみましょう。wp-config.phpに直接サイトのURLを記述している場合も考えられます。
Mixed content(混在コンテンツ)に気をつけよう
Webサイトの常時SSL化でよく出てくる問題がMixed content(混在コンテンツ)です。例えば、ページのURLが https://example.jp/index.html でhttps化されているにも関わらず、そのhtmlからリンクしているCSSファイルのパスが http://example.jp/style.css などになっている場合のことを指します。混在コンテンツについては、当コラム記事『ChromeがMixed contentの段階的なブロック強化を開始!詳細や対応方法とは?』にて詳しく解説していますのであわせてご覧ください。
最後にリダイレクトを設定しよう
httpsで接続できるようになり、WordPressの設定変更が終わっても作業完了ではありません。最後にリダイレクト(httpへのアクセスをhttpsへ自動転送する処理)が必要です。なぜ必要かと言うと、あなたのサイトURLはWordPressやレンタルサーバーの中だけではなく、Googleの検索結果や他サイトからのリンクにも含まれているからです。リダイレクトを設定しない場合、両方のURLで表示される状態となりSEOやセキュリティ的にも好ましくありません。
「Really Simple SSL」などのプラグインを使って常時SSL化をした場合、自動的にリダイレクトが設定されることもありますが、レンタルサーバー側の機能でリダイレクトができる場合はそちらで対応した方がサーバー負荷の観点からも好ましいです。さくらのレンタルサーバでは、コントロールパネルから簡単にhttpsへのリダイレクトを設定する事ができます。詳しくはサポートサイトをご覧ください。
SSL化が未経験なので心配…という方は?
さくらのレンタルサーバでは無料SSL機能が利用できるため、テスト用のURLなどを作ってWordPressをインストールし、サイトをSSL化する練習を気軽に行うことができます。サイトのSSL化が未経験の方は、本番で焦らないように練習をしておくことも大切です。SSL証明書の設定作業が心配という方は、ぜひ練習してみてください。
こちらの記事もあわせておすすめ!
本記事では「WordPressサイトのSSL化」に焦点を絞ってご紹介しました。より広範に常時SSL化のメリットを知りたい場合は『常時SSL化(https化)のメリットと必要性とは』の記事がおすすめです。Webサイト全般でSSL化の際に注意するポイントは『リダイレクトも忘れずに!常時SSL化をする為の13の重要点』の記事もご覧ください!