Last Updated 2021.02.04
WordPressサイトを常時SSL化する方法CORESERVER(コアサーバー)編
WordPressサイトは複雑なシステムなため常時SSL化する事は、サイトへの攻撃やハッキング等のリスクを減らすことができてセキュリティが向上します。また、ユーザーにとっても安心してサイトを閲覧してもらえるというメリットもあります。
Googleが常時SSL化しているサイトは検索順位を優位にすると発表しておりSEO的にも効果があると考えられます。
WordPressのサイトを常時SSL化するには4つのステップがあります。
- SSLサーバー証明書を取得する
- サーバー側にSSLサーバー証明書をインストールする
- WordPressの全体設定でURLをHTTPSにする
- 画像等の内部リンクをhttpからhttpsへ置換する
今回は当サイトで利用しているCORESERVER(コアサーバー)でSSL化する手順を紹介していきます。
コアサーバーはSNI SSLに対応して他社のSSLサーバー証明書も導入できるため、Let’sEncryptと併用すれば無料でサイトをSSL化できます。
SSLサーバー証明書を取得する
SSLサーバー証明書については、Let’s EncryptによるSSLサーバー証明書を取得する方法がおすすめです。
SSLサーバー証明書の取得については下記の記事を参考にしてください。
Let’s Encryptの証明書は有効期限が90日と短く設定されています。
常時SSL化でのサイト運営に慣れてきたらSSL BOXでの格安SSLサーバー証明書を長期契約で購入してSSL証明書の更新の手間を省くのも良いと思います。
格安SSL証明書サービス、SSLボックス
WordPressサイトのバックアップを取る
WordPressサイトを常時SSL化する前に念のためバックアップを取りましょう。
WordPressサイトのバックアップにはUpdraftPlusプラグインによるバックアップがおすすめです。
上記のUpdraftPlusはその場でバックアップしたり、スケジュールバックアップ・保持管理機能があり一度設定してしまえば後は放っておくだけの便利なプラグインです。復元についても1クリックで復元できますのでWordPressでサイトを運営している方にはぜひ導入をおすすめします。
CORESERVER(コアサーバー)でSSL設定をする
- SSLサーバー証明書のインストール
- SSL証明書のインストールの項目に秘密鍵・証明書・中間証明書を入力していきます。Let’s Encryptで取得した証明書のファイルをテキストエディタ(sakuraエディタ等)で開き内容をコピーアンドペーストしていきます
- プライベートキー(パスフレーズなし):秘密鍵を入力します。LETSENCRYPT数字.keyファイルの内容をコピーアンドペーストします
- 発行された証明書:証明書を入力します。LETSENCRYPT数字.certファイルの内容をコピーアンドペーストします
- 発行された中間証明書:中間証明書を入力します。LETSENCRYPT数字Int.certファイルの内容をコピーアンドペーストします
- プライベートキー(秘密鍵)・証明書・中間証明書を入力確認したら「SSL証明書・中間証明書インストール」ボタンをクリックします
- 「戻るにはここをクリックしてください」をクリックしてください
これでコアサーバーでroadbikelife.netのSSLサーバー証明書のインストールが完了しました。
SSLの証明書反映まで少し時間がかかります。
数分したらhttps://roadbikelife.net/で動作確認します。
SSLサーバー証明書の確認をする
- WEBページを開いた状態でマウスの右クリックから「検証」をクリックします
- ブラウザ右側に検証窓が開いたら「Security」という項目を選択してクリックします
- Security Overviewから「View certificate」ボタンを押して証明書を確認します
証明書の有効期間を確認します。
Let’s Encryptで取得したSSLサーバー証明書は有効期間90日です。
WordPressの全体設定をHTTPSに変更する
WordPress管理画面でWordPress全体のサイトURLを変更します。
管理画面左側のメニューから「設定」→「一般」をクリックします。
- WordPressアドレス(URL):https://roadbikelife.net (例)とhttpからhttpsへ変更します
- サイトアドレス(URL):https://roadbikelife.net (例)とhttpからhttpsへ変更します
URLの最後には /(スラッシュ)は付けないように注意してください。
これで大まかな部分はhttpからhttpsへ変更できました。
しかし、投稿内容の画像(メディア)ファイルに関してはhttpのURLのままなので修正しないといけません。
WordPressの投稿内容の内部リンクをhttpsへ変更する
投稿した記事の内容を任意のテキストへ置換できるプラグイン「Search Regex」を使用します。
管理画面から「プラグイン」→「新規追加」で「Search Regex」をキーワード検索してインストール・有効化しましょう。
Search Regexで投稿記事内のhttpリンクをhttpsリンクに置換する
ブラウザでHTTPSでアクセスして問題ないか確認する
- WEBサイトを開いて右クリックから「検証」をクリックします
- 検証画面上部から「Security」項目をクリックしてセキュリティ状態を確認します
- This page is secure (valid HTTPS)となっていればサイト内のHTTPSは問題ありません
- 一部でHTTPで読み込まれているコンテンツ(画像や外部広告リンク)があるとブラウザ上部には「保護された通信」が表示されません。検証画面でHTTPで読み込まれているコンテンツを探して手動で修正していきます
- 大手広告配信業者(A8ネット・バリューコマース)はHTTPSによる広告配信をしていますので問題ありませんがそれ以外の広告配信業者はHTTPで読み込まれている可能性があります。HTTPSに修正するまえに広告配信業者がHTTPSに対応しているか確認しましょう
.htaccessで301リダイレクトは必要か
httpからhttpsにURLが変わるので.htaccessで301リダイレクトが必要になるのではないか?
と思われますが適切にhttpからhttpsへ移行できているなら.htaccessの設定は必要ありません。
参考:HTTPS移行後に外部リンクのURLを https:// に変更する必要はない:海外SEO情報ブログ
HSTS(HTTP Strict Transport Security)という仕組みで完全なHTTPSサイトであればHTTPでアクセスしても2回目以降からは自動でHTTPSでアクセスする仕組みだそうです。
当サイトもHTTPからHTTPSへ移行したとき.htaccessを設置しないで問題なくHTTPSへ移行できました。
そのため.htaccessの説明については省略します。
HTTPからHTTPSへ移行してその他やるべきこと
Google Search ConsoleでHTTPSへプロパティを変更する
Google Search Console
Google Search Consoleで登録しているサイトのURLをHTTPSへ変更しましょう。
既にHTTPでサイトURLを登録している場合は「プロパティを追加」で新たにHTTPSのURLを登録します。
参考:
[blogcard url=”Googleアナリティクス
Googleマーケティングプラットフォーム CORESERVER(コアサーバー)で運営しているWordPressサイトを常時SSL化する手順でした。 私としてはサーバーの知識やプログラミングの知識が無くてもWordPressでサイトが作れるようにと、記事を書く時には心がけていますがコアサーバーは多少サーバーの知識が必要だなと感じました。
CORESERVER.JP(コアサーバー)は、PHP+MySQLの快適性を重視した大容量の次世代レンタルサーバーサービスです
アクセス解析にGoogleアナリティクスを利用している場合はこちらも修正します。
Googleアナリティクスの「管理」項目から「プロパティ設定」でデフォルトのURLという項目で修正できます。
最後に保存することを忘れないようにしましょう。CORESERVER(コアサーバー)のサイト常時SSL化まとめ
コアサーバーの管理画面で慣れてしまっているのでSSL化の作業中は気にならなかったのですが、こうして記事にしてみるとコアサーバーはあちこち管理画面内で移動する手間が多くやっぱり使いにくいのかなという印象でした。
ネットでは中級以上の人が使うなら、コストパフォーマンスが良いサーバーとして認識されていますがそうかもしれません。
それでもコアサーバーで安くサイト運用してみたいという方はお試し期間だけでも使ってみてください。
CORE Aプラン以上なら、マルチドメイン無制限・データベース無制限・メールアドレス無制限
と無制限ばかりで年間5200円はとても安くて良いサーバーだと思います。