WordPressのホームページをHTTPS化にするため知識と方法

WordPressで運営されている方はHTTPS化に移行していますでしょうか。
まだ、HTTPSやSSLを知らない人も多いのではないでしょうか。
ですが、今後運営していく上では必要になると言われています。

そして、今後のGoogleではHTTPSを導入して暗号化しているブログは優遇されると発表されています。

なぜかというと、セキュリティーが守られるだけなく、SEOにも影響してきます。
なので、HTTPSとかSSLがよく分からないという方も積極的に取り入れることをオススメします。

順序良く設定していけば、Wordpressでhttpsのサイトを作ることは難しくありません。
むしろ１度設定してしまえば、済んでしまうことなので早めにやる方が後から慌てないで済みますよね。

HTTPS？SSLとは何か？

そもそもHTTPSとは？SSLとはなに？って人はすごく多いはずです。
HTTPSとは簡単に言うと、通信を暗号化してセキュリティを高めていると考えてください。
これについてもう少し詳しく解説していきます。

HTTPについて

httpsを知る前に、最初にhttpについて理解しましょう。
通常よく見かける「http」というのは「HyperText Transfer Protocol」の略です。
このブログのようにテキストや画像などの情報を、インターネット上で通信する仕組みのことです。

インターネットサーフィンをしていると、現在は「http」で構成されているサイトが殆どです。
そのため、表示形式は上記の画像のようなアドレスをしています。

この状態だと、情報を一般的に公開しているのでセキュリティとしては全くありません。
ですが、情報を発信しているだけなので、今まではそこまで問題視されてきていませんでした。

そのため一般的な企業では、個人情報を入力するページのみを暗号化してセキュリティを強くするれば問題はないとされてきました。

HTTPSについて

これを「https」にすることによって、通信を暗号化してセキュリティを向上させることができます。
どのように表示されるのかというと

このように鍵のマークがつきます。
このブログはHTTPS化されているので、アドレスバーを確認してみてください。

「https」とは「HTTP over SSL/TLS」の略です。
そして、「https」の最後の「s」の部分が「SSL/TLS」の略です。

SSL/TLSとは、どちらも暗号化して通信する技術のことです。
それが「http」にくっついているので、通常のサイトでも安心して使うことができるということです。

なので、「https」を導入することによりセキュリティが向上し、なりすましなどの個人情報を漏洩を防ぐことができます。

HTTPS化しないとどうなるのか

説明を見ていると、今までの通り個人情報を入力するページに導入されていれば良いのではないかと思うはずです。

ですが、それならば全てのページを暗号化してしまった方がより安全なのではないかという事です。

そして、Google社が全てのページをHTTPSをしてないサイトには今後警告マークをつけるかもしれないと発表しています。
警告マークが付いているかどうかを調べるには、現在は開発中の「Google Chrome canary」を使う必要があります。

canaryを使って暗号化されていないサイトをみると、このように鍵にバッテンが付いたマークが表示されます。

これは安全ではない警告マークです。
現在のブラウザでは実装されていませんが、個人的な意見としては、確実にこの機能は実装されるでしょう。

ですが、今すぐ実装しなければならないのかといったらそうではないです。

あくまでも今後ブログを運営する上で、必ず実装しなくてはならない日がくるという事は間違いないでしょう。

HTTPSはSEO対策になるのか

常時HTTPS化（全てのページをHTTPS）にするとSEOが上がると発表されています。

これは紛れもない事実ですが、現在は１％くらいしか判断基準に入っていません。（２０１８年以降はHTTPS化は必須です。）

これで、SEO対策になるかどうかと言われれば、全く関係ないと言えるでしょう。
それよりも、記事の内容だったり、何の情報を発信しているのかの方が重要なのではないでしょうか。

ですが、今後は常時HTTPS化しているサイトを評価するとコメントしているので、現在は1%の判断基準ですが少しずつ上がっていくのではないかと判断できます。

なので、現在はそれほどSEO対策には重要ではないが、今後重要になる可能性は十分あり得るという事です。

これだけで変わるということはないので、SEO業社にだまされないように気をつけましょう。

HTTPS導入のメリット・デメリット

入れた方が確実に良いと書いてありますが、メリット・デメリットも必ず存在します。

メリット

上記で説明していた点が、主なメリットとしてあげられます。

• セキュリティの向上
• Googleの検索に少し優位になりやすい
• ページ速度が上がる

ページ速度に関しては、「https」を使うと「SPYD」と「HTTP2.0」という技術を使って通信するようになります。
これが２０１３年に標準化されていまして、Webサイトの表示速度を高速化してくれる機能です。

デメリット

• 年間の費用がかかる→現在は無料でもできます。
• 導入に知識が必要

また、導入するにも知識が必要なのは避けては通れない道です。
導入する知識に関しては、詳しく説明していますので安心してください。

新しくWordpressでサイトをHTTPS化して作る場合は、導入するだけなのでメリットしかないと言えるでしょう。

WordPressにHTTPSを設定する方法

まず、暗号化をするためにSSLのサービス申し込みをしなければなりません。
SSLにはいくつか種類があり値段が違いますが、それについては途中で説明しています。

SSLには無料と有料がありますが、大きな違いはないので無料版を使うことをおすすめします。
（大きな違いは信用度（ブランド）の違いです。セキュリティ機能に違いはありません。）

先に無料版を紹介していて、最後に有料版も紹介しています。

【無料版】HTTPSを申請する方法

どのサーバーもやり方はほぼ同じですが、今回はXSERVERを例に出しています。

サーバーのSSL設定をクリックします。

ドメインが出てくるので、SSLを設定したいドメインを選択します。

そのまま「独自SSL設定を追加する」をクリックすると、SSLの申請ができます。

これだけで申請は終了です。

WordPressの設定をhttpsに変更する

まず、通常通りWordpressにログインしましょう。

左側の一般設定の中にある、「Wordpressアドレス(URL)」と「サイトアドレス(URL)」の先頭をそれぞれ

「https」に変更します。

これを設定することにより、Wordpressのサイトをhttpsに変更することができます。

WordPress側の設定はこれで以上です。
そこまで難しくはありません。

.htaccessの設定

今度は、通常の「http」のサイトにアクセスした際に、「https」のサイトに強制的に移動させて上げる必要があります。
これを「301リダイレクト」と呼び、これをしなければ「http」サイトが表示されてしまいます。

301リダイレクトを行うには、「.htaccess」の設定を変更していきます。

FTP画面を開き、「.htaccess」ファイルを開きます。

開いてみると、下の方にピンク色で囲った部分を発見してください。

発見したら、画像の場所に以下の文章をコピペして貼り付けてください。

RewriteCond %{HTTPS} of
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

ここに、文章を貼り付けたら保存してください。

文章の意味としては

• １行目がHTTPでアクセスされた場合（HTTPSがOFFだった場合）
• ２行目でhttpsの同じURLに移動させます

という意味です。

これによって、httpでアクセスをしても、強制的にhttpsに移すことができるので安心です。

https化を確認する

これでhttps化に変更されているので、サイトを開いてみて確認しましょう。

このように、鍵のマークが緑色になっていれば成功です。

この後にアップした記事に関しては、httpsで表示されますのでそれも確認してみてください。

Googleウェブマスターツールの登録

注意して欲しいのが、Googleウェブマスターツールに「http」と「https」の両方を登録しなければなりません。

登録するのは全部で４つです。
「wwwありなし」「httpとhttps」の合計４つを登録する必要があります。

ここまで登録できたら、サイトのhttps化は終了です。

【有料版】SSLサービスの設定

基本的に有料版を申請する必要はありませんが、サイト上でセキュリティをアピールしたいという方は有料版のロゴマークが使用できたりするのでおすすめです。（機能は同じです）

レンタルサーバーにログインしたら、左側の「追加のお申し込み」をクリックしましょう。

追加のお申し込みの中から、「SSLの新規取得」を選んでください。

SSL証明書の種類について

そうすると、SSL証明書の新規お申し込み画面になります。

ここでは「CoreSSL」の「SNI SSL」を選択します。

SSLにはブランドがいろいろあり、種類によって値段が大きく異なります。
なので、SSLの種類の決め方についてはしっかりと理解しましょう。

まず間違えて欲しくないのが、「値段が高い＝セキュリティが高い」のではないです。
値段を見てしまうと、値段が高い方がセキュリティが高いと思ってしますが、そうではないです。

現在どこを選んだとしても、SHA-256(SHA-2)と呼ばれる256bitのセキュリティを使っています。
そのため、認証局や証明書が違ったとしても、セキュリティのレベルはそこまで違わないのです。

何が違うのかというと、信頼性の違いです。

ここの会社は信頼できるかどうかという違いです。
そこの会社に実績があれば信用しやすいですし、その分値段が高くなってもおかしくないと思ってください。

SSNプランについては、「SNI SSL(ネームベース)」と「IPアドレスベース」がありますが、通常はSNI SSLで全く問題ありません。
SNI SSLは１つのサーバーで複数の証明書を発行できる技術のことです。
なので、コストも安くでき、そこまで大きなデメリットも少ないです。

SSL証明書の2Way利用

対象サーバーネームIDを、使用しているサーバーの名前にしましょう。

コモンネームを、「www」から始まる方に設定しましょう。

「www」から始まるのを選択するのには理由があります。

これはSSLの2way利用と言って、「wwwあり」を選択しておけば、ありでもなしでも通信できるという仕組みです。
仮に「wwwなし」を選択してしまうと、「www」をつけてしまった方はサイトが見れないという状況になりますので注意してください。

全てがメリットという訳ではありませんが、間違いなく「wwwあり」で申し込んだ方がメリットが大きいです。

SSL証明書の申し込み確定

内容に間違いがないことを確認して、申し込みボタンをクリックしましょう。

SSL証明書申請情報を入力

SSLの申し込みをしたら、個人情報を入力していく必要があります。

下記の画像のように住所や会社名などを入力していきましょう。

一番下にコモンネームの確認がもう一度されますので、「wwwあり」になっていることを確認して「SSL登録者情報入力へ進む」をクリックしてください。

SSL登録者情報の申請

今度はより詳しく名前などを入力していきます。

先ほどと同じように一番上から入力していきますが、個人の方は「組織名はPersonal」「役職はNone」で大丈夫です。

最後に認証方法を聞かれますので、DNS認証を利用するにチェックを入れてください。
そうすれば自動的に認証されるようになっています。

これでSSLの新規取得申請を行うことができます。

クリックすると、しばらく時間がかかるのでブラウザを絶対閉じないようにしましょう。

SSL証明書設定完了

SSL証明書設定の完了のお知らせがメールで届きます。

だいたい当日中には届くと思いますが、時間は２日ほどかかる場合もあります。

このメールを受け取ればSSLの有料版の申請は終了ですが、先ほど紹介したHTTPS化の設定は同じです。

まとめ

HTTPS化は難しいようで、そこまで難しくはありません。

サイトを作るときに一緒にやってしまえば、簡単に作ることができます。
これからサイトを新しく作る方は、是非挑戦していただきたいです。

また、途中から導入する場合は、入れているプラグインや設定によっても大きく変わってくることがあります。
その場合は、１つ１つ注意しながら間違っていないかを確認してください。
そして、今回は新規サイトを立ち上げた場合を想定しているので、途中導入の場合はURLの変更等追加作業が必要になります。

https化をすることは、SEO向上のために導入する問題ではありません。
基本的には読者のセキュリティを考えて、httpsを導入する必要があると思います。