【初心者必見】Wordpressのhttps化！サーバー別の設定手順を解説

https化とは?

https化とは「サイト全体の常時暗号化」を意味し、データの相互通信を暗号化して第三者に見られないようにすることを指します。

Webサイトにおいてユーザー名やパスワード、クレジットカード番号などの重要なデータを安全にやり取りするため、https化はサイトのセキュリティ対策の中でも、非常に重要で必要不可欠なものの1つです。

Wordpressをhttps化するメリット

Web担当者にとって、Wordpressをhttps化する最も大きなメリットとしては「SEO対策に有利である」ことが挙げられます。https化によってサイトの安全性が上がることにより、Googleのクローラーからの評価が上がるというわけです。

Webサイトの表示スピードが上がる可能性もあり、もはやhttps化をしていないWebサイトの方が珍しくなっています。

Wordpressでhttps化をしないと起こる問題5つ

https化（常時SSL化）はセキュリティ上欠かせない施策です。実際にhttps化をしなければどのようなリスクが生じるのかを知ることで、より認識を深められます。

https化をしないと起こる問題は下記の5つです。

個人情報の漏えいリスクが上昇する

ユーザーからの重要な情報を何の保護もせずに通信していることになるため、悪意のある第三者から情報を読み取られる可能性があります。

単にアクセス要求の情報だけであれば大きな被害とはなりませんが、会員IDやパスワードが盗まれたり、クレジットカード情報が漏えいしたりすると大変な問題に発展します。

ネット上のサイバー攻撃の深刻度は年々増しています。https化は今や基本とも言えるセキュリティ対策のため、格好の餌食になるわけです。

サイトのなりすましが発生する

https化されたサイトは、安全であることが第三者によって認証されています。https化をしていないサイトは、第三者からの安全な認証がなされていないことになるため、フェイクサイトとの見分けがつきづらいです。その分なりすましサイトが出現するリスクが高まります。

自サイトで収集している会員情報や決済情報などを、なりすましサイトに盗まれてしまうおそれがあります。ユーザーに被害をもたらすことになり、大きな問題に発展しかねません。

サイトの正しい表示がされなくなる可能性が高まる

サイバー攻撃の被害が大きくなっている事情もあり、https化は必須です。この点を考慮して、ブラウザを開発する会社や検索エンジンではhttps化を施していないサイトへの警戒をし、制限を加えています。

https化がなされていないページについては、正しい表示ができなくなるリスクがあります。ブラウザにもよりますが、一部が表示されなかったり、ページの構成が崩れてしまったりすることがあります。

警告が表示されてユーザーから不信感を持たれる

ブラウザによっては、常時SSL化されていないサイトについてはそもそも表示させないポリシーを持っていることがあります。サイトにアクセスしようとしても「安全なサイトではありません」もしくは「保護されていない通信」などの警告ポップが出てきて表示されないのです。

ユーザー側でセキュリティ設定を変えて、警告が出てもサイトの表示をさせることも可能ですが、実際にこうした設定をするユーザーは少ないです。警告が出てきたら警戒して離脱するユーザーの方が多くなります。

検索順位が上がりにくくなる

https化がされていないサイトは、安全性が確保されていないことで検索エンジンからの評価は低くなります。

Googleをはじめとする検索エンジンは、質が高く安全なサイトかどうかという点をチェックして評価を下します。その評価に基づいて、検索結果のページの表示順位を決めているわけです。

https化をせず安全性に欠けたサイトは、結果として検索エンジン経由のアクセスが激減してしまいます。評価とアクセスが落ちるというのは、サイトにとって命取りともなるため、https化は欠かせない対策なのです。

Wordpressでhttps化する手順3つ

Wordpressは、初心者でも簡単にいろいろな操作ができるのがメリットです。https化の方法も難しくないため、適切な方法を試してみましょう。

https化する手順は大きく下記の3つです。

サーバー側での管理設定

https化の第1歩がサーバ―側で行う証明書発行です。https化をするには、第三者によって自サイトが公式で安全なものであるということを認証してもらう必要があります。その認証をしてくれる機関のひとつがサーバ―会社なのです。

契約しているサーバーに「SSL証明書」というものを発行してもらうことになります。証明書には有料と無料が存在しますが、通常は無料SSLで構いません。

利用しているサーバー会社によって設定の仕方は違いますが、大概はサーバ―の管理画面の中にある「SSL設定」というメニューから操作します。サイトのドメインを指定して、SSLを追加するなどの操作をすれば自動的に行われます。

Xserverのhttps化の手順

Xserverのhttps化は、まずアカウントにログインして管理画面から「サーバー管理」を選択し、サーバーパネルから「SSL設定」を選択します。次に「独自SSL設定追加」タブから「確認画面へ進む」に移りましょう。

確認画面で対象ドメインが合っているか表示されるため、確認できたら完了ボタンを押して終了です。

さくらサーバーのhttps化の手順

さくらサーバーのhttps化は、アカウントにログインしてから管理画面が表示されたら「ドメイン設定」を選択し「ドメイン/SSL設定」をクリックします。ドメイン一覧が出てくるため、SSL化の対象独自ドメインにある「証明書」を登録しましょう。

ここから「無料SSL証明書」に飛ぶため、無料SSL証明書の設定確認画面にある内容を確認できたら完了です。

ロリポップのhttps化の手順

ロリポップのhttps化は、最初にアカウントにログインして「ユーザー専用ページ」に移動しましょう。ユーザー専用ページで「セキュリティ」をクリックし「独自SSL証明書導入」を選択します。

https化したい独自ドメインをwwwの有り無し両方で選択してから、「独自SSL（無料）を設定する」をクリックします。ロリポップの無料SSL化は1度設定すると解除できないことにも注意しておきましょう。

設定には5〜10分程度かかるため、一定時間待って「SSL保護有効」と表示されていれば完了です。

Wordpress側の管理設定

サーバー側での設定を終えたら後はWordpress側で設定を行いますが、多少の知識が必要なため、プラグインを使いましょう。https化をするために開発されているプラグインを利用すれば、簡単な操作で設定を完了できます。

常時SSL化以外のセキュリティ対策も行える機能が付いているケースが多いので、総合的な対策ができるメリットもあります。

リダイレクトの設定

プラグインを使って自サイトをhttps化したら、リダイレクト設定をしないといけません。元の「http」から始まるURLのサイトから、新しく設定した「https」で始まるサイトにユーザーを自動的に飛ばすという設定です。

ユーザーの中には以前の「http」状態のサイトURLをブックマークしていて、そこからアクセスしてくることがあります。新しいサイトに来ることはできないため、リダイレクトを施す必要があります。

プラグインを使ったWordpressのhttps化のやり方

プラグインを使ったhttps化の仕方を、具体的にどのように作業を進めていったら良いのか見ていきましょう。手順は下記の3つです。

1. バックアップを取る

Wordpressでの作業を始めるに当たって、バックアップを取ることから始めましょう。基本的にhttps化をするには、最新の状態へ更新することが求められます。

古いテーマやプラグインが入っていることなどが原因で、うまく新しいサイトの仕組みに対応できず、表示が崩れてしまうことがあります。最悪の場合、真っ白になったり表示ができなくなってしまったりするケースもあります。

上記の状態を直すのはかなり大変です。こうした事態を防ぐために、Wordpressでの作業を進める前に現在の状態をバックアップして、いつでも復元できるようにしておくのです。

利用するhttps化用のプラグインの中に、バックアップ操作ができるものもあるため、上手に活用しましょう。

2. Wordpressやテーマをアップデートする

バックアップが終わったら、Wordpressのバージョンを最新のものにしましょう。最新バージョンにするには、ダッシュボードの上に表示される「更新」についてのメッセージをクリックします。

更新メニューに移ると詳細が表示されるため、確認をしてから更新ボタンを押します。すでに最新のバージョンになっている場合は、この作業は飛ばします。

Wordpress自体の更新と共に、使用しているテーマも更新しましょう。テーマの管理画面から更新情報を確認して、最新バージョンにします。

3. プラグインのダウンロードをして適用させる

https化用のプラグインはたくさん開発されていますが、公式ディレクトリにあるものだけを使うようにしましょう。Wordpressによって公式に認められているプラグインで、安全性が保証されています。

Wordpressのダッシュボードから直接検索して適用できるため、より簡単に見つけられるというメリットもあります。

独自のサイトで公開しているプラグインもありますが、https化用にダウンロードするのであれば、それほど特殊なものは必要ないため、公式ディレクトリのもので十分です。

選ぶ基準としては、評価が高く多くの人に使用されてきた実績があることです。最新のWordpressのバージョンに対応しているもので、互換性の高いものであることも重要です。

https化におすすめのWordpressプラグイン

https化をするための役立つプラグインを紹介します。簡単ですぐに設定できるものと、さらに詳細な設定をしたい人向けのものをチェックしてみましょう。

Really Simple SSL

SSL化に特化したプラグインでとてもシンプルです。かなり軽いプログラムなので、サイトに負担をかけることがありません。

なによりも操作がかなり簡単というメリットは要注目です。ダウンロードして有効化したら「SSLを有効化」というボタンをクリックするだけです。

ほぼワンクリックでhttps化ができるということで、簡単操作の点ではとても優れています。SSL化の作業が完了すると、Wordpressから自動的にログアウトされます。再びログインすれば、SSL化されているのを確認できるはずです。

SSL Insecure Content Fixer

SSL Insecure Content Fixerは、さらに細かくSSLについての設定ができるのが特徴です。ページごとの操作や、ヘッダーやフッターのみの設定などが可能となっています。

設定を終えたら、古い「http」のURLから新しい「https」にURLを変える必要があります。これは「一般設定」のメニューから行うことができます。この設定ができれば、https化は終了です。

まとめ

サイトのセキュリティ対策において、Wordpressを使ってhttps化をすることは欠かせない作業です。いくつかの設定方法がありますが、専用のプラグインを使うのが最も簡単で正確です。

コストも手間もほとんどかからない簡単なものであるため、サイトの安全な運営のためにもできるだけ早く設定を済ませてしまいましょう。

もし「サイトの設定が面倒だ」と思っている方が居たら、ぜひ弊社のサービス「比較ビズ」の利用を検討してください。無料で複数の業者に一括で相談できます。

執筆者

比較ビズ編集部では、BtoB向けに様々な業種の発注に役立つ情報を発信。「発注先の選び方を知りたい」「外注する際の費用相場を知りたい」といった疑問を編集部のメンバーが分かりやすく解説しています。