WordPressサイトでの常時SSLの設定

05/07/2019 WordPress

近頃のブラウザでの表示にしても、Googleからの発表にしても、そろそろSSL化はしておかないとな。とは思っていたのですが、遅ればせながらやっと設定しました。

そもそもSSL化は必要なのか

世知辛い世の中というかなんというか、今も昔もネット上での盗聴に近い行為などはあるのだと思いますが、近年では電話での詐欺でもネット上の通販詐欺でもなんでも、疑ってかからないといけない時代になりました。
そんな時代の中で、信頼性のないサイトと見なされるのはやはり恐怖です。

少し前までのSSL化のイメージは「お問い合わせフォームとか、通販サイトなどの購入フォームページにだけ作れば良いんじゃないの？」といったもので、そもそも暗号化通信することで盗聴や改ざんを防ぐシステムなのでそれで良かったのかもしれません。

とはいえ、冒頭で触れた通り、Googleの発表でも今後はSSL化されていないサイトに対して、閲覧者が一目で分かる様に表示していく。といった方針なので、常時SSL化が半ば義務づけられている状態に感じます。

というわけで、SSL化はセキュリティの為＋信頼性のためにも行うべきでしょう。

レンタルサーバー会社上で申し込み

ちなみにわたしの場合、使用サーバーはロリポップ！です。

SSLを提供しているサーバー会社は多く、ロリポップも独自SSL設定が可能です。
更にLet’s Encryptですと、無料で設定が可能です。
申し込みもとても簡単なので、契約しているサーバー会社で検索してみましょう。

ロリポップのユーザー専用ページ左側ナビゲーションから「セキュリティ」＞「独自SSL証明書導入」をクリックして、申し込み後約5分程で完了しました。

ちなみにlolipopの独自SSLのお申込み・設定方法（無料）マニュアルはこちらから設定方法も確認できます。

WordPress側で設定すること

サイトのアドレスを変更してあげなければならないので、WPの管理画面ナビの「設定」＞「一般」の以下箇所を修正します。

◆WordPress アドレス (URL)
◆サイトアドレス (URL)

どちらもhttp://〜をhttps://に変更しましょう。

以上で終了！といいたいところですが、せっかくSSLの申し込みをして、httpsアドレスに変更してもブラウザのアドレスバーのアイコンが鍵マークに変わっていない状態であれば意味がありません！

http://gon-chan.netだったものを
https://gon-chan.netで開いてきちんと確認しましょう。

もしhttps〜で開いてみてロックがかかっていなければ、タグの見直しが必要となります。
そして大くの場合は、絶対パスで書かれた画像が原因となります。

★Google Chromeで確認する場合★
「表示」＞「開発/管理」＞「Javascriptコンソール」を開きます。
すると「Mixed content：〜」から始まるものがあれば、そちらの内容を確認・修正します。
絶対パスで「http://〜.jpg」と書かれた画像は「https://〜.jpg」と変更してあげましょう。

※アイキャッチなどで登録された画像は、上記の「外観」「設定」でサイトアドレスを変更してあげるだけで自動反映されます。
※テーマファイル(header.phpとかindex.phpとかfunctions.phpとかcssファイルも）は、基本は関数で画像urlを取得していると思いますのでそのあたりももちろん大丈夫です。もし絶対パスで記載していた場合は、この機会に関数を使ったパス指定に変更してあげましょう。