WordPressで構築されたWebサイトの常時SSL化手順

本記事には古い情報が含まれている可能性があります。
2019年9月以降、各ブラウザのEV証明書のアドレスバー表示は変更されており、
本記事に掲載されている表示とは異なっている場合がありますので、ご注意ください。

[目次]

常時SSL Lab.の「実践術」ではこれまで、HTMLやCSSで構成された静的なWebサイトを常時SSLに対応させる手順を説明してきましたが、近年、Webサイトの構築にはWordPressをはじめとしたCMSを利用することが多くなっています

ということで今回は、代表的なCMSであるWordPressの常時SSL化の方法を簡単にご案内します。

WordPressで構築されたWebサイトの常時SSL化にはさまざまな方法がありますが、ここでは常時SSL化のためのプラグイン「Really Simple SSL」を利用した手順をご案内します。

事前準備

実際の作業に入る前に、以下の内容を確認しておきましょう。

WordPressを最新の状態に

WordPressの本体、プラグイン、テーマなど、更新可能なものはすべて適用しておきましょう。

WordPress管理画面の「ダッシュボード」→「更新」に表示される更新を行い、Webサイトを最新の状態にしておきます。

必ずバックアップを

作業中にトラブルが発生してもすぐに切り戻しができるように、WordPressで公開しているWebサイトのファイル/データベースのバックアップを実施しておきます。

WordPressのプログラムファイルをFTPでダウンロードしたり、データベースをphpMyAdminなどでエクスポートしておきます。

SSLサーバー証明書の購入/設定

これは静的なWebサイトでも同じことですが、常時SSL化にあたり必要なSSLサーバー証明書の購入や導入方法、Webサイトのドキュメントルートの設定手順などを確認しておきましょう。

HTTPとHTTPSのドキュメントルートが固定のディレクトリ以外に設定できない場合は、ファイルの移動などの作業が必要になります。

留意すべき点

常時SSL化の際、Google系のツールは設定の変更や再登録が必要なものがあります。
以下の記事を確認しておいてください。

常時SSL化の際に必要なGoogle系ツールの設定

以下の記事でも記載したとおり、常時SSL化に伴いWebサイトのURLが変わるので、SNSでのシェア数はゼロからのリスタートになります。

SNSのシェアボタンを表示するプラグインなどをご利用の場合でも同様です。

Webサイトの常時SSL化前に確認しておきたい7つのポイント

WordPressの常時SSL化の作業

ファイルの移動やドキュメントルートの設定

Webサイトを公開しているサーバーの仕様で、HTTPとHTTPSのドキュメントルートが固定のディレクトリ以外に設定できない場合は、HTTPで公開しているWebサイトのファイルをHTTPSにコピーします。

常時SSL化が完了したら、HTTPで公開しているWordPressのファイルは、FTPなどですべて削除します。

ドキュメントルートが自由に設定できるサーバーの場合は、HTTPとHTTPSのドキュメントルートを同じディレクトリに設定します。

CSSやテーマ/プラグインなどのファイルの見直し/修正

CSSやテーマの各ファイルを自作している場合、内部のパスの記述が「http://」になっている箇所は、「https://」に修正します。

外部のテーマやプラグインはHTTPSに対応しているか確認しておき、調整が必要な場合は事前に実施しておきます。

プラグイン「Really Simple SSL」のインストール/有効化

WordPressの管理画面に「https://」(HTTPS)でアクセスします。

管理画面にログインできたら、プラグイン「Really Simple SSL」をインストールします。

プラグインを有効化すると確認メッセージとともに表示される「はい、SSLを有効化します」ボタンをクリックします。

完了メッセージが表示されたら、常時SSL化は完了しています。

Really Simple SSLによるSSLの有効化

なお、本プラグインを削除すると、常時SSL化も解除されますのでご注意ください。

また、ドキュメントルートが固定のディレクトリの場合、プラグインの有効化後はデータの整合性が取れなくなる可能性がありますので、HTTPの管理画面にはログインしないでください。

Webサイトのチェックやエラーへの対処

常時SSL化が完了したつもりでも、プラグインやテーマ、外部ファイルの読込などが原因で、WebブラウザがSSLに関するエラー(「Mixed Content」など)を表示する場合があります。この状態ではまだ完了しているとは言えません

(図1)Google Chromeでのエラー表示

Webブラウザのアドレスバーの左端が鍵マークなどになっていない場合は、以下のページを参考に、エラーの原因と対処を実施してみましょう。
※2018年10月リリース予定の「Chrome 70」からは、鍵マークが緑から灰色に変わります。

エラーの原因がプラグインやテーマなどに特定され、それらがHTTPSに対応できない場合は、同程度の機能を持つ他のものに代替することも検討しましょう。

Webサイトの常時SSL化に失敗しないエラーチェックと対応方法

なお、投稿や固定ページなどの記事のソースに含まれる内部リンクや画像パスなどは、常時SSL化プラグインだけでは対応できず、各記事のソースに記述されたパスなどの書き換えが必要な場合があります

記事が少ない場合は個別に書き換えれば済みますが、大量の記事を持つWebサイトなどでは、データベース内の指定文言を直接一括で書き換えるプラグインなどを利用する方法もあります。

Search Regex
DATABASE SEARCH AND REPLACE SCRIPT IN PHP

各プログラムのご利用方法は、公式サイトなどを参照してください。

「DATABASE SEARCH AND REPLACE SCRIPT IN PHP」については、ZenlogicのWebサイトに掲載されている内容が参考になるかと思います。

Zenlogic – WordPress 引っ越しガイド STEP3

これらのプログラムは、事前にテスト環境などで十分に挙動を確認してからご利用ください。

HTTPSでのアクセスが正常に行われることが確認できたら、以下の内容も確認してみてください。

Webサイト利用者やGoogleを適切にHTTPSに誘導する方法

この記事のポイント

  • サーバーの仕様や現在の状態により、必要な作業が異なる場合があります。
  • WordPressの常時SSL化には、プラグイン「Really Simple SSL」が早くて便利です。
  • Webサイトの表示やエラーのチェックを必ず実施しましょう。

関連記事

2017/08/21
プラグインで簡単!WordPressの常時SSL対応
2016/10/19
常時SSL対応の準備~作業~仕上げまでの流れを把握する実践編