【備忘録】今更(?)人には聞けない、常時SSL(https)化設定の手順

遅まきながら、このブログも、ようやくSSLを導入しました。
2018年7月以降、常時SSL対応をしていないサイトは、Google Chromeのアドレスバーに「保護されていません」という表示がされるようになってしまい、それが目障りだと感じていました。

調べてみたところ、どうやら無料でSSLの導入ができるみたいですし、もうそろそろ導入しなきゃな~ってことで、1年で正月に次いでアクセスの落ちるこの時期(※例年、資格試験が行われない正月・GW・お盆・年度末になると目に見えてアクセス数が落ちる)に設定してみました。

★SSL対応にあたって参考にしたページ↓

XSERVERで常時SSLが無料なので、WordpressサイトをHTTPS化したときに行った全ての手順をまとめてみました。

以前の記事で、ブログのURLを「http://~」から「https://~」へ変更する、すなわちSSL化する方法についてご紹介しました。ところが、「一部のページが安全でない」として、表示にエラーが...

下準備:①データベースのバックアップ(wordpress側)

サーバー側の設定(SSL新規取得の申請)

②サーバーのパネルから「SSL設定」を選択



SSLを設定するドメインを選択


「無料独自SSL追加」タブをクリック。
無料独自SSL追加(確定)ボタンをクリック

この時点で、「SSL新規取得申請中です。しばらくお待ちください。」と表示される。

申請が完了すると、「独自SSL設定を追加しました」と表示される。
※ちなみに、「すでに独自SSLが設定されています。」となっていても、30分~1時間くらいはエラーメッセージが表示されます。
10分おきくらいに確認してみてください。


SSLアドレスからサイトが開けるようになってから行うこと

wordpress側の設定

③wordpressの設定からURLを変更する

「一般設定」WordPress アドレス (URL)サイトアドレス (URL)の2か所を変更する。
http→httpsに変更する。変更を保存。

・④内部リンクの変更
一つ一つやってもいいのだろうけど、プラグイン「Search Regex」をつかえば、一括で変更できるので、こっちを使った方がいいです。


ツールsearch Regexを選択する。

Search Patternには、旧アドレス
Replace Patternには、SSL化された新アドレス
を入力する。(ほかの設定はいじらなくてもいいでしょう)

※一度変更すると後戻りができないため、アドレスのスペルミスには気を付けること!
まずは、Replaceボタン(真ん中のボタン)をクリックして、正しい変換になっているかどうかを確認する。問題なさそうなことを確認してから、「Replace&Saveボタン(右端のボタン)」を押すこと。

サーバー側の設定(.htaccessに追記)

⑤.htaccessにリダイレクト用のコードを追記する
ftpソフトで.htaccessファイルをダウンロードするか、サーバーパネルで「.htaccessの編集」から直接編集する。
以下のコードを、先頭部分に追記する。

<ifmodule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</ifmodule>

※スターサーバー系の場合は、
FTPアカウント設定→FTPアカウント一覧→Web FTPをクリックすると、ファイルマネージャーにアクセスできる。


※どちらの方法にしても、.htaccessファイルの編集に失敗するとエラーが発生するため、編集前のファイルはメモ帳などにバックアップして保存してから行うこと。

参考:
昔に比べてSSLの導入は敷居が低くなったと思います。googleでもWebサイトを常時SSL(https)にすると、SEO(検索順位)を優位にするというアナウンスもありましたので、切り替える方も増えていると思います。ここでは.htacces

⑥ブラウザのセキュリティ状態をチェック、各ページの修正(wordpress側)

google chromeで安全な接続になっていると、南京錠マークになる。
安全でない状態と表示されている場合(!マーク)は、各ページごとに修正を行う。
(Chromeのデベロッパーツールで確認する。F12キー→Consoleタブを開く)
「Mixed Content」と表示されているところのページ・画像などを修正する。

このブログでは、「enhanced categories」のプラグインが原因でエラーが発生していたので、このプラグインを停止して、普通のカテゴリーを使うことにしました。

あと、アフィリエイトタグにもいくつかエラーが発生していたため、これらも修正しておきました。
面倒くさいので、こちらのページに載っていたコードを、functions.phpのファイルにそのままコピペさせてもらいました。
WordpressサイトをHTTPS化した時に必要となる内部リンクURLや、画像・iframeの手軽なSSL対応方法の紹介です。Wordpressで、the_contentをフックしてコンテンツ表示前に置換して表示させる方法です。

外観→テーマエディター→(テーマファイルの)function.phpを選択する。

※ちなみにfunctions.phpをいじったら、コピペをしそこねたところがあったためにエラーが発生し、サイトが表示されなくなってめっちゃ焦りました!!
functions.phpファイルを編集するときは、サーバーにすぐアクセスできる状態(ftpが使える状態)にしてから修正をすること!

(2019年4月追記)
過去ログをチェックしていると、特に古いページでは、!マークのついたページ(常時SSL化されていないページ)が多かったです。
特に、「img border=”0″ width=”1″ height=”1″ src=”http://www11.a8.net/0.gif?〜」のようなところは見落としやすいので注意が必要です。
(上のfunctions.phpファイルへのコピペでは、変換されていないようでした。)

search regexを使って、「src=”http://」で始まるものがないかどうかをチェックするようにするといいでしょう。

参考:
10年間運営されてきた自分の Blog を SSL 対応させるにあたって、その手順や、SSL 化したことで修正をしなければならなくなって大変だった点などを簡単にまとめてみようと思います。

⑦Google Analytics、Search Consoleの設定変更

こちらの設定もお忘れなく。
Google Analyticsは、「プロパティの設定」と、「ビューの設定」の2か所を変更。
Search Consoleは、「プロパティを追加」と、「サイトマップの送信」です。
(サイトマップを送信してから約2日くらいで、https://の方がインデックスされます。)

参考:
常時SSL化をしたら、忘れず設定しておきたいツールの変更方法の手順をご紹介します。

サイトをhttps化した後に行うGoogleアナリティクスの設定変更方法をご紹介します。また、httpsとhttpが混在しているサイトの場合の設定方法もご説明します。もはやWebサイトのhttps化は必須事項なので、しっかりと理解しましょう!


ここまでやったところで、(ほぼ)SSL対応はできたかなと思います(もしかしたら細々としたエラーはまだあるかもしれないが)。
作業開始からここまでで、おおむね2時間くらいかかりました。

案外簡単にできたような気もするし(ヒヤッとしたのはfunctions.phpでエラーが発生したところだけ)、でもやるんだったら、ちゃんと下準備をしてからじゃないと、意外なところで時間がかかってしまったり、思わぬエラーが発生してものすごく焦ります。

なので、SSL化をする際には、
事前に段取りをきちんと決めておくこと。
何かエラーが起きた時に備えて、すぐにサーバーへアクセスができる状態にしておくこと。
データベースやファイルのバックアップを取っておくこと(エラーが発生してもあせらないこと)
が大事だと思います。

★参考:おすすめレンタルサーバー各社



独自SSLが無料!クラウド型高速レンタルサーバーが月額126円(税抜)から!スターサーバー


月額900円(税抜)から、高速・多機能・高安定レンタルサーバー『エックスサーバー』


月額480円からの高速LiteSpeed採用クラウドレンタルサーバー


月額480円・超高速・高機能クラウド型レンタルサーバー【ColorfulBox】

スポンサーリンク

この記事をSNSでシェアする

SNSで@30shikakuronをフォローする

★管理人がこれまでに取得した資格→取得資格一覧 




スポンサーリンク

コメント

  1. 88_73 より:

    SSLは現在、その上位互換にあるTLS方式が主流になりつつあるようですね。
    難しいことはさておき、少しずつ自宅サーバーの可能性を探るべく、設定をいじってみてます。(とりあえず空白のトップページを作って、SSL証明書作ったまでです。)
    あとは外部からのアクセス権を制限する設定を入れたりと、気が遠くなるような.htaccessの面倒くさい設定が続くようですので、応用情報の合間を縫っていじってみたいと思っています。

    セキュリティ対策に詰んで、心が折れそうになってきたら、レンタルサーバーを検討しているかもしれません(汗)。

    • miwa@管理人 より:

      >88_73さん
      自宅サーバーの導入ですか!
      自分としては、SSL導入とかそれ以前にサーバーそのものの物理的なメンテナンスが面倒くさそうなので、サーバーはレンタル派ですね。
      blogはこの1つだけしか運営していないですし、多分その方が楽かなぁと。
      でも自宅で運営するとなると、ネットワークとセキュリティに関する知識はすごく勉強になるのかなと思います。

  2. シーラ より:

    時代の流れですねえ。Googleが強引気味にやってくれたおかげで普及が進んでいます。とても良い傾向だと思います。勤務先でも、以前はだれも必要性を理解できてなかったのに、Googleの方針ですと言っただけで話が進みましたw
    自宅のNASと外部との通信だけはHTTPSにしてます。勝手に発行したなんちゃって証明書ですけど。ウェブサイト運営してないので暗号化目的だけのこれで充分かなと。

    もし自分でサイト運営してたら、EV SSLで緑色のバーがいいなあ。もうちょい安くならないかと思うけど。

    • miwa@管理人 より:

      シーラさん
      このブログはECサイトじゃないとはいえ、ブラウザのアドレスバーのところに「保護されていません」って表示されていたら、やっぱりあまりいい気はしないですよ…。
      なんちゃって証明書(笑)まぁ私のところの常時SSL化も、無料でできるやつなので…申し訳程度だとは思いますがね。
      EVSSL証明書はたしかに、ある程度の規模の企業であれば必須なのでしょうけど、個人ブログで導入するには高すぎますね!