意外と簡単じゃなかった!WordPressサイトの常時SSL化の手順

SSL化のメリット

SSL(Secure Socket Layer)はインターネット上で情報を暗号化して送受信できる仕組みで、認証局(CA:Certification Authority)である電子証明書取扱会社から独自SSL証明書を購入し、WEBサーバーにインストールすることで利用できます。

  1. 認証局(CA)が発行したSSLサーバー証明書を返すことで信頼できるサイトであると証明。
  2. 公開鍵暗号化方式による暗号化通信による情報流出防止。

個人情報の扱いが慎重にならざるを得ない昨今、最低でもお問い合わせフォームはSSL化しようとも考えていましたが、今回Googleからインデックス登録においてHTTPSを優先的に登録するアナウンスが出たことにより、ロリポップの運営会社であるGMOが電子商取引認証局事業をやっていることもあり、そのまま乗っかることにしました。

お問い合わせフォームからの入力データは暗号化により保護されますが、その他のコンテンツ部分が今回のSSL化によってどれだけ恩恵をこうむるかは正直見えていませんが、少なくとも「怪しいサイトではありません」という、訪問者の心理的ハードルを多少下げるという効果はあるかもしれません。

WordPressサイトのSSL化手順

今回は全ページのSSL化(常時SSL化)をロリポップのスタンダードプランで行ないますが、まずはGMOグローバルサインが提供するクイック認証SLLの証明書を購入することになります。

費用は年間21,600円で月額1,667円で、格安SSLに比べると割高ですが、ロリポップは他社で取得した独自SLL証明書を使うことができないので、選択の余地なし、海外の格安SLLに比べて安心料とだと割り切ります。

リンクのチェックなどをどこまでやるかは個人差があると思いますが、僕が割りと丁寧に作業したときの所要時間を記載しておきます。

独自SLL証明書を購入(25分)

GMOグローバルサインに申し込んでからわずか20分は発行完了。当サイトのドメイン内のすべての内部リンクでhttpとhttpsの両方でアクセスできる状態になります。

WordPress本体の内部リンク変更(10分)

WordPressダッシュボードの「設定>一般」から「WordPressのアドレス」と「サイトのアドレス」の頭をhttpからhttpsに変更します。

その他の内部リンク変更(1時間)

投稿やページに記載したhttpリンクはSearch Regexというプラグインで一括更新します。

テーマファイルに直接記載したURLやウィジェット、またテーマが独自に装備する「初期設定」や「CTA設定」中にあるURLの頭をhttpからhttpsに変更します。

僕は「ユーザー」の自分のプロフィールのオリジナルアバター画像URLを修正していなかったので、すべての投稿ページにhttpsに鍵マークがつかずハマりました。

robots.txtでボットへのサイトマップ通知を記述している場合には、忘れずにhttpsに修正します。

ソーシャルやGoogle Analytics、WEBマスターツールなど外部ツールの修正(1時間)

ある意味ここが一番面倒なところで、僕の場合は以下のSNSやツールにhttpリンクが設定してありましたが、おそらく今後もいくつか発覚すると思います。

  • Twitter
  • Facebook
  • IFTTT
  • Google Analytics
  • Google Search Console
  • 検索順位チェックツール

301リダイレクト(10分)

「WordPressのアドレス」が指すフォルダにある.htaccessファイルのWordPressが自動生成するmod_rewriteの直前に、以下の301リダイレクトを追加します。

ちなみに当サイトは./blogというサブディレクトリ以下にもWordPressがインストールしてあるマルチサイトなので、ここにある.htaccessにも同じように301リダイレクトの記述を追加します。

リンク切れチェックとリンクが正しいかの目検(30分)

リンク切れはBroken Link Checkerという有名プラグインでチェックしますが、リンクが正しいかどうかの最終チェックは目検になります。

こんな投稿も読まれています