メリットしかない?WordPressのSSL化とその方法
2016.08.30
インターネットのSSL化の流れ
普段何気なく利用しているインターネットですが、その通信方法は大きく2つに分かれています。
Googleは2014年にhttpsを優遇すると発表し、同じ順位のページであればhttpsを優遇する事は明らかとなりました。
今年(2016年4月現在)にYahoo! Japanはサービス全体を2017年3月までに順次SSLにしていくと発表しました。
また国内の大手レンタルサーバーのエックスサーバー(XServer)は6月30日から独自ドメインのSSLを無料対応をして話題になりました。
もしあなたがウェブサイトの担当者であれば、「当然お問合せフォームくらいはSSLにしなければ」と思っているかもしれません。しかし、これからサイトを立ち上げる、あるいはリニューアルをする場合に常時SSLにした方が構築のコスト的にも将来的にも有利になります。
この記事ではWordPressでコーポレートサイトやユーザーが情報を入力するようなサービスサイトを構築する上で、もはや避けて通れなくなったSSLの導入方法や移行方法の注意点を解説します。
SSL、HTTPS、証明書とは
そもそもSSLとはなんでしょうか。SSL(Secure Sockets Layer)とはインターネット上で通信を暗号化する技術で、ネットを利用したやり取りの盗聴や改ざんを防ぐ事ができる技術です。実はSSLはバージョンを重ねて3.0となった時にTLS(Transport Layer Security)と名称が変わりましたが、知名度の考慮され、SSL/TLSと併記したりそのままSSLとしても通用するようになっています。
例えばネットで買い物をする時にカード番号や住所、生年月日を入れるかと思いますが、これを盗聴されてしまったらどうなるでしょうか。考えただけでも恐ろしいですよね。SSLはこのような大事な情報を傍受される事を防いでくれる技術なのです。
そしてHTTPS(HTTP over SSL)とはSSLで暗号化されたHTTPの事でウェブブラウザとサーバー間でやりとりするための通信方法です。
ブラウザのURLを情報を見てみると、httpやhttpsと書いてあり、そのあとにサーバーのURLが続くので気が付いていいる方も多いと思います。
サイトのURLをHTTPSにするには、サイト証明書が必要になります。
サイト証明書は自分のサーバーのURLがサーバー所有者の物であるという証明になり、悪意のあるサイトのなりすましを防ぎます。この証明書は第三者の期間に証明してもらわなくてはなりません。
サイト証明書の発行にかかる費用はピンキリです。値段が高ければより信頼性があるかといえば残念ながらそうではありませんが、一番高いSymantecのSSL(ベリサイン)証明書では電話等で本当に存在する会社なのか確認が入ります。
以下は代表的な証明書発行業者と1サイトの一番安いプランの金額の目安です。この金額は代理店や取得時期によって変わります。どの代理店で取得しても内容は一緒なのでよく調べてから取得するようにしましょう。
ベリサイン(Symantec) | 約80,000円/年 |
Global Sign | 20,000〰50,000円/年 |
Rapid SSL | 1,000円 〰 3,000円/年 |
HTTPS化するメリット・デメリット
サイト訪問者にとってはメリットがある事はわかりました。しかし運用する側にとってデメリットはないのでしょうか?
以下に運営側にとってのメリットとデメリットをまとめました。
メリット
- サイト訪問者の信頼性が高くなる
- 暗号化により盗聴の心配を軽減できる
- 速度が速くなる
- SEO的に有利になる
デメリット
- SSL用証明書の費用がかかる
- さらに毎年の証明書用の更新が面倒
要するにサイト運営側にとっては、ひと手間増えてしまうのです。
常時SSLか部分的SSLか
サイトを構築する際には、常時SSLとはサイトとブラウザのすべてのやりとりを暗号化して行います。これにより、盗聴行為が不可能になり、より安全なサイト運営が可能になります。
部分的SSLはお問い合わせページや決済ページなどで個人情報を入力する際に暗号化を行う方法です。以前はhttpsによる暗号化通信はサーバー側の負担や通信料の増加になるので、ページの表示が遅くなるという事もあり個人情報を入力する送信フォームのみSSL対応するという事がありましたが、もはやそのような事は過去になり、逆にHTTPSの方が速いのです。
それでは常時SSL化をした場合デメリットはあるのでしょうか。
- 既に運用している場合、広告やチラシ、名刺等のURLを変更する必要がある
ただしこれは リダイレクト等をする事により、http から httpsへの誘導を機械的にする事ができきます。 - 証明書の期限が切れた場合、トップをはじめすべてのページで警告がでて、最悪サイトが閲覧できなくなります
WordPressでのSSLの利用
もしWordPressで常時httpsでの運用する場合、得にプラグインに頼る必要はありません。下記の画像のように管理画面から「設定」> 「一般」の設定画面でWordPressさドレス(URL)とサイトアドレス(URL)を http から httpsに変更するだけです。
最初からサイトを立ち上げるようでしたら、そのまま構築していけばよいのですが、もしhttpで運用していたとすると、httpsに変更するのに、サイトの引っ越し、URL変更と同等の作業が必要になってきます。
- テーマファイルを中のコード確認し、httpを使っている所がないかをチェックし、httpsに変更します。
- サイト内のコンテンツの内部リンクをhttpsに変更します。これはSearch Regexを用いて一度に置換するとよいでしょう
- Google AnalyticsやGoogle search Cosorl等の外部サービスにURLを設定をhttpsに変更します
以上で常時SSLにする事ができました。
プラグインWordPress HTTPSのご紹介
では、入力フォームのページや、ログイン画面のみといった一部のページのみSSL化したい場合にはどのようにすれば良いでしょうか。本来であれば、各テンプレートやコンテンツ内の内部リンクを手動で httpから httpsへと変更していくところですが、グローバルメニューを管理画面から自動で表示していたりすると厄介になります。
このような厄介な事を解決してくれるプラグインとしてWordPress HTTPSをご紹介します。
先ずはプラグインの新規追加の文字検索で「WordPress HTTPS」と入れ、リターンを入れます。下記の候補にアイコンが表示されますので、「インストール」ボタンをクリックします。無事インストールすると有効化のボタンに変わりますので、有効化ボタンをクリックします。
- SSL Host: ホスト名を入力します。
- Force SSL Administration: 管理画面を強制的にSSL化する場合にチェックを入れます
- Force SSL Exclusively: SSL化したい対象ページにhttpでアクセスされた時にHTTPSに飛ばす時にチェックします
次にSSL化したい投稿記事、または固定ページの編集画面で、右下に下記ブロックが表示されます。「Secure post」の項目にチェックを入れ、ページを保存します。
これで指定したページのみがhttpsで通信できるようになりました。
まとめ
これからはSSLがサイトに必須となる事、導入はそれほど難しくなく、コストもあまりかからない事がわかっていただけたかと思います。あなたが担当するウェブサイトも是非SSLの導入を検討してみてはいかがでしょうか。