WP-Search
キーワードコンソール
SEOキーワードツール
この記事では、WordPressプラグイン「Really Simple SSL(リアリー シンプル エスエスエル)」の初期設定と使い方を、画像を用いてわかりやすくご紹介します。
WordPress(ワードプレス)を簡単にSSL化(https化)するためにインストールするプラグインです。
.htaccessを編集せずにSSL化ができるので、「Really Simple SSL」は初心者におすすめです。
よくわからないまま設定すると、ログインできなくなります。
なるほど!注意します。
ログインできないとき、SSL化がうまくいかないときの復旧方法についても記載しています。
この記事を最後まで読めば、WordPress(ワードプレス)でSSL化がすぐ完了します。
ぜひ最後まで進めてみてください。
すでに途中まで進めている人は、目次から該当箇所に飛ぶこともできます。
「Really Simple SSL」は、SSL化が簡単にできるプラグインです。
既存のWordPressサイト(ブログ)をSSL化する場合にもよく使われます。
上記の機能は無料で使うことができ、プロ版(有料版)でのみ使えるプレミアム機能は必要ありません。
プレミアム機能では、HSTSなどのHTTPセキュリティヘッダーを設定することができますが、通常はそこまでやりません。
プレミアム機能を利用しないと「作業待ち」の表示が残りますが、特に問題ありません。
SSLとは、サーバーとクライアント(ブラウザなど)が暗号通信を行う仕組みです。
Secure Socket Layer(セキュアソケットレイヤー)の略称で、データの改ざんやなりすましの防止に役立ちます。
SEO(検索エンジン最適化)でも重要になるため、必ずサイト・ブログのSSL化を行いましょう。
HTTPとは、SSL化(暗号化)されていない非暗号通信で、安全ではありません。
HTTPSとは、証明書によって暗号化(SSL化)されている暗号通信で、安全(Secure)な状態です。
サイト・ブログのSSL化は、意外と複雑な作業です。
サーバー側でサーバー証明書を発行
サーバー側で.htaccessファイルを編集(サーバーによっては作業不要)
WordPress一般設定でWordPressアドレスとサイトアドレスをhttpsに変更(サーバーによっては作業不要)
コンテンツ内のhttpリンクをhttpsリンクに変換(既存サイトのSSL化の場合)
STEP2〜4までの作業を簡略化できるのが「Really Simple SSL」です。
新規サイト・ブログであれば、http→httpsのリダイレクトがされるかどうかが必要/不要の判断ポイントです。
レンタルサーバーの種類やWordPressのインストール方法によっては、最初http→httpsのリダイレクト(転送)がされません。
トップページがリダイレクトされても、個別ページはリダイレクトされなかったりするため、自分のサイトがリダイレクトされるか一度試してみる必要があります。
レンタルサーバーの公式マニュアルでは、トップページのリダイレクト設定しか解説されていないことがよくあります。
トップページ
> http://ドメイン名/
個別ページ(例)
> http://ドメイン名/hello-world/
「https://」にリダイレクト(転送)されない場合、ブラウザで「保護されていない通信」「セキュリティ保護なし」「安全ではありません」などと警告されます。
http→httpsのリダイレクト(転送)がされないと、以下の問題があります。
全ページでhttp→httpsのリダイレクトされる場合は、「Really Simple SSL」のインストール・有効化は必要ありません。
http→httpsにリダイレクトされないページがある場合は「Really Simple SSL」を導入しましょう。
さくらのレンタルサーバ
さくらインターネットの独自プラグインをご利用ください。
SSL化プラグインとして「SSL Insecure Content Fixer」も有名ですが、初心者向けではありません。
ある程度技術がわかる人であれば、「Really Simple SSL」プラグインは必要ありません。
ここでは、「Really Simple SSL」プラグインを使用しない場合に、どのような作業が必要か、簡単に触れておきます。
作業を開始する前に、サーバーでバックアップを取得しておくことをおすすめします。
「Really Simple SSL」の使用有無に関わらず、サーバーパネルでSSL証明書の発行作業(SSL設定)を行います。
WordPressインストールと同時にSSL設定(証明書発行)が完了するレンタルサーバーもあります。
やり方は「サービス名 SSL化」などで検索してみてください。
レンタルサーバーの管理画面などから、.htaccess
ファイルの一番上に、以下のような記述を追加します。
# BEGIN HTTP Redirect
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
# END HTTP Redirect
レンタルサーバーの管理画面に.htaccess編集機能がない場合は、ファイルマネージャーやFTPソフトから直接.htaccess
ファイルを編集します。
やり方は「サービス名 .htaccess編集」などで検索してみてください。
WordPress(ワードプレス)管理画面にログインして、[設定]→[一般設定]を開きます。
WordPress アドレスとサイトアドレスをhttp→httpsに変更して、ページ下部の[変更を保存]をクリックします。
設定項目 | 説明 |
---|---|
WordPress アドレス (URL) | WordPressがインストールされているURL |
サイトアドレス (URL) | サイトにアクセスするためのURL |
サーバーのSSL設定(SSL証明書の発行作業)の前に実施すると、サイトにアクセスできなくなる場合があります。
WordPressインストールと同時にWordPress アドレスとサイトアドレスの設定が完了するレンタルサーバーもあります。
混合コンテンツ(Mixed Content・ミックスコンテンツ)とは、HTTPSサイト内に混在しているHTTPコンテンツのことです。
例えば、SSL化する前にアップロードした画像・動画などがあると、混合コンテンツ(Mixed Content)になります。
プラグインで置換する場合
検索・置換プラグイン「Search Regex」などで「http://」を検索して、内部リンクなど必要な箇所のみ「https://」に変換します。
このやり方は、作業をミスるとデータベースが壊れてしまい、サイトにアクセスできなくなる恐れがあります。
手動で変換する場合
ブラウザで「保護されていない通信」「セキュリティ保護なし」「安全ではありません」と表示されるページを探します。
Chromeなどのデベロッパーツールを開き、コンソールエラーから混合コンテンツ(http://)を探します。
混合コンテンツ(Mixed Content)が見つかったら、WordPress管理画面から修正を行います。
自信がない人は「Really Simple SSL」を使いましょう。
WordPress(ワードプレス)の管理画面から「Really Simple SSL」プラグインをインストールします。
プラグインを有効化したら表示される[SSL を有効化]ボタンをクリックしたら、SSL化は完了です。
SSL化した後は、細かい設定を確認しておきましょう。
作業を開始する前に、サーバーでバックアップを取得しておくことをおすすめします。
WordPress(ワードプレス)にログインしたら、左メニューの[プラグイン]→[新規追加]をクリックして、[プラグインの検索]をします。
「Really Simple SSL」を検索して、[今すぐインストール]した後に[有効化]します。
以上で、SSL対応プラグイン「Really Simple SSL」のインストール・有効化は完了です。
続けてSSLの有効化を行います。
「Really Simple SSL」を有効化したら、以下のような画面になります。
[SSL を有効化]をクリックします。
サーバーのSSL証明書の準備が完了していない場合、以下のようなエラーが表示されます。
サーバー側の設定が完了しているか確認をしてください。
サイトURLが「http://」から「https://」に変わるため、自動的にログアウトします。
再度WordPressにログインしてください。
ログインすると、SSL設定が完了しています。
右上の[×]ボタンでメッセージを閉じてください。
この時点で、http→httpsリダイレクトがすでに開始しており、サイト・ブログのSSL化が完了しています。
ダッシュボードを見るとまだ作業状況が途中かのように表示されます。
気にせず、[設定]タブをクリックして設定画面を開きます。
有料版(プロ版・プレミアム)を契約しないと、進行状況は 100% になりません。
プレミアム機能を利用しないと「作業待ち」の表示が残りますが、特に問題ありません。
[全般]設定が開くので、[Notifications by email]をOFF、[Dismiss all notifications]をONに変更して、下部の[保存]をクリックします。
重要度 | 設定項目 | 説明 |
---|---|---|
高 | 転送方法 | 301 PHP 転送(.htaccess変更なし) → 初心者向けの設定 301 .htaccess redirect(.htaccess変更あり) → 上級者向けの設定 |
高 | 混合コンテンツ修正機能 | 内部リンクをhttpsに書き換え設定 → SEO対策のためONのまま |
低 | – init のフック | フックの変更 → 問題発生時に切り替え |
低 | – バックエンド | 参照の書き換え → 問題発生時に切り替え |
中 | Notifications by email | メール通知 → SSL機能だけ使用するならOFFに変更 |
中 | Dismiss all notifications | 管理画面通知 → いつまでも通知が残るのでONに変更 |
低 | システムの状態 | ダウンロード → サポート用 |
低 | プラグイン削除時にすべてのデータを削除 | データ削除 → 完全にアンインストールしたい場合 |
混合コンテンツ修正機能では、httpの外部リンクは、httpsに書き換えられません。
外部サイトがSSL(https)対応していないのに、リンクをhttpsに書き換えてしまうと、アクセスできなくなってしまうからです。
SSL化済みの内部リンクが、httpからhttpsからに書き換えられます。
301 PHP 転送は、各ページのPHPファイルを変更してリダイレクトする方法です。
一旦ページを読み込んでからリダイレクトされるため、キャッシュ機能の影響を受けたり、ページ表示速度の遅れにつながります。(SEO懸念)
301 .htaccess 転送は、サーバーの.htaccessファイルを変更してリダイレクトする方法です。
各ページを読み込む前にリダイレクトされるため、SEO的に多少有利ですが、サイトにアクセスできなくなる可能性が高くなります。(不具合懸念)
比較項目 | 301 PHP 転送 | 301 .htaccess 転送 |
---|---|---|
変更ファイル | PHPファイル | .htaccessファイル |
簡単さ | ○ | × |
アクセス障害の少なさ(.htaccess不要) | ○ | × |
キャッシュ機能との相性 | × | ○ |
ページ読み込み速度(SEO) | × | ○ |
初心者は「301 PHP 転送」にしておきましょう。
堅牢化とは、セキュリティ機能のことです。
テーマやプラグインなどで不具合が報告されているため、基本的にすべてOFFを推奨します。
セキュリティ機能は専門のセキュリティプラグインにまとめてしまいましょう。
[堅牢化]設定を開いたら、[誰でも登録可能を無効化]と[ディレクトリ参照を無効化]をOFFにして、下部の[保存]をクリックします。
重要度 | 設定項目 | 説明 |
---|---|---|
中 | 「誰でも登録可能」を無効化 | [設定]→[一般]→[だれでもユーザー登録ができるようにする] → あまり意味がないためOFFに変更 |
低 | 組み込みのファイルエディターを無効化 | テーマエディターなどを無効化 → 編集できなくなる |
低 | 共用の uploads フォルダー内でのコード実行を防止 | ファイル実行防止 → 不具合の可能性あり |
低 | WordPress のバージョンを隠す | バージョン情報がばれない → XO Securityで対応可能 |
低 | Prevent login feedback | ユーザー有無がばれない → XO Security、SiteGuardで対応可能 |
中 | ディレクトリ参照を無効化 | ブラウザでディレクトリの表示無効化 → OFFに変更 |
低 | ユーザー列挙を無効化 | authorリダイレクト無効化 → 不具合の可能性あり |
低 | Block the username ‘admin’ | adminユーザーをブロック → 気休め程度 |
低 | XML-RPC を無効化 | ピンバック以外も無効化 → XO Security、SiteGuardで対応可能 |
低 | ログインと表示名が同じユーザーの登録を禁止 | ログインIDを隠す → もし同じ人はプロフィールで変更 |
堅牢化設定を変更して保存しても、設定が保存されない場合があるようです。
その場合は、仕方ないのでOFFの設定だけOFFのままにしておきましょう。
[堅牢化]→[ユーザー列挙]などをONにすると、不具合が発生する場合があります。
「このサイトはユーザー列挙攻撃に対して脆弱です。」などと表示されるかもしれませんが、セキュリティ機能は別途専門のセキュリティプラグインを導入することをおすすめします。
以上で、SSL対応プラグイン「Really Simple SSL」の設定は完了です。
SSL化の作業が完了したら、自分のサイトがリダイレクトされるか一度試してみましょう。
トップページ
> http://ドメイン名/
個別ページ
> http://ドメイン名/hello-world/
「https://」にリダイレクト(転送)されて、ブラウザにマークが表示されていれば問題ありません。
サーバー証明書の設定含めて問題ないか確認できるSSLチェックサイトがあります。
自分のサイトURLを入力して、接続結果(チェック結果)に「異常」がないか確認しましょう。
接続結果(チェック結果)が「正常」と表示されれば問題ありません。
SSL化を行なったあと、管理画面にログインできなくなることがあります。
これには、いくつかの原因が考えられます。
リダイレクトループの場合、「リダイレクトが繰り返し行われました」「ページの自動転送設定が正しくありません」「リダイレクトが繰り返し行われました」などと表示されます。
やり方を忘れそうな人は、本ページをブックマークしておきましょう。
まずCookie(クッキー)やキャッシュをクリアするか、別のブラウザでアクセスしてみてください。
それでもアクセス・ログインできない場合は、以下をお試しください。
FTPソフトやレンタルサーバーのファイルマネージャーでサーバーディレクトリにアクセスします。
/public_html/サイト/wp-content/plugins/xo-security/
の「force-deactivate.txt」を「force-deactivate.php」に変更します。
/サイト/public_html/wp-content/plugins/xo-security/
などの場合もあります。
「http://ドメイン名/wp-content/plugins/really-simple-ssl/force-deactivate.php」にブラウザでアクセスします。
プラグインが無効化されるため、「http://ドメイン名/wp-admin/」にアクセスできるはずです。
ログインできたら、再度サーバーのSSL設定から見直してみましょう。
画面が変わらない場合は、Cookie(クッキー)やキャッシュをクリアするか、別のブラウザでアクセスしてみてください。
さくらのレンタルサーバ
さくらインターネットの独自プラグインをご利用ください。
サーバー側でSSL設定の反映が終わっていない場合、「この接続ではプライバシーが保護されません」などのようなブラウザ画面になります。
反映まで待つか、[詳細設定]からアクセスできます。(画像はChromeブラウザの場合)
SSL化が完了したはずなのに、ブラウザで「保護されていない通信」「セキュリティ保護なし」「安全ではありません」と表示されることがあります。
これには、いくつかの原因が考えられます。
ブラウザにキャッシュが残っていると、SSL化が完了する前のデータにアクセスしてしまいます。
Cookie(クッキー)やキャッシュをクリアしたり、別のブラウザでアクセスしたりしてみてください。
http→httpsリダイレクトがうまく設定されていないと、「http://」にアクセスしてしまいます。
トップページはリダイレクトされても、個別ページはリダイレクトされないこともあります。
対処法は、本ページを参考に「Really Simple SSL」プラグインをインストールすると簡単です。
SSL化する前にアップロードした画像などの混合コンテンツ(Mixed Content)が残っていると、「https://」にアクセスしても「保護されていない通信」と警告されます。
すべてのページではなく、特定のページでのみ表示されることもあります。
対処法は、本ページを参考に「Really Simple SSL」プラグインをインストールすると簡単です。
混合コンテンツ(Mixed Content)が残っていると、「保護されていない通信」「安全でない通信」と警告されるだけでなく、画像や動画が表示されなくなります。
これは、ブラウザのセキュリティ機能によるものです。
対処法は、本ページを参考に「Really Simple SSL」プラグインをインストールすると簡単です。
混合コンテンツ(Mixed Content)は、画像や動画だけでなく、CSSやJavaScriptなどの読み込みにも影響します。
そのため、サイトのデザインが崩れたり、スクリプトを使った機能が動かなくなります。
対処法は、本ページを参考に「Really Simple SSL」プラグインをインストールすると簡単です。
既存サイト・ブログをSSL化した場合、登録済みのサイトURL設定を変更する必要があります。
既存サイト・ブログをSSL化した場合、登録済みのサイトURL設定を変更する必要があります。
WordPress管理画面の[ユーザー]→[プロフィール]のサイトURLを変更します。
自分で修正できる場合は、ログインしてサイトURLを変更します。
自分で修正できない場合は、掲載元にサイトURLの修正依頼を出します。
プラグイン「Really Simple SSL」の初期設定と管理画面にログインできなくなったときの復旧方法を見てきました。
設定自体は簡単ですが、よく理解していないと後で痛い目にあいます。
危ないところでした。
WordPress(ワードプレス)で最初に入れるその他の基本プラグインは、以下を参考にしてください。
WordPress(ワードプレス)の初期設定がまだの場合は、以下を参考にしてください。
コメント
コメント一覧 (6件)
suya様、いつも役立つ記事を届けていただき、ありがとうございます。
現在サイトを準備中で、こちらの推奨プラグインを導入し終わったところです。
ただ、最後に導入したReally Simple SSLで、以下の2点がどうしてもわからず困っています。
よろしければ教えてください。お願いします。
1 SSLの設定画面が本記事掲載の画像とは違うものが表示されます。項目が全部違って、例えば
「混在コンテンツ修正機能 – init のフック」
「混在コンテンツ修正機能 – バックエンド」
「Notifications by email」
などが表示されます。
私は設定方法などを間違えたのでしょうか。問題があるかを教えていただけますか。
2 堅牢化の「ユーザー列挙を無効化」をオンにしないと、警告がでます。XO
Securityを入れていますが、オンにしても良いでしょうか(それでも作業状況は44%なのですが)。
*リダイレクトの確認とSSLテストは問題ありませんでした。
お忙しいところ申し訳ありませんが、教えていただけると助かります。
よろしくお願い致します。
やのりか様
コメントありがとうございます。
画面が変わっていましたので記事を更新しました。
> 堅牢化の「ユーザー列挙を無効化」をオンにしないと、警告がでます。
これはどのような警告でしょうか?
「ユーザー列挙を無効化」は不具合が報告されているためOFFのままを推奨します。
作業状況が100%にならなくても基本的に問題ありません。
suya様
早速のご返事ありがとうございます。
おかげさまで更新記事を参考に、私も設定を修正することができました。
警告はこの記事の 3)プラグイン「Really Simple SSL」の全般設定 で最初に添付してある画像画面と同じものです。ダッシュボード↓作業状況↓パーセンテージ↓「このサイトはユーザー列挙攻撃に対して脆弱です」という部分(伝わりますか?)。
しかし、今回新しい記事に従って設定したところ、ユーザー列挙無効化をオフにしても上記のようにはなりませんでした。多分私が自己判断でやった項目のオンオフの兼ね合いが悪かったのだと思います。
関係ないのでしょうが、作業状況も70%になり気持ち的にホッとしております(知識がないので、なんとなく不安になるのだと思います)。
本当にありがとうございました。おかげでとても助かりました。
今後もいろいろこちらのサイトを参考にさせていただきたいと思います。
やのりか様
設定できたようでよかったです。
参考になりましたら幸いです。
今後ともマニュオンをよろしくお願いいたします。
Really Simple SSL をインストールしたらログインできなくなり非常に困っています。
どうすればいいでしょうか?上記記事をみてできる限りやりましたが、全然できません・・・
いただいた情報だけでは何が原因かわかりません。
SSL化はサーバー側でも作業が必要ですので、一度サーバー会社にお問い合わせされてはいかがでしょうか。