\r\n\r\n
2018年7月現在、GoogleはGoogle Chromeを使用してアクセスする人に対して、あなたのサイトを「安全でない」とマークするようになりました。トラフィックを失いたくない場合は、サイトにSSLを設定し、HTTPSプロトコルでアクセスできるようにするのが一番です。
さあ、いよいよセットアップです。
注:SSL証明書のインストールが「成功」しても、あなたのサイトが「安全でない」と思うかもしれません - この文書の最後にあるトラブルシューティングのヒントを参照してください。
Google の開発者向けブログによると、Web サイトで HTTPS を有効にすると、データの整合性が保護されるだけでなく、多くの新しいブラウザの機能でも HTTPS が必要になるとのことです。それだけでなく、訪問者があなたのサイトを訪れる際の安心感にもつながります。これらは、サイトがSSL証明書を必要とする重要な理由です。
最近、ChromeでWebサイトを開くと、URLの前に大きく醜い「安全ではありません」というメッセージが表示されることがあります。
せっかく時間と労力をかけて、訪問者のために素晴らしいウェブサイトを開発したのに、それは喜ばしいことではありません。
SSL証明書を購入する前に、現在使用しているウェブホストの所在地を確認してください。
SSLはかなり簡単に設定できますが、状況に応じて正しい手順で設定する必要があります。もしあなたのウェブホストがすでに無料のSSLソリューションを提供しているなら、証明書にお金をかける必要はありません。
また、ウェブホストの選択も再考することをお勧めします。
これらは、通常、お客様が選択しなければならないSSL証明書のオプションです。
無料のSSL証明書を提供しているSSLサービスでは、通常、有料の証明書も提供しています。
違いは、ほとんどの無料証明書は、手動で更新する必要があることです。cronジョブでこれを行うこともできますが、これはこの記事の範囲外です。
Let's Encryptのようなサービスを利用している場合、いくつかのウェブホストは、実際にこれらのcronジョブの管理を無料で提供しています。
いずれの方法でも、証明書を注文すると、以下のページが表示されます。証明書と鍵の両方がパッケージの一部です。
暗号化された2つのテキストブロックをコピーし、安全な場所に保存してください。
SSL証明書のインストール方法を説明するほとんどのガイドは、専用IPが必要であることを教えてくれますが、これはより高価な専用ホスティングプランを購入することを意味します。
このようなプランで、アカウントにアクセスすると、専用IPが関連付けられていることがわかります。
複数のウェブサイトが同じサーバーを共有する共有ホスティングプランの場合、あなたのURLで専用IPを持つことはありません。
専用ホスティングプランがないと、SSL証明書をインストールできないということでしょうか。いいえ。SNI(Server Name Indicator)と呼ばれる技術により、現在でもサイトのSSL証明書をインストールすることができます。
共有ホスティングプランをご利用の場合は、お使いのウェブホストがSSL暗号化のためのSNIをサポートしているかどうかをご確認ください。
証明書をインストールするには、cPanelにアクセスして、SSL/TLS Managerをクリックする必要があります。
SSL証明書を管理するためのさまざまなオプションが表示されるはずです。
HTTPS用の初期SSL証明書をインストールする場合は、インストールオプションを選択してください。
証明書をインストールするドメインを選択するオプションが表示されるので、ドロップダウンボックスから正しいドメインを選択します。
次に、証明書購入時にコピーした、暗号化された長い証明書テキストを貼り付けます。
次に、下にスクロールして、証明書を購入したときにコピーした秘密鍵の暗号化されたテキストを貼り付けます。
保存後、WordPressにアクセスし、すべてのキャッシュを更新してください。また、ブラウザのキャッシュをクリアしてください(Ctrl+F5キー)。
サイトのURLの前に「https://」と入力して、もう一度自分のサイトを見てみてください。問題がなければ、サイトURLの前に「safe」ステータスが表示されます。
おめでとうございます!これでSSL証明書が動作し、HTTPSでサイトにアクセスできるようになりました。
でも、まだ終わってないでしょ?もし人々があなたのサイトの古いURLをブラウザに入力しても、安全でないバージョンが表示されることになります。すべてのトラフィックを強制的にHTTPSで送信する必要があります。
実際、お使いのホストは、必要なSSL変更を処理するための管理領域を設定している場合があります。
例えば、Sitegroundでは、Let's EncryptをcPanelに埋め込んでいます。そこでは、HTTPSの設定により、HTTPの強制や外部リンクの書き換えを有効にすることができます。
お使いのウェブホストにこの自動機能がない場合は、手動で行う必要があります。
Webサーバーのルートにある.htaccessファイルを参照し、次の行を含むように編集します。
RewriteCond %{HTTP_HOST} yoursitedomain\.com [NC]RewriteCond %{SERVER_PORT} 80RewriteRule ^(.*)$ https://www.yoursitedomain.com/$1 [R,L]この変更を保存すると、HTTPでサイトにアクセスした人はHTTPSにリダイレクトされます。
この時点で、あなたは自分が自由になったと思うだろう。だが、そうではない。
ウェブサイトは表示されるものの、多くの画像が壊れて表示されるケースが多いようです。
これは、画像にCDNサービスを使用している場合に起こり得ます。これは、すべての画像が安全でないCDNリンクを通じて提供されるからです。HTTPSを使用するようにトラフィックがリダイレクトされるため、これらの画像を読み込むことは不可能です。
この問題を解決するには、2つの方法があります。最も簡単な方法は、ワイルドカードを使用するようにSSL証明書を変更することです。例えば、Let's Encryptを使用している場合、SSL管理ページにワイルドカードを使用するためのオプションが表示されます。
ワイルドカードを使用すると、サイトの任意のサブドメインでSSL証明書を使用することができます。
このオプションを有効にすると、SSLの詳細から証明書、秘密鍵、CAパッケージの暗号文が取得できます。
以下の例では、MaxCDNを使用しています。サイトエリアを管理できるエリアに、SSLオプションがあるはずです。
ここで、SSL証明書と秘密鍵を貼り付けるフィールドが表示されます。
cPanelにあらかじめ貼り付けておいた暗号化されたテキストを使用します。
保存すると、画像がすべてサイトに正しく読み込まれるはずです。
ワイルドカードオプションを提供していないSSLサービスを使用している場合、実際にはCDNイメージアセット用に2つ目のSSL証明書を購入し、上記の手順でインストールする必要があります。
SSL証明書を有効にしてHTTPSを強制する以外に何もしていない場合、「Not Secure」エラーが表示されることがあります。
これは、あなたのサイトがHTTPSで読み込まれたときにも表示されます。この問題の最も一般的な原因は、あなたのサイトにまだ安全でないリンクがたくさんあることです。これは、通常、サイドバー、ヘッダー、フッターにあるリンクが原因です。
WordPressにアクセスして、すべてのヘッダーとフッターのコード、およびサイドバーのウィジェットをご覧ください。GravatarやFacebookなどのサービスへのリンクを探します。
これらのリンクは、「http」の代わりに「https」を使用するように変更してください。
完了したら、すべてのキャッシュをクリアして、サイトを再読み込みします。この時点ですべての問題が解決され、あなたのサイトは完全に安全になりました。
検索エンジン最適化のためとはいえ、実は、パケットスニッフィングによるハッキングから訪問者を守るためでもあるのです。
特に、名前、住所、電話番号、クレジットカードの詳細など、訪問者自身の情報を提供してもらう場合は、この方法が有効です。
個人のホームページの場合、これは十分に重要なことです。しかし、ビジネスを運営しているのであれば、なぜWebサイトのセキュリティがビジネスの成功に重要なのかを理解する必要があります。