WordPressWebサイトのHTTPSとSSLが絶対に不可欠な理由

公開: 2018-06-25

SSL証明書は、Webサイトとエンドユーザー間の接続を暗号化するセキュリティ対策であり、両者を保護するのに役立ちます。 ドメインにインストールすると、プレフィックス「https」がWebアドレスに表示されます。

必須ではありませんが、ライブサーバー上のすべてのWordPressWebサイトにSSL証明書を装着することをお勧めします。 これにより、セキュリティが強化され、ハッカーが個人情報を盗んだり、サイトを破壊したりすることからWebサイトと訪問者を保護し、上記の統計で前述したようにスパムやマルウェアの拡散を防ぐことができます。

この投稿では、WordPressのHTTPSとSSLの詳細、それらを用意することが重要である理由、およびWebサイトにSSL証明書をインストールするための実行可能な手順のリストを共有します。

SSLとHTTPSとは何ですか?

HTTPSは、ブラウザ間でデータを転送するための一連のルールであるハイパーテキスト転送プロトコル(HTTP)の安全な拡張機能です。 HTTPSは、不正アクセスを防ぐためにすべての通信が暗号化されることを意味します。

HTTPSは、ログイン、販売、製品ページ、フォームなどの個人情報を処理するWebサイトをエンコードするためによく使用されます。

Secure Socket Layer(SSL)は、HTTPSが使用するプロトコルの一種です。 ドメインのSSL証明書として購入できます。 ドメインがサイト所有者を所有しており、訪問者とWebサイト間の接続が暗号化されていることを確認します。

WebサイトがSSLを使用している場合、プレフィックス「https」が「http」の代わりにURLに表示されます。 緑の南京錠の記号もアドレスフィールドに表示されます。 セキュリティレベルの高い特定の種類の証明書には、南京錠の横に会社名が含まれています。

SSLを使用した安全なサイトの例。

SSLはStylemixThemesWebサイトで有効になっています。SSL証明書はWebサイトのセキュリティを強化しますが、誰でも基本的な証明書をインストールできるため、Webサイトが正当であるとは限りません。そのため、デューデリジェンスを行って、安全なウェブサイトにアクセスしています。

ただし、Webサイトのアドレスに「https」プレフィックスが含まれているがSSL証明書がインストールされていない場合、最も一般的なブラウザは接続する前に警告をユーザーに通知します。

また、トランスポート層セキュリティ(TLS)は実際にはSSLの前身であり、同じ意味で使用されることが多いことに注意することも重要です。

詳細については、WordPressでのHTTPからHTTPSへの移行の詳細ガイドをご覧ください。

WordPressにSSLが必要な理由

クッキーや、ログイン情報やクレジットカード番号などの個人情報を処理するあらゆる種類のフォームへのアクセスが必要な場合、情報が危険にさらされるのを防ぐために、WordPressのSSLは絶対に不可欠です。

すべてのWordPressサイトもデフォルトでCookieへのアクセスを必要とすることに注意してください。

SSL証明書がないと、WebサイトはSQLインジェクション(SQLI)、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、認証バイパス、ファイルアップロード、その他多くの種類の攻撃に対して脆弱です。 ハッカーは、個人情報を盗んだり、ブラウザ接続を乗っ取ったり、マルウェアやスパムをサイトに挿入したり、その他の方法でアクセスして好きなことをしたりする可能性があります。

SSL証明書を使用すると、ユーザーとユーザーの両方が保護されるだけでなく、サイトとそのユーザー間の信頼を確立するのにも役立ちます。

そのため、2014年にGoogleは、SSL証明書を使用するWebサイトで検索エンジンのランキングが上がると発表しました。

欧州連合も2018年5月に一般データ保護規則を制定しました。新しい法律では、SSL証明書の使用について具体的に言及されていませんが、欧州連合からの訪問者のセキュリティとプライバシーをWebサイトで十分に確保する必要があります。

SSL証明書だけではWordPressサイトのセキュリティを確保するのに十分ではありませんが、それは重要な最初のステップです。

SSL証明書はどのように機能しますか?

WebサイトにSSL証明書がある場合、ブラウザからサーバーに渡されるすべての情報は、人間が読める形式のテキストではなく、ランダムな一連の文字と数字でエンコードされます。

Webサイトの所有者は、認証局(CA)と呼ばれる発行会社からSSL証明書を購入できます。

独自のSSL証明書を取得する手順は次のとおりです。

  1. CAから証明書を購入します。
  2. 名前、電子メール、その他の詳細を含む個人情報を提供します。
  3. 公開鍵と秘密鍵が与えられます。これは、数学的に組み合わされた文字と数字の不可解な文字列です。 これらは、インストールプロセス中にドメインを認証および暗号化するために使用されます。 秘密鍵は秘密にしておく必要があります。
  4. 証明書署名要求(CSR)で以前に提供した詳細とともに公開鍵を送信します。
  5. 情報が一致し、正しい場合、証明書はセキュアハッシュアルゴリズム(SHA)で署名されます。
  6. SSL証明書が発行され、サーバーにインストールできます。

ユーザーがブラウザにURLを入力すると、SSLハンドシェイクが自動的に発生します。

  1. ブラウザはサーバー(WebサーバーまたはWebサイト)に接続し、本人確認を要求します。
  2. サーバーは、公開鍵を含むSSL証明書のコピーを送信します。
  3. ブラウザは、認証局が持っている証明書をチェックし、信頼できることを確認してから、セッションのキーを送り返します。
  4. サーバーは秘密鍵を使用してセッション鍵を復号化し、暗号化されたセッション鍵を返します。
  5. ブラウザとサーバー間のリンクが安全になり、ブラウザとサーバー間を通過するすべてのデータが暗号化されます。

SSL証明書の購入

前述のように、SSL証明書はCAを通じて購入でき、ほとんどのWebサイトホスティング会社は、ホスティングプランで購入できる証明書も持っています。

以下に概説するように、さまざまなWebサイト要件および必要なセキュリティレベルに対応するさまざまなタイプのSSL証明書もあります。

検証レベル

  • ドメイン検証– CAは、組織がWebサイトのドメインを保持していることを確認します。 これは基本的な証明書です。
  • 組織の検証–証明書を保持している組織が調査および認証されます。
  • 拡張検証– CAは、組織のID、法的存在、場所などを確認します。 これは、証明書の最高レベルの検証です。

保護されたドメインの数

  • 単一名SSL–単一のサブドメインまたはホスト名を保護します
  • ワイルドカードSSL–単一ドメインのサブドメインの数に制限はありません
  • 統合/マルチサイト/SANSSL –異なる名前の最大100のドメインを保護します

自己署名証明書と呼ばれる独自のSSL証明書を発行して署名することもできますが、ほとんどのブラウザーはこれらが有効であると認識しません。

WordPressでSSLを有効にするための証明書の費用は、証明書の種類とCAに応じて、無料から年間800ドル以上までさまざまです。

ホスティングと提携していない無料のオプションはLet'sEncryptです。これは、インターネットをより安全な場所にすることに専念している非営利団体によって運営されている自動化されたCAです。 Let's Encryptは、さまざまなWebホストと提携して、迅速でシームレスなインストールを作成しています。

詳細については、ServerGuyのSSL証明書の種類に関する究極のガイドとレビューされた最も人気のあるSSL認証局のトップ5をご覧ください。

WordPress用のSSLの設定

SSL証明書が発行されていても、サイトが自動的に安全になるわけではありません。 シングルサイトおよびマルチサイトのインストールで最初に実行する必要のあるいくつかの手順があり、それらの概要を以下に示します。

1.URLを変更します

証明書をインストールする前に、サイトのURLを更新する必要があります。

管理ダッシュボードで、 [設定]> [一般]に移動し、 WordPressアドレスサイトアドレスの両方を変更して、Apacheサーバーを使用したWordPressのシングルインストールの場合は「http」ではなく「https」を含めます。

マルチサイトインストールの場合、以下の行の上のwp-config.phpファイルでこの変更を行うことができます。

 / *以上です、編集をやめてください! 幸せなブログ。 * /

次のコードを追加しますが、mysite.comを実際のドメインに置き換えてください。

 define('WP_HOME'、'https://mysite.com');
define('WP_SITEURL'、'https://mysite.com');

2.SSLの使用を強制します

次に、WordPressのログインページと管理ダッシュボードにSSLを強制的に使用するようにサイトを構成します。

以下のコードをwp-config.phpファイルの「happyblogging」行のすぐ上に追加します。

 define('FORCE_SSL_ADMIN'、true);

3.HTTPSにリダイレクトします

最後に、301リダイレクトを設定して、訪問者がSSL対応バージョンのサイトに自動的にリダイレクトされるようにします。

 このコードを& amp; amp; lt; em& amp; amp; gt; .htaccess& amp; amp; lt; / em& amp;amp;gt;に挿入しますすでに存在するコードの上にあるファイル:


& amp; amp; lt; IfModule mod_rewrite.c& amp; amp; gt;
RewriteEngineオン
RewriteCond%{SERVER_PORT} 80
RewriteRule ^(。*)$ https://www.mysite.com/$1 [R = 301、L]
& amp; amp; lt; / IfModule& amp; amp; gt;

www.mysite.comを実際のサイトのURLに置き換え、80でない場合は、正しいサーバーポートを入力してください。

すべてのファイルを保存し、サイトに再度アクセスしてテストします。 httpsと緑色の錠前が表示されている場合は、WordPressサイトにSSL証明書が正常にインストールされています。

これらの手順が機能しなかった場合は、ブラウザ、Webサイト、およびサーバーのキャッシュをクリアする必要がある場合があることに注意してください。

ReallySimpleSSLなどのプラグインを使用してこのプロセスを自動化することもできます。

まとめ

WordPressサイトのSSLは、サイトを保護するための最初の重要なステップであるため、訪問者にとって大きなメリットです。

SSL証明書をインストールできましたか? 見逃されたWordPressの詳細のSSLはありましたか? 以下のコメントであなたの考えを共有してください。