WordPressのHTTPSとSSLの究極のガイド

過去数年間で、お気に入りのWebサイトの多くがHTTPアドレスからHTTPSに移行したことに気付いたと思います。 追加された文字は、入力する時間と労力をほとんど追加しませんが、それらのWebサイトに計り知れない価値とセキュリティを追加します。 WordPress HTTPSサイトを持つことで、訪問者にとってビジネスの信頼性が高まるだけでなく、検索でも上位にランク付けされます。

HTTPSとは何ですか？

HTTPがハイパーテキスト転送プロトコルの略である場合。 HTTPSは、ハイパーテキスト転送プロトコルセキュアの略です。 Mozilla Developer Network（MDN）には、プロトコルの素晴らしく簡単な定義があります。

HTTPS （ HTTP Secure ）は、HTTPプロトコルの暗号化されたバージョンです。 通常、SSLまたはTLSを使用して、クライアントとサーバー間のすべての通信を暗号化します。 この安全な接続により、クライアントは、銀行業務やオンラインショッピングなど、サーバーと機密データを安全に交換できます。

エンドツーエンド暗号化について聞いたことがあるなら、これはそれです。 トランザクションに関与する2つのクライアントのみがデータを読み取ることができます。 それを傍受する可能性のある人は誰でも、理論的には解読できない文字化けした文字の混乱を目にするでしょう。

かなりいいですね。 では、どのようにしてこのデジタル力場を得るのでしょうか？ SSL経由。

SSLとは何ですか？

SSLはSecureSockets Layerの略であり、MDNは他のほとんどの人よりもよく説明できます。

[SSL]は、アプリケーションがネットワークを介して安全に通信するために使用するプロトコルであり、電子メール、Webブラウジング、メッセージング、およびその他のプロトコルの改ざんや盗聴を防ぎます。

最新のブラウザはすべてTLSプロトコルをサポートしており、安全な接続を確立するために、サーバーがIDを確認する有効なデジタル証明書を提供する必要があります。 両方の当事者が独自の個別のデジタル証明書を提供する場合、クライアントとサーバーの両方が相互に認証することが可能です。

これらの証明書はかつては信じられないほど高価であり、最大のWebサイト以外のほとんどすべての人にとって手の届かないものでした。 アマゾンやツイッターのようなサイトには緑色のロックが表示されますが、日常の一般的なWordPressサイト（ほとんどのサイトと同様）は、証明書の購入にかかる数千ドルを支払うことができませんでした。

私たち全員にとって幸運なことに、SSL証明書はランキングと実際のビジネスの両方で必要になるようになったため、価格が下がっただけでなく、ほとんどのサイトで完全に消滅しました。 現在、ほとんどのホストを含​​め、無料のSSL証明書を提供するサービスがいくつかあります。 WordPress SSL証明書は、非常に簡単に、面倒なことなく取得できます。

無料のWordPressSSL証明書を取得する方法

私たちのYoutubeチャンネルを購読する

最近の無料SSL証明書の主要プロバイダーは、Let'sEncryptと呼ばれるサービスから来ています。

それらのサービスを使用することにより、1ペニーを費やすことなくSSL証明書を持つことのすべての利点を得ることができます。 そして、ここが最良の部分です。ほとんどの主要なホスティングプロバイダーは、Let's Encryptと提携して、SSL証明書のインストールを完全に簡単にします。

Let's Encryptから無料のSSL証明書を取得するには、次の2つの方法のいずれかを使用します。

オプション1.（サポートされている）ホストアカウントから無料のSSL証明書をインストールします

前述したように、多くのホストがLet's Encryptと提携して、無料のSSL証明書を顧客のcPanelダッシュボードまたはホストのダッシュボード自体に直接追加しています。 たとえば、（私がそうであるように）SiteGroundでホストしている場合、SSL証明書を約2秒でインストールできます。 メインのログインサイトから、[マイアカウント]タブと[追加サービス]に移動します。 Let's Encrypt Certificatesというセクションが表示されます。 [すべて表示]ボタンをクリックすると、証明書をどこにでも管理およびインストールできます。

さらに、[ cPanelに移動]ボタンをクリックして、[セキュリティ]見出しの下にあるLet'sEncryptのロゴを見つけることができます。 [すべて表示]と同じページに移動します。

そこから、インストールされているすべての証明書のリストが表示されます。 初めての場合は、何も表示されません。 ただし、次のようなものが表示されます。

ワイルドカード（親のすべてのサブドメイン）をインストールするかどうかに関係なく、 [インストール]ボタンを押すと、WordPressSSL証明書が処理されます。

サーバーは、新しいWordPressSSL証明書のインストールを処理します。 簡単なピーシー。 ほぼ完了です。 ただし、まだ構成する必要があります。 これは次のセクションにあります。

また、Let'sEncryptを直接サポートしているウェブホストのこの完全なリストをお読みください。 サポートされているほとんどのホストのプロセスは、SiteGroundと同様である必要があります。 さらに、一部のホストはLet'sEncryptの使用に対して料金を請求する場合があります。 正直なところ、これは一種の偽の料金であり、GoogleがSSLをWeb標準にしているため、料金を請求する多くのホストが料金を負担しています。 あなたがそれを無料で提供していない場合、彼らはあなたの最善の利益を念頭に置いていないので、別のホストを検討する時期かもしれません。

オプション2.「SSLForFree」を使用して、Let'sEncrypt証明書を手動で構成します

ホストがLet'sEncryptをサポートしていない場合でも、SSL ForFreeというWebサイトを使用して無料のSSL証明書を取得できる場合があります。

このサイトは、Let'sEncrypt証明書の構成に役立ちます。 ただし、サイトのFTP詳細にアクセスし、ホストからサポートされる可能性があります。 この方法は機能しますが、非常に実践的であり、有効期限が切れたときに手動で証明書を更新する必要がある場合があります。 そのため、プロセスが大幅に簡素化されるため、Let'sEncryptを直接サポートするホストを探す必要があります。 何らかの理由でそれができない場合は、SSL ForFreeが最善の2番目のオプションです。

さらに、CloudflareとFreeSSLの両方から無料のSSL証明書を取得できます。 Cloudflareは無料プランで共有SSL証明書を提供しています。 すでにCloudflareを使用している場合、これはサイトをHTTPSで稼働させるための優れた方法です。 次に、FreeSSLがあります。 まだ公開されていませんが、これはSymantecによる無料のSSL証明書プロジェクトです。 非営利団体や新興企業は今すぐFreeSSLを入手できます。 それ以外の場合は、公開時に通知を受けるようにサインアップできます。

このルートを選択して証明書を手動でインストールする場合、Sucuriには、インストールプロセスを段階的に説明するすばらしいガイドがあります。 ただし、SSLを手動でインストールするには、コマンドラインを使用し、WordPress Coreファイルを編集し、CRONジョブを操作する必要があることに注意してください。 それが仕事で楽しい一日を過ごすというあなたの考えのように聞こえない場合は、上記のオプション1に戻って紹介させてください。

WordPressで無料のSSL証明書を構成する方法

証明書の取得方法に関係なく、証明書をインストールすると、ユーザーはhttps://yoursite.comにアクセスして、サイトの安全なバージョンを表示できるようになります。 ただし、WordPress HTTPS接続がアクティブであるからといって、終了したわけではありません。 （しかし、あなたはほとんどそうです。）

SSL証明書で機能するようにWordPressHTTPSを適切に構成するには、いくつかの変更を加える必要があります。 これは手動で行うことができます…または、すべてを行う素晴らしいプラグインを使用することもできます。 これはReallySimple SSLと呼ばれ、その名に恥じないものです。

プラグインはプロセス全体を処理します。 インストールしてアクティブ化するだけです。 注意してください–プラグインを初めて実行すると、当然WordPressからサインアウトされます。 これは、プラグインがデフォルトのURLを「http：//」から「https：//」に変更するためです。 あなたがする必要があるのはあなたの通常のログイン資格情報で再びログインすることです。 心配する必要はありません！

再度ログインすると、プラグインがすでに必要な変更を加えていることがわかります。 多くの場合、デフォルトのオプションで十分です。 それらは[設定] – [SSL]の下にあります。

そして、それらが十分ではなく、さらに微調整したい場合は、 [設定]タブが一番上にあります。

最も懸念される可能性のあるオプションは、最初のオプションです。混合コンテンツの自動置換です。 このボックスはデフォルトでチェックされているはずです。 そうでない場合は、確認してください。 次に、ページを保存します。

今、あなたは行ってもいいです。 これで、WordPressHTTPSとWordPressSSLが正常にインストールされてアクティブ化されました。 おめでとう！

一般的なHTTPS / SSLエラーのトラブルシューティング

インストールされて準備ができているからといって、必ずしもスムーズに機能しているとは限りません。 あなたのサイトでいくつかの問題に遭遇するかもしれません。 ただし、WordPressHTTPSサイトはトラブルシューティングが簡単です。 最も一般的な問題のいくつかの解決策を見ていきましょう。

ある時点で、サイトでSSLを設定し、WordPress HTTPSに移行した後、サイトで壊れた画像が表示される可能性があります。 かつてサイトに完全に表示されていた画像やコンテンツは、存在しないかのように表示されない場合があります。 心配しないでください。 あなたは何も悪いことをしなかった。 あなたのサイトはそれらの画像が安全でないと思っているだけなので（そうではない）、WordPressSSLが混合コンテンツを表示するように設定されていることを確認する必要があります。

2つの異なるタイプの混合Webサイトコンテンツが存在します。 1つは混合アクティブコンテンツと呼ばれ、HTTPSがHTTPの上にスクリプトをロードしたときに発生します。 これは大したことではありませんが、ここで起こっていることではありません。 もう1つのタイプの混合コンテンツは、混合表示コンテンツと呼ばれ、HTTP接続を使用するコンテンツがHTTPSサイトにロードされる場合です。 HTTPを使用してWebサイトに画像をアクティブにロードしていない可能性がありますが、WordPressの内部に、そのように認識される原因となった何かがありました。

基本的に、あなたのウェブサイト上の何かがあなたがHTTPSに行くのを嫌い、代わりに自動的にそれらにHTTPを強制しています。 それはそれらをレンダリングします…まあ、それはそれらをレンダリングしません。 それでは、それを修正しましょう。

混合表示コンテンツに対処するための最初の最も一貫した方法は、WordPress SSL Insecure ContentFixerプラグインを使用することです。

プラグインをインストールしてアクティブ化すると、混合コンテンツエラーがすぐに解消される場合があります。 デフォルトでは、プラグインはその設定内でシンプルルールセットに設定されます（WP管理パネルの[設定]-[SSL安全でないコンテンツ]の下にあります）。 すべてのAJAX呼び出しでHTTPSを強制するまで、従うルールの厳格さを調整できますが、ほとんどの場合、 Simpleは問題なく機能します。 この特定の問題に関する私の経験では、 Simpleは毎回機能してきました。 ただし、マイレージは異なる場合があります。

まだ混合コンテンツを表示している場合

Webサイトを開き、右クリックして[ページソースの表示]を選択するか、 CTRL / CMD –Uを押します。 見ているページのソースコードが表示されます。 この時点で、 CTRL / CMD – Fを押して、 src="http検索しsrc="http 。はい、引用符は1つだけです。問題はなく、0.0が表示されたら先に進むことができます。

結果が返される場合は、サイトがHTTPSではなくHTTPソースからプルしていることを意味します。 これを修正するには、データベースを掘り下げる必要があります（ただし、これは簡単で、誰でも実行できます）。

Better Search and Replaceプラグインを使用すると、基本的にWordPress管理パネルを介してデータベースで作業できます。 SQLやPHPなどを扱う必要はありません。 これは標準のWordPressページであり、ワードプロセッサでおそらく数十回使用した典型的な検索と置換のように機能します。

ここで読むことができるプラグインの完全なガイドがありますが、WordPressSSL混合コンテンツエラーを修正するための内訳も非常に簡単です。

1. プラグインをダウンロード、インストール、アクティブ化する
2. サイトのバックアップを作成します
3. WordPressデータベースの[ツール] – [検索の置換]に移動します
4. [検索]フィールドに、最初にhttp：//を付けてWebサイトへのURLを入力します
5. [置換]フィールドに、代わりにhttps：//を使用してWebサイトへのURLを入力します
6. CTRL / CMD –Aを使用してデータベース内のすべてのテーブルを強調表示します
7. ドライランとして実行することを確認しますか？ チェックされます。 そうすることで、エラーがサイトを壊さず、事前に修正できるようになります
8. [検索/置換の実行]を押します

すべてが計画どおりに進んだ場合、ドライランは検索と置換が成功したことを示し、実際に実行できます。

HTTPをHTTPSにリダイレクトする

これで、混合表示コンテンツの問題が修正されたはずです。 ただし、他の問題を防ぐために、サイトが可能な限りHTTPSであることを確認する必要があります。 そのような問題の1つは、サイトにHTTPバージョンのサイトへのバックリンクがあるが、実際には新しく改良されたHTTPSバージョンを実行している場合です。 それらは技術的には2つのサイトとしてカウントされ、古いリンクは一部のユーザーには安全でないと表示される可能性があります。 したがって、次のステップは、設定–一般オプションを確認することです。 サイトアドレスがHTTPSに設定されていることを確認してください。 そうでない場合は、それを実行して[保存]をクリックします。 （サイトからログアウトされます。大丈夫です。）

その後、FTPクライアントにアクセスして、 .htaccessファイルを開く必要があります。 WordPressインストールのルートディレクトリにあります。

これのコピーをバックアップとしてダウンロードしてから、お気に入りのコードエディターで開きます（私のものはSublime Textです）。 ファイルの最上部（ ＃BEGIN / END WordPressタグの間ではない）に、次のコードを追加します。 （コード自体を提供してくれたDreamhostに感謝します。）

RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] 

これにより、Webサイトの読み込み時に、古いHTTPURLがHTTPSバージョンにリダイレクトされます。 [L、R = 301]を挿入するコードでは、これは.htaccessファイルを介した永続的な301リダイレクトであることに注意してください。 これを行う場合、301リダイレクトプラグインは必要ありません。 少なくともプライマリドメインについては。

さて、2つのサイトとして数えると言ったのを覚えていますか？ これはそれを修正します。 あなたは新しいWordPressHTTPSサイトにあなたのHTTPサイトが持っていたすべてのリンクジュースと検索ランキングを与えました。 さて、Big Daddy G（最近のGoogleの私の愛称です）に、より安全でより安全な場所に移動したことを伝えて、それを維持するようにしてください。 それでは、Google検索コンソールをロードします。

サイトのHTTPバージョンがすでにGoogle検索コンソールに登録されている場合でも、新しいWordPressHTTPSサイトを新しいプロパティとして追加します。

検索コンソールは、サイトの完全なURLを要求するモーダルをポップアップ表示します。 ここで、HTTPSバージョンを必ず入力する必要があります。 モーダルでさえ、これらが別個のプロパティであると通知することに注意してください。これは、このステップがいかに重要であるかを認識できるようにするためです。

次に、通常どおりプロパティを確認するプロセスを実行します。 それが完了すると、Googleはあなたが詮索好きな目からあなたのサイトをロックしたことに気付くでしょう。

Googleで確認され、新しいプロパティで検索コンソールを設定したら、新しいWordPressHTTPSサイトへようこそ。 自分で処理できるエラーがないようにする必要があります。

プラグインとテーマでのWordPressSSLエラー

この時点でまだエラーが発生している場合は、手に負えない可能性があります。 アクティブなプラグインまたはテーマのいずれかが原因である可能性が最も高いです。 それがどれであるかを確認するには、ページを右クリックして、メニューから[検査]を選択します。 CTRL-SHIFT-Iを押して開発者ツールを開くこともできます。 Consoleというラベルの付いたタブが表示されるまで見回してください。 エラーがある場合は、赤で強調表示されます。

エラーを見ると、エラーの種類がわかります。 混合コンテンツとしてラベル付けされたものがある場合は、提供されたファイルのURLを調べて、インストールのどの部分が原因であるかを確認できます。 簡単に識別できます。 エラーの出力から、テーマまたはプラグインのいずれかになります。

これで、エラーの原因がわかったので。 あなたができる最善のことは、プラグインまたはテーマの作者にそれを報告することです。 この理由だけで、多くの人がサポートフォーラムやライブチャットチームを持っています。 いくつかの理由から、著者に報告することをお勧めします。

1つ目は、プラグインファイルとテーマファイルをいじり回すとかなり厄介になる可能性があることです。 特にあなた自身が開発者でない場合。 子テーマのおかげでテーマファイルをはるかに簡単に微調整できますが、それでも、気づいていない可能性のある重要なものを壊す可能性があります。 そして、プラグインに関しては…まあ、プラグインファイルをいじくり回すことは決してお勧めしません。 テーマよりも厄介になることがあります。

2番目の理由は、この問題にあなただけではないということです。 あなたはそれを持っている。 他の人もそれを持っています。 それがこれらのものがどのように機能するかです。 したがって、開発者はそれについて知り、更新を介して修正を提供する必要があります。 ですから、あなたは問題を自分で解決しただけでなく、より大きな利益に貢献し、自分自身についてかなり良いと感じることができます。

無効な証明書の警告

場合によっては、サイトに無効な証明書または期限切れの証明書が表示されているとユーザーから言われることがあります。 これは大したことではありません。 簡単な修正です。 一般に、期限切れの証明書を修正する（または証明書を更新する）には、上記の「（サポートされている）ホストアカウントから無料のSSL証明書をインストールする」というタイトルのセクションの手順を実行する必要があります。 ほとんどの場合、それは機能します。 そうでない場合は、ドメイン名の不一致が原因でエラーが発生する可能性があるため、ワイルドカード証明書をインストールしてください。

それでも問題が解決しない場合は、ホストに連絡してください。 前に言ったように、私は個人的にSiteGroundにいます。 また、SSLが自動的に更新されないというこの問題が発生した場合、サポートチームは30分以内に問題を修正しました。 それは明らかにホストをホストに変えるでしょう、しかし彼らはあなたがするのとほとんど同じくらいあなたのサイトをオンラインにすることを望んでいます。

「リダイレクトが多すぎます」エラー

また、 .htaccessファイルの301リダイレクトでこれが妨げられない場合（そうする必要があります）、HTTPサイトとHTTPSサイトの間でサイトが無限のループに陥るというエラーが発生する場合があります。 幸い、これは無効な証明書とほぼ同じくらい簡単に修正できます。 FTPクライアントを開いて、 .htaccessがあったのと同じフォルダーにあるwp-config.phpファイルを見つける必要があります。これもお気に入りのコードエディターで開きます。 次のコードをファイルの最後に追加します。

/** Prevent Too Many Redirects Loop **/
define('WP_HOME','https://mywebsite.com');
define('WP_SITEURL','https://mywebsite.com');
$_SERVER['HTTPS'] = 'on';

保存してサーバーにアップロードし直します。 これで、サイトは本来の場所で停止するはずです。

WordPressのHTTPSとSSLで締めくくる

私はそれを取り入れることがたくさんあることを知っています。しかし、WordPress HTTPSは、将来のサイトの存続にとって非常に重要です。 ユーザーはあなたをもっと信頼します。 そしておそらくもっと重要なことに、Googleもあなたをもっと信頼するでしょう。 これで、混合コンテンツエラーの修正、SSL証明書の有効期限と更新の処理、 .htaccessファイルとwp-config.phpファイルの編集、さらにはサイトのデータベースの操作を行う準備が整いました。 この時点で、サイトはロックされています。 WordPress SSLで問題が発生した場合は、修正できます。 背中を軽くたたき、飲み物を飲みに行き、あなたのサイトが安全で健全であることをよく知って休んでください。

過去にどのようなWordPressSSLの問題があり、どのように解決しましたか？

supercaps /shutterstock.comによる記事特集画像