はじめに
本記事の目的
本記事は、WordPressサイトを安全にHTTPS(SSL)へ移行するためのガイドです。基本的な手順から便利なプラグインの使い方、SSL化後に必要な追加作業や注意点、よくあるトラブルとその対処法まで幅広く取り上げます。初めての方でも手順に沿って進められるよう、具体例を交えて丁寧に説明します。
対象読者
- 自分で運営するWordPressサイトを安全にしたい人
- サイトの表示が “保護されていません” と表示されて困っている人
- SSL化の影響(SEOやリンク切れなど)を理解したい人
本記事で得られること
- SSL化の基本ステップがわかる
- おすすめプラグインの使い方を習得できる
- SSL化後に注意すべきポイントや対処法を知る
進め方と注意点
記事は初心者向けに順を追って説明します。作業前に必ずバックアップを取り、手順を落ち着いて進めてください。SSL化はサイトの安全性と信頼性を高めますので、焦らず確実に行いましょう。
SSL化とは?WordPressサイトに必要な理由
SSL(HTTPS)の基本
SSLは通信を暗号化し、第三者に内容を見られたり改ざんされたりするのを防ぎます。URLが「http://」から「https://」に変わり、ブラウザのアドレスバーに鍵マークが表示されます。見た目は小さな変化でも、通信の安全性は大きく向上します。
WordPressで特に重要な理由
WordPressは管理画面のログインやコメント、問い合わせフォームなど個人情報を扱います。SSLを導入すると、パスワードやメールアドレスが暗号化されて送信されるため、盗聴や不正ログインのリスクを下げます。オンラインショップではクレジットカード情報の保護にも欠かせません。
利用者の信頼とブラウザの表示
SSLがないとブラウザが「保護されていない通信」と警告することがあります。サイト訪問者は不安を感じ離脱しやすくなります。逆にSSL化されたサイトは信頼感が増し、コンバージョン向上につながります。
SEOや運用面のメリット
GoogleはHTTPSを推奨しており、わずかながら検索順位に好影響があります。また多くのホスティングが無料の証明書(例:Let’s Encrypt)を提供しており、導入コストを抑えられます。小さな手間で得られる効果が大きいため、WordPressサイトにはSSL化を強くおすすめします。
WordPressサイトSSL化の基本ステップ
1) 事前準備
- サイトのバックアップを取ります。万が一のときに元に戻せるようにします。
- サーバーの管理画面にログインできることを確認します。
2) サーバーでSSL証明書を発行・設定
- 多くのレンタルサーバーは無料のLet’s Encryptを提供します(例:エックスサーバーの「独自SSL設定追加」)。
- サーバーのSSL設定画面で証明書を発行・有効化します。発行に数分かかることがあります。
3) WordPress管理画面でURLを変更
- 管理画面の「設定 > 一般」で「WordPress アドレス (URL)」「サイトアドレス (URL)」をhttpからhttpsに変更します。
- 保存後、ログアウトされることがあるため、再度ログインしてください。
4) .htaccessで恒久的リダイレクト設定
- Apacheを使う場合、.htaccessにhttpからhttpsへリダイレクトするコードを追加します。
- 例として次のような記述を入れます(サーバー環境に合わせて調整してください):
- RewriteEngine On
- RewriteCond %{HTTPS} off
- RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
5) プラグイン利用時の自動化
- 「Really Simple SSL」などのプラグインは、多くの設定を自動で行います。初心者には便利です。
- ただし、プラグイン任せにすると細かい調整が必要な場面で困ることがあるため、基本手順は理解しておきます。
6) 動作確認と混在コンテンツの修正
- サイト全体をhttpsで開き、ブラウザの鍵マークが表示されるか確認します。
- 画像や外部スクリプトでhttpのURLが残ると「保護された通信」になりません。該当箇所をhttpsに直すか、プラグインで置換します。
以上が基本の流れです。手順を一つずつ確実に行えば、安全にSSL化できます。
プラグインで簡単SSL化:「Really Simple SSL」の使い方
はじめに
初心者の方や手動設定に不安がある方には、Really Simple SSL(以下RSSL)がおすすめです。基本操作はほぼワンクリックで、手間を大きく減らせます。
導入前の準備
- サイト全体のバックアップを取ります(ファイルとデータベース)。
- サーバーでSSL証明書が発行済みであることを確認します(Let’s Encryptなど)。
インストールと有効化手順
- WordPress管理画面→プラグイン→新規追加で「Really Simple SSL」と入力します。
- インストールして「有効化」をクリックします。
- 管理画面上に「SSLを有効化」ボタンが出ますのでクリックすると、自動でhttpsへリダイレクトなどの設定を行います。
主要機能と設定ポイント
- 自動httpsリダイレクト:httpアクセスをhttpsへ転送します。
- 混在コンテンツの検出と修正:画像やスクリプトのhttp呼び出しを修正する手助けをします。
- .htaccess編集サポート:必要に応じてサーバー設定ファイルを更新します。
有効化後の確認と対処
- ページを複数ページ開き、鍵マーク(安全)を確認します。
- ブラウザの開発者ツールで混在コンテンツがないかチェックします。
- 万が一サイトが真っ白になる、ログインループが起きる場合は、FTPでプラグインフォルダ名を変更して無効化して復旧します。
注意点
- 事前バックアップを必ず取り、可能ならステージング環境で試してください。
- RSSL有料版で追加機能がありますが、多くのサイトは無料版で十分です。
- 有効化後はキャッシュ(ブラウザ、CDN)をクリアして正しく反映されているか確認してください。
SSL化後に必要な追加作業・注意点
まず行うこと
SSL化後は、サイトの見た目が変わっても内部の設定が古いまま残ることが多いです。最初に「httpsでのサイトが正しく認識されているか」を順番に確認します。
Google Search Consoleの再登録
Search Consoleはhttps版を別のプロパティとして扱います。必ずhttpsのサイトを追加して所有権を確認し、sitemapを再送信してください。これでインデックスが新しいURLを使うよう促せます。
サイト内リンクと画像の一括置換
投稿や固定ページ、テーマ内のURLがhttpのままだと混在コンテンツになります。管理画面の検索置換プラグインかデータベース直置換で、例:
http://example.com → https://example.com
と一括で置換してください。バックアップを必ず取ってから行います。
混在コンテンツ(Mixed Content)の確認と修正
ブラウザのデベロッパーツール(コンソール)で警告が出ます。画像・CSS・JavaScriptでhttpのまま読み込むと鍵マークが外れます。該当ファイルのURLをhttpsに変えるか、信頼できる外部リソースに差し替えてください。
キャッシュとリダイレクトの確認
ブラウザキャッシュ、サーバーキャッシュ、CDNをクリアして最新状態を確認します。httpからhttpsへのリダイレクトが全ページで働くか、複数のページを手動でチェックします。
テーマ・ウィジェット・外部サービスの点検
ヘッダーやフッターの固定スクリプト、ウィジェットの画像URL、問い合わせフォームの送信先なども確認してください。外部サービスがhttps非対応なら代替を検討します。
最終チェックリスト(簡易)
- Search Consoleにhttps追加とsitemap送信
- サイト内のhttpリンクを置換
- 混在コンテンツを修正
- キャッシュクリアとリダイレクト確認
- テーマ・ウィジェット・外部サービス点検
これらを順にこなせば、鍵マークの表示と安全な運用が早く安定します。
SSL化のSEO・セキュリティ効果
はじめに
SSL化(HTTPS化)は単なる技術対応ではなく、検索上の評価と利用者の安心につながります。ここでは具体的に何が変わるか、分かりやすく説明します。
SEO(検索順位)への影響
GoogleはHTTPSをランキング要因の一つとして扱います。つまり、SSL化したサイトはわずかでも優遇される可能性があります。例として、同じ内容のページがあればHTTPSの方が検索結果で上位に出やすいことが期待できます。また、ブラウザ警告で離脱が減るため、滞在時間や直帰率といった評価指標も改善しやすく、間接的に順位に良い影響を与えます。
ユーザー信頼の向上
鍵マークや「保護された通信」の表示は訪問者に安心感を与えます。特にフォーム入力や会員ログイン、決済ページでは信頼感が重要です。非HTTPSだとブラウザが警告を出し、訪問者が入力をためらうことがあります。
セキュリティ効果
通信が暗号化されるため、公共のWi‑Fiなどでの盗聴や途中での改ざんを防げます。具体例として、カフェの無料Wi‑Fiでのパスワード盗聴を防げる点が挙げられます。さらに、データの完全性も保たれるため、ページ内容が勝手に書き換えられるリスクが減ります。
実務で注意する点
- 301リダイレクトで常にHTTPSへ誘導する
- mixed content(混在コンテンツ)は修正する:画像やスクリプトをHTTPSにする
- Search Consoleや解析ツールの設定をHTTPSに切替える
- 証明書の有効期限管理を忘れない
- HSTSは有効だが設定に注意する(誤設定でサイトが見えなくなることがある)
上記を順に対応すると、SEOとセキュリティ双方でメリットが得られます。
トラブル例と対処法
1) ブラウザで「保護されていません」と表示される
原因の多くは混在コンテンツ(ページの一部がhttpで読み込まれる)です。まずブラウザの鍵アイコンをクリックし、開発者ツールのコンソールで「Mixed Content」や「blocked」を確認します。対処法は次の通りです。
– テーマやプラグインの設定で、画像・スクリプト・CSSを https に変更
– プラグイン「Better Search Replace」などでデータベース内のhttp://をhttps://に一括置換
– CDNや外部サービスのURLを確認してHTTPS対応にする
2) リダイレクトループや鍵が外れる
.htaccessやサーバー側のリダイレクト設定が原因です。FTPで.htaccessを確認し、http → https のリダイレクトが正しく1回だけ行われるようにします。ローカルや検証環境に合わせた誤設定に注意してください。
3) 管理画面にログインできない
URL設定が原因でログイン画面に戻される場合、wp-config.phpに以下を一時的に追加して復旧します。
– define(‘WP_HOME’,’https://あなたのサイト’);
– define(‘WP_SITEURL’,’https://あなたのサイト’);
またはphpMyAdminでwp_optionsのsiteurlとhomeを修正してください。復旧後はwp-config.phpの強制設定を外すことを忘れないでください。
4) サイトの表示が崩れる
キャッシュが古いとスタイルや画像が正しく反映されません。ブラウザキャッシュとサイトキャッシュ(キャッシュプラグイン、CDN)のクリアを行ってください。画像やリンクが壊れる場合はデータベースでの置換や、プラグインでURLを修正します。
5) 解決のためのチェックリスト
- ブラウザのコンソールで混在コンテンツ確認
- キャッシュ・CDNの削除
- データベース内のURL一括置換
- .htaccessとサーバーのリダイレクト確認
- wp-config.phpやwp_optionsのURL確認
上記で解決しない場合は、変更前のバックアップに戻してから一つずつ設定を元に戻し、原因を切り分けてください。
SSL化のまとめとおすすめアクション
要点のまとめ
SSL化はサイトの通信を暗号化し、訪問者の安全と検索評価に良い影響を与えます。サーバーで証明書を設定し、WordPressのURLをhttpsに変えることが基本です。プラグイン「Really Simple SSL」を使えば簡単に切り替えられます。
おすすめの順序(初心者向け)
- バックアップを取る
- サイトとデータベースを必ず保存します。万が一のときに戻せます。
- サーバーでSSL証明書を発行・設定
- ホスティングのコントロールパネルやLet’s Encryptを利用します。設定後に証明書が有効か確認します。
- WordPressのURLをhttpsに変更
- 管理画面の一般設定でサイトURLをhttpsにします。プラグインで自動対応も可能です。
- 301リダイレクトを設定
- 古いhttpからhttpsへ恒久的に転送します。.htaccessやサーバー設定で行います。
- 混在コンテンツを修正
- 画像やスクリプトがhttpで読み込まれていないか確認し、すべてhttpsに直します。
- 外部サービスを再登録
- Google Search ConsoleやAnalyticsの設定をhttps版で追加・確認します。
- 動作確認とテスト
- ブラウザの鍵マーク、リダイレクトチェッカー、ページ表示を確認します。
最後に
一つずつ着実に進めれば、安全でSEOにも有利なサイトが完成します。わからない点はホスティングのサポートや信頼できる技術者に相談すると安心です。
