はじめに
本書の目的
この文書は、WordPressサイトを安全にSSL化(HTTPS対応)する手順と注意点を、具体例を交えてわかりやすく解説します。SSL証明書の発行からWordPress側の設定変更、.htaccessでのリダイレクト、内部リンクの修正、Google Analyticsの更新までを網羅します。例として無料のLet’s Encryptや、よく使われるプラグイン名も紹介します。
対象読者
・自分でWordPressを運営している方
・レンタルサーバーやFTPにアクセスできる方
・専門知識があまりないが安全な接続にしたい方
初心者でも段階を追って進められるよう記載しています。
ここで学べること
・SSL証明書の取得とサーバー設定の流れ
・WordPressのURL変更方法
・.htaccessでのリダイレクト設定例(自動転送)
・内部リンクや画像URLの修正方法
・プラグインを使った効率化(例:Really Simple Security)
・Google Analyticsの設定更新方法
事前の準備
作業前に必ずバックアップを取ってください。ファイルとデータベースの両方が対象です。管理者アカウントとサーバーのログイン情報を手元に用意するとスムーズです。
SSL化の全体的な流れ
概要
WordPressサイトをSSL化するには、サーバー側で証明書を発行・設定し、WordPress側のURLをhttpsに変更、内部のリンクや画像などを修正、最後にhttpからhttpsへリダイレクトする作業が必要です。本章では全体の流れをわかりやすく説明します。
1. サーバーで証明書を用意する
まずサーバーでSSL証明書を取得・設定します。例:レンタルサーバーの管理画面でLet’s Encryptを有効化するか、市販の証明書をインストールします。設定後、サイトがhttpsで表示されるか確認します(例:https://example.com)。
2. WordPressのURLをhttpsに変更
サーバー側がOKになったら、管理画面の「設定→一般」で「WordPressアドレス(URL)」「サイトアドレス(URL)」をhttpからhttpsに変更します。場合によってはwp-config.phpやデータベースの置換が必要です。
3. リダイレクト設定
アクセスを自動的にhttpsへ送るため、.htaccessなどでリダイレクトを設定します。具体例は第5章で詳しく説明します。
4. 内部リンクとコンテンツ修正
画像やスクリプトのURLがhttpのままだと「保護されていません」と表示されます。プラグインや検索・置換でwwwや相対パスを含めてhttpsに直します。
5. 最終チェック
ブラウザのアドレスバー、開発者ツールのコンソール、SSLチェッカーで安全に表示されるか確認します。問題がなければサイトはSSL化完了です。
以上が作業の全体像です。各ステップは順に行うと安全に移行できます。
ステップ1:サーバーでSSL証明書を発行・設定する
概要
まずサーバー側でSSL証明書を発行・インストールします。ブラウザで鍵マーク(https)を表示させる作業はここが出発点です。作業前に必ずバックアップを取りましょう。
作業前の準備(バックアップ)
ファイルとデータベースのバックアップを取ります。多くのレンタルサーバーは管理画面からワンクリックでバックアップ可能です。念のためローカルにも保存してください。
レンタルサーバーでの無料SSL(例:エックスサーバー)
多くのレンタルサーバーは無料の独自SSL(Let’s Encrypt等)を提供します。エックスサーバーの例:サーバーパネル→『SSL設定』→対象ドメインを選択→『独自SSL設定追加(確定)』をクリックするだけで発行・自動設定されます。
手動での証明書導入(必要な場合)
有料証明書や独自の証明書を使う場合は、証明書(CRT)と秘密鍵(KEY)を管理画面でアップロードします。cPanelやPleskでは専用の入力欄があります。
設定後の確認と注意点
ブラウザで https://your-domain を開き錠マークが出るか確認します。混在コンテンツ(画像やスクリプトがhttpのまま)だと警告が出ます。必要ならサーバーのキャッシュをクリアし、サーバーやPHPの再起動を行ってください。
よくあるトラブル
- リダイレクトループ:.htaccessの設定が衝突している場合があります
- 証明書エラー:ドメイン名や有効期限を確認してください
これでサーバー側のSSL設定は完了です。次はWordPress側の設定に移ります。
ステップ2:WordPress管理画面でURLを「https://」に変更する
概要
SSL証明書をサーバーで設定したら、WordPress管理画面でもサイトのURLを「http://」から「https://」に変更します。ここを変えないとページが保護されません。
手順
- 管理画面にログインし、[設定]→[一般]を開きます。
- 「WordPress アドレス (URL)」「サイトアドレス (URL)」の両方を確認します。例:
- 変更前: http://example.com
- 変更後: https://example.com
- 両方を必ず同じ形式(wwwあり/なし含む)にします。入力ミスに注意してください。
- 下にスクロールして「変更を保存」をクリックします。保存後、ログインURLがhttpsに変わるため、再度ログインを求められる場合があります。
注意点
- 入力ミスで管理画面に入れなくなることがあります。変更前に現在のURLをメモしておくと安全です。
- サブディレクトリやサブドメインの場合も同じ手順で、正しいドメイン/パスを入力してください。
ログインできない場合の対処
- wp-config.phpに以下を一時的に追加して強制的にサイトURLを上書きできます(FTPやホスティングのファイルマネージャーで編集します):
define(‘WP_HOME’,’https://example.com’);
define(‘WP_SITEURL’,’https://example.com’); - さらに問題が続く場合は、データベースのwp_optionsテーブルのsiteurlとhomeを直接修正します(phpMyAdminなどを使用)。
キャッシュと混在コンテンツ
保存後、ブラウザやサイトのキャッシュをクリアしてください。画像やスクリプトがまだhttpで読み込まれると「混在コンテンツ」警告が出ます。内部リンクやファイルの修正は第6章で詳しく扱います。
ステップ3:.htaccessでリダイレクト設定を行う
- 目的
httpからhttpsへの自動転送を行い、常に安全な接続でサイトを表示します。FTPでサーバーのルートディレクトリにある.htaccessを編集します。
-
手順(簡潔)
-
バックアップを取る
-
.htaccessをダウンロードして必ず保存してください。元に戻せるようにします。
-
FTPで接続して編集
-
ルート(public_htmlやwww)にある.htaccessをテキストエディタで開きます。読み書き権限を確認してください。
-
リダイレクト用のコード例
# Force HTTPS
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>
- どこに置くか
-
既存のWordPressのRewriteルールよりも前に置くと確実です。RewriteEngineが既にOnなら、重複を避けるためRewriteEngine Onは省けます。
-
注意点
-
既存のRewrite設定を壊さないよう、追加前に必ずバックアップを取ってください。カスタムルールがある場合は専門家に相談してください。
-
動作確認と復元
- ブラウザでトップページと内部ページを確認し、URLがhttpsに変わるか確認します。curl -I https://あなたのドメインで301が返るかも確認できます。問題があればバックアップした.htaccessを戻して元に戻してください。
ステップ4:内部リンクとコンテンツの修正
なぜ修正が必要か
SSL化後も投稿や固定ページ、テーマファイルに残る「http://」のままのリンクは混合コンテンツとなり、ブラウザが警告を表示します。したがって、サイト内の全てをhttpsに統一する必要があります。
作業の手順(おすすめ順)
- バックアップを取る:データベースとファイルを必ず保存します。
- 検索と置換:プラグイン(例:Better Search Replace)かWP-CLIでURLを一括置換します(例:wp search-replace ‘http://example.com’ ‘https://example.com’)。guid列は注意して扱ってください。
- テーマ・ウィジェット・メニューの確認:カスタムHTMLや画像URL、メニューのリンクを目視で点検し修正します。
- メディアと静的ファイル:画像・CSS・JSの読み込み元がhttpならhttpsに変更、CDNを使う場合はCDN側の設定も更新します。
- 外部サービスの設定:AnalyticsやSearch Console、広告・フォームの送信先をhttpsに変更します。
- 動作確認:ブラウザの開発者ツールのConsoleで”Mixed Content”の表示を探し、オンラインの混合コンテンツチェックツールでも確認します。
これらを順に行えば、混在するhttpリンクを効率よく排除できます。必要なら具体的なコマンドやプラグインの使い方もお伝えします。
プラグインを使った効率的なSSL化:Really Simple Security
概要
Really Simple Securityプラグインは、サーバー側でSSLを有効にした後の作業を自動化してくれます。リダイレクト設定、内部リンクのhttps化、混合コンテンツの修正などをワンクリックで実行できます。
事前準備
- サイト全体のバックアップを取ります(ファイルとデータベース)。
- サーバーでSSL(証明書)が正しく動作していることを確認します。ブラウザでhttps接続ができるか確かめます。
インストールと有効化
- WordPress管理画面のプラグイン→新規追加で『Really Simple Security』を検索し、インストールして有効化します。
- 有効化後、プラグインの設定画面に移動します。
ワンクリックでの有効化
プラグインの「SSL有効化」ボタンを押すだけで、次の処理が自動で行われます:
– http→httpsへのリダイレクト設定(.htaccessの更新)
– サイト内の内部リンクをhttps化
– よくある混合コンテンツ(画像・CSS・JS)の自動修正
テストと確認
- ブラウザでトップページとログインページを確認します。
- 開発者ツールでコンソールに混合コンテンツ警告がないか確認します。
よくあるトラブルと対処
- リダイレクトループ: キャッシュをクリアし、プラグインの再設定を試します。
- 管理画面に入れない: FTPでプラグインを一時的に無効化して復旧します。
- 外部スクリプトがhttpsに対応していない: その場合は外部提供元のURLをhttpsに変更するか、一時的に除外します。
最後に
自動化は効率的ですが、重大な変更なので必ずバックアップを取ってから実行してください。テストを丁寧に行えば安全に移行できます。
Google Analyticsの設定更新
はじめに
SSL化後はGoogle Analytics側の設定も更新します。設定を変えないとレポートでhttpとhttpsが混在したり、参照元が正しく記録されないことがあります。ここではUniversal Analytics(旧)とGA4それぞれの手順と確認項目を分かりやすく説明します。
Universal Analytics(従来)の手順
- 管理画面(歯車アイコン)→「プロパティ設定」へ移動し、デフォルトのURLを「https://あなたのドメイン」に変更します。
- 「ビュー設定」に進み、ウェブサイトのURLもhttpsに更新します。
GA4の手順
- 管理画面→「データストリーム」→該当のウェブストリームを選択。
- ストリーム設定内の「ウェブサイトのURL」をhttpsに書き換えます。
その他の確認項目
- サーチコンソールと連携している場合は、httpsのプロパティと再連携してください。
- 目標やフィルタでフルURLを使っている場合はhttpsに修正します。例:/contactではなくhttps://example.com/contact
- リアルタイムやデバッグビューで、httpsのページビューが正しく計測されるか確認します。
動作確認の具体例
サイトでhttpsページを開き、GAのリアルタイム画面で訪問が反映されれば設定は有効です。表示されない場合はタグの設置ミスやキャッシュを疑い、タグの再設置とブラウザキャッシュのクリアを行ってください。
手動設定とプラグイン利用の比較
概要
手動では各ステップを自分で実行します。プラグインは設定の多くを自動化します。ただしサーバー側でのSSL証明書設定は、どちらの場合でも必須です。
手動の長所・短所
- 長所:細かい挙動を確認でき、不要な機能を入れずに済みます。学習効果も高いです。例:.htaccessを自分で編集してリダイレクトを調整できます。
- 短所:手間がかかり、設定ミスで表示崩れや混在コンテンツが起きやすいです。バックアップとテストが必須です。
プラグインの長所・短所
- 長所:インストール後、URLの置換やリダイレクトを自動で行い短時間で完了します。初心者に向きます。
- 短所:動作を理解しづらく、プラグイン依存になります。不要な機能が追加されることもあります。
選び方の目安
- 初心者や時間がない場合はプラグイン推奨。経験者やカスタム構成のサイトは手動で細かく調整してください。
注意点
サーバー証明書の設定は必ず行い、変更後は内部リンク、.htaccess、Analyticsの設定を確認して下さい。テストとバックアップを忘れないでください。
