WordPressのSSL化。主要サーバー会社のSSL化の手順と簡単SSL化プラグインを紹介

GoogleがSSLを推奨したり、SSL化されていないWebサイトのアドレスバーに「保護されていない通信」と表示されてしまうなど、SSL化を対応しないことによるデメリットが多くなってきました。
ユーザーに安心してサイトを利用してもらうためにも、サイト運営者はSSL化は前向きに検討するべきです。

だからといっていざ対応しようとしても、WordPressで制作したサイトをSSL化させるのは難しいというイメージはないでしょうか?

しかしSSLはプラグインを使用することで簡単に対応することができます。
今回はその手順をご紹介します。ぜひ参考にしてみてください。

※関連記事:WordPressに強いWeb制作会社をお探しの方はこちらもご覧ください。
【プロが厳選】WordPressに強い優良ホームページ制作会社まとめ

目次
  1. 1. サーバー側でSSLの設定をする方法
    1. 1-1. XserverのSSL化の方法
    2. 1-2. さくらサーバーのSSL化の方法
    3. 1-3. ロリポップサーバーのSSL化の方法
  2. 2. WordPressをSSL化させるための下準備
    1. 2-1. WordPressの本体・プラグイン・テーマを最新の状態にする
    2. 2-2. トラブルのために必ずバックアップを取っておく
  3. 3. SSL化のためのWordPressプラグインの選び方
    1. 3-1. 公式ディレクトリに登録されていること
    2. 3-2. プラグイン単独で動くこと
    3. 3-3. シンプルな機能設定であること
  4. 4. WordPressをSSL化させるプラグイン2つの使い方
    1. 4-1. Really Simple SSL
    2. 4-2. SSL Insecure Content Fixer
  5. 5. SSL化した後のhttp・httpsのリダイレクト設定
  6. 6. 【コラム】サイト内検索にもChromeでは警告がでる?
  7. 7. 【まとめ】WordPressのSSL化対応をきちんと行うために
    1. 7-1. WebサイトのSSL化を制作会社に相談したい方へ

サーバー側でSSLの設定をする方法

WebサイトをSSL化するためには、まずサーバー側で証明書を取得する必要があります。
主要レンタルサーバーとしてXserver、さくらサーバー、ロリポップサーバーのSS化の方法を解説。

無料と有料のSSLがありますが、暗号化の強度などセキュリティの違いはないため、通常のWebサイトであれば「無料独自SSL」の利用で問題ありません。
各サーバーでは有料と無料のSSLそれぞれの設定が可能ですが、今回は無料のSSLの設定手順について紹介します。

XserverのSSL化の方法

XserverでSSL化を行う手順を解説しますので、サーバパネルにログインしてください。
▼Xserver サーバーパネル ログイン画面
https://www.xserver.ne.jp/login_server.php

ログイン後、メニュー内の「ドメイン」の中の「SSL設定」をクリックしてください。

XserverのSSL化の方法_1

SSL化したいドメインを選択後、「管理画面へ進む」をクリックしてください。

XserverのSSL化の方法_2

この際、「CSR情報(SSL証明書申請情報)を入力する」のチェックボタンがありますが、無料独自SSLはこちらにチェックを入れなくても手続きが可能なのでチェックの必要はありません。

内容を確認し、「追加する」をクリックしてください。

XserverのSSL化の方法_3

「SSL設定一覧」タブをクリックした際に、今回設定したドメインが表示されていれば設定完了。

XserverのSSL化の方法_4

Xserverの公式サイトによると、SSLの反映には最大1時間程度かかるとありますので、時間を置いてから確認をするようにしてください。

さくらサーバーのSSL化の方法

SSL化を行う手順を解説しますので、まずはさくらサーバーのサーバコントロールパネルにログインしてください。
▼ロリポップ ユーザー専用ログイン画面
https://secure.sakura.ad.jp/rscontrol/

コントロールパネルの右にあるメニュー「ドメイン設定」内にある「ドメイン/SSl設定」をクリックしてください。
「ドメイン設定」という項目は下の方にあるので見つけにくいかもしれませんが、スクロールしていると出てきます。

さくらサーバーのSSL化の方法_1

ドメイン一覧が出てくるので、今回SSL化させたいドメインの「証明書」欄にある「登録」というリンクをクリックします。

さくらサーバーのSSL化の方法_2

無料と有料のSSLの紹介ページが表示されるので、「無料SSL設定へ進む」をクリック。
無料SSL証明書についての紹介ページが表示されるので内容を確認し、「無料SSLを設定する」ボタンをクリックしてください。
こちらで作業は完了となりますが、反映には時間がかかるので操作はしないで待ちましょう。

公式サイトによると、目安は数十分〜数時間となっており、証明書の発行が完了すると、登録しているメールアドレスに届くようになっています。
もしエラーが起きた場合は登録したメールで届くようになっています。

ロリポップサーバーのSSL化の方法

SSL化を行う手順を解説しますので、まずはロリポップにログインしてください。
▼ロリポップ ユーザー専用ログイン画面
https://user.lolipop.jp/

ログイン後こちらの「証明書お申し込み・設定」にアクセスします。
下記のようなページの中に「SSL保護されていないドメイン」というタブがあるのでそちらをクリック、その中からSSL化したいドメインを選択します。

ロリポップサーバーのSSL化の方法_1

SSL化させるドメインの横に「独自SSL(無料)を設定する」というボタンがあるので、こちらをクリックします。

ロリポップサーバーのSSL化の方法_2

設定が完了した後、「SSLで保護されているドメイン」の中に先ほどのドメインがあることを確認してください。
5分ほどを目安に時間を置いてからページを再読込をすると、反映されていることが確認できます。

ロリポップサーバーのSSL化の方法_3

こちらでロリポップサーバーでのSSLの設定は完了となります。

WordPressをSSL化させるための下準備

サーバーでの設定とは別に、WordPress側でも設定が必要ですので順を追って解説します。

WordPressの本体・プラグイン・テーマを最新の状態にする

まず、バックアップをしてからSSL化させたいWordPressのバージョンを最新の状態にしましょう。使用しているプラグイン、テーマも最新の状態にしておく必要があります。
WordPressのバージョンを最新にする場合は、管理画面のダッシュボードから簡単に行えます。

ログインしてダッシュボードの「今すぐ更新してください」をクリック。

WordPressをSSL化させるための下準備_1

ページが遷移したら「今すぐ更新」の青いボタンをクリック。

WordPressをSSL化させるための下準備_2

ご利用のプラグイン、テーマによっては最新のバージョンに対応していないものもあります。
バージョンアップしたら使用できなかった、不具合が起きたといったトラブルはよくあるので事前に確認するようにしてください。

トラブルのために必ずバックアップを取っておく

使用しているテーマやプラグインによっては、最新のバージョンに対応しておらず、Webサイトの表示が真っ白になったり、うまく動かなくなってしまったりすることがありますので慎重に行う必要があります。
そういった場合にすぐに元に戻せるよう、予めバックアップを取っておくようにしましょう。

バックアップを取っておくことで、予期せぬ不具合が起きてしまった場合もすぐに元の状態に戻すことが可能となります。
バックアップを取る方法は色々ありますが、プラグインを使用すれば簡単にデータを残しておくことができます。

特におすすめなのが「All-in-One WP Migration」というプラグインです。

ALL-in-One WP Migration

本来はサイトデータを移行するためのプラグインなのですが、バックアップのためのプラグインとしても使えます。
難しい設定は必要なく、プラグインをインストールし、数回クリックすればいいだけなので、とても簡単に使用できます。

バックアップデータがない場合は元の状態に戻すために技術と時間が必要となります。
すぐに戻せれば問題ありませんが、不具合が起きている間は表示が正しくできなくなってしまう場合もあります。
その間にサイトへ訪れてくれたユーザーを逃す原因にもなるので、機会損失にもなりますので避けたいところです。

SSL化のためのWordPressプラグインの選び方

SSL化するためのプラグインはたくさんありますが、今回は以下の基準でピックアップしています。

公式ディレクトリに登録されていること

公式ディレクトリとはWordPress.orgのPlugin Directoryのことで、こちらに登録されているとWordPressにログインした際のダッシュボードよりプラグインのインストールが行えます。

公式ディレクトリに登録されている

WordPress管理画面から直接追加できるプラグインを選んでいます。
互換性に心配のないもの、評価が高いプラグインであることを条件としました。
最終更新の日時からあまりにも日が経っているものも除外しています。

プラグイン単独で動くこと

プラグインとは別に何かサービスとの連携が必要だったり、購入が必要になるものは避けてます。
WordPressの使用に特に慣れていない方でも簡単に使用できるよう、インストール・有効化するだけで稼働するプラグインを選んでいます。

ただし、SSL化をさせるためにはプラグインでの処理とは別に、サーバー側で証明書を取得する必要があります。
サーバーでSSL化を行うための手順については後述します。

シンプルな機能設定であること

高機能なプラグインは設定の難易度が高い場合が多いため、SSL化以外の設定も行える複数の機能がついたプラグインは避けました。
今回はSSL化の対応のみできるプラグインを選んでいます

WordPressをSSL化させるプラグイン2つの使い方

WordPressをSSL化させるプラグインを上記の基準で2つ選びましたのでご紹介します。

Really Simple SSL

Really Simple SSL

WordPressをSSL化するプラグインの中でも一押しなのがこちらの「Really Simple SSL」です。
使用方法はとても簡単。
軽量化のためにサイトの機能を最小限に抑え、ワンクリックでサイト全体を常時SSL化します。
インストール・有効化するとこのような表示が出ますが、青いボタンを押すだけで設定完了です。

Really Simple SSL 設定_1

ボタンを押した後はWordPressからログアウトした状態になるので、再度ログインしてください。これで作業は終了です。
詳細に設定もできますが、通常のWebサイトであれば特に何かを変更する必要はありませんので、そのままで大丈夫です。

Really Simple SSL 設定_2

▼公式サイトはこちら
https://ja.wordpress.org/plugins/really-simple-ssl/

SSL Insecure Content Fixer

SSL Insecure Content Fixer

こちらのプラグインは簡単に丸ごとSSL化させるというよりは、細かく設定しておきたい方向けのプラグインです。
インストール後、「設定」の「SSL Insecure Content」から詳細な設定ができます。

SSL Insecure Content Fixerの設定_1

こちらのプラグインではインストール後にURLの設定を変える必要があります。
「設定」から「一般」をクリックします。

SSL Insecure Content Fixerの設定_2

「WordPressアドレス(URL)」と「サイトアドレス(URL)」の「http://」を「https://」に変更してください。
これで設定は完了です。
▼公式サイトはこちら(日本語対応していません)
https://ja.wordpress.org/plugins/ssl-insecure-content-fixer/

SSL化した後のhttp・httpsのリダイレクト設定

SSL化した後は「http://」から「https://」へリダイレクトする必要があります。
なぜなら、Googleは「http://」と「https://」のサイトを「それぞれ別のサイト」であると認識するからです。
本来は1つのサイトとして受けるべき評価が分散されてしまうと、検索順位にも悪影響を及ぼす可能性があります。

Googleから正しく評価を受けるためにはリダイレクトの設定は行うようにしましょう。
リダイレクトをするにはいくつか方法がありますが、「http://」と「https://」のサイト統合を行う際は、「.htaccess」というファイルを利用し、「301リダイレクト」の設定をします。
.htaccessを利用する際は慎重に行う必要があります。

注意 類似のリダイレクトで「302リダイレクト」もありますが、301リダイレクトが恒久的に転送するを意味するのに対し、302リダイレクトはあくまでも一時的な移転の際に使用されます。
今回のケースは302ではなく301リダイレクトを使用するようにしてください。

ご紹介したプラグインを使用すれば自動的にこの辺りのリダイレクトも処理されてるはずですが、念のため確認をするようにしましょう。
確認するためのチェックツールもあるのでぜひ利用してみてください。
▼リダイレクトチェックツール「ohotuku.jp」
http://ohotuku.jp/redirect_checker/

【コラム】サイト内検索にもChromeでは警告がでる?

Googleは2019年10月から、よりセキュリティを強化し、今後はWebサイト内に設置された「サイト内検索」も警告対象となります。

自身のWebサイト内に「サイト内検索」に実際にテキストを入力した際、SSL化されていない場合は入力したタイミングでアドレスバーに「保護されていません」と表示されます。
▼SS化されていないサイトはアドレスバーに「保護されていない通信」と表示される

SS化されていないサイト

さらに、Googleは「混合コンテンツを段階的にブロックする」と発表もしています。
▼No More Mixed Messages About HTTPS【Security Blog】
https://security.googleblog.com/2019/10/no-more-mixed-messages-about-https_3.html

混在コンテンツとは、Webサイト自体はhttpsで、そこに読み込まれる画像や動画、スクリプトなどは暗号化されていないhttpの状態になっている状態を言います。

今は問題なく閲覧できる状態ですが、今後はそれらが徐々にブロックされていくとされています。
ユーザーは画像や動画がセキュリティ的に安全か確認する手間がなくなるのがメリットです。
一方で、Webサイト運営側としては正しい対応が必要になります。

【まとめ】WordPressのSSL化対応をきちんと行うために

Googleは2014年からSSL対応を推奨しています。
▼HTTPS をランキング シグナルに使用します【ウェブマスター向け公式ブログ】
https://webmaster-ja.googleblog.com/2014/08/https-as-ranking-signal.html

SSL化したからといって検索順位が絶対上がるということはありませんが、マイナス評価を受けることがなくなりますので、最低限対応しておきたいところです。

また、せっかくSSL化をしたのに、httpとhttpsが混在していると同じようなWebサイトが2つあると、正しい評価を受けることができなくなります。
設定は正しく行うようにしましょう。

プラグインを使用することで簡単にWebサイトをSSL化することはできますが、WebサイトのSSL化はそれなりにリスクのある作業です。
少しでも不安がある場合は制作会社に相談することをオススメします。

Webサイトの内容によっては、SSL化するにあたって専門知識を要する場合もありますし、利用しているサーバーや契約プランによっては常時SSL化を実施できないものもあります。
自身で作業を行う場合でも、必ずバックアップを取るようにしてください。

※WordPressに強いホームページ制作会社を知りたい方はこちら

WordPressに強い優良ホームページ制作会社10社をプロが厳選!

WebサイトのSSL化を制作会社に相談したい方へ

制作会社をなかなか探す時間がない・制作会社の違いが分からないという方は、ぜひWeb幹事にご相談ください。
Web幹事は、あなたに最適な制作会社を「人力で」マッチングするサービス。
実際にWeb制作・運用を経験したプロのコンサルタントが対応するため、業者選びの手間なく、質の高いマッチングを受けることが可能です!

コンサルタントのご紹介 Web幹事 コンサルタント 岩田真 岩田 Web制作会社を設立し、
3年間で上場企業を含む50社以上制作に携わらせていただきました。

様々なお客様のWeb制作を実際に行ってきましたので、
初心者の方でも安心してご相談ください!

あなたの目的や予算に合わせて最適な会社をご紹介させていただきます。
ご相談はもちろん無料。また紹介された会社に必ず発注する必要はありません。

あなたに最適な会社を紹介してもらう