【WordPressでSSL対応】httpをhttpsにするためにやった10の設定や手順


のブログを、常時SSL(暗号化通信)に対応しました。SSL(Secure Sockets Layer)とは、インターネットの安全な接続のことで、URLの最初がhttpからhttps (sはsecure[安全]の意味)へと変わります。

使っているサーバーでSSLが無料化されたので、気軽な気持ちで対応してみようとやり始めただけでしたが、やってみるとけっこう大変な作業でした。

全部のページでhttpがhttpsになるだけだから、機能をオンにしたらそれでOK、というくらいに考えていましたが、ところがどっこい、httpとhttpsは、別のページとして認識されるため、これまでのリンクを書き直したり、各種サービスに新しくサイトを登録しなおしたりしなければなりませんでした。

それでも、常時SSL化は、これからサイト運営している人はどこかで取り組まなければいけない課題なので、これからやってみる人にも役立つメモ書きとして、わたしがやった10のことを載せておきます。

他のサイトで説明されいる手順より多いですが、自分でやったからこそ気づけた見逃されがちなポイントについても含めて書いておこうと思います。

スポンサーリンク

なぜ常時SSL(暗号化通信)を個人ブログにも導入すべきか

最初にも書きましたが、SSLとは暗号化通信のことで、近年、インターネットの世界で導入が進んでいます。

現在、パスワードやフォーム送信するサイトでは、その部分だけSSL化されているのが標準で、支払いやログインの情報が第三者に抜き取られないようになっています。

それなら、売り買いするわけでもないただのブログには関係ない話なのかというとそうではなく、アクセス情報なども重要な個人情報の一部です。そのため、パスワードやカード番号を入力するページにかかわらず、あらゆるページをSSL化する常時SSLが導入されつつあります。

たとえば、Chromeで各サイトにアクセスすると、

有名どころのサイトはこのようにURLに鍵マークがついて、「保護された通信」というラベルがついています。URLも「https」から始まっています。これが常時SSL対応のサイトの証拠です。

Chrome以外のFirefoxなどのブラウザでは、それほど目立たないものの、やはり鍵マークなどが出るので、SSL対応しているかどうかはわかります。

一方で、大手にもまだ未対応のサイトはちらほらあり、

ニコ動やはてブなどはSSLではないため、「i」マークになっています。この「i」マークをクリックすると、このサイトの接続は安全ではないという警告が表示されます。

今のところは、SSLでなくても、それほど目立っていませんが、今後、Googleが常時SSLを標準化して、対応しているサイトを優遇していくと数年前に発表しました。

GoogleのHTTPSサイト優遇方針で待ったなし! Webサイト常時SSL化の効果と実装ポイント | 【レポート】Web担当者Forumミーティング 2016 Spring | Web担当者Forum

しかも、2017年1月(つまり今月)から、Chromeではフォーム送信などのページでhttp接続の場合、あからさまな警告を表示するようになるとのことで、それ以外のページでも、常時SSLでないなら、やがて警告を表示するようアップデートすることを明らかにしています。

GoogleがSSL化推進へ:HTTP接続のサイトに警告表示(2017年1月より) | 創kenブログ

つまり、常時SSLに対応していかなければ、いずれGoogleの検索に出にくくなり、サイト訪問してもらっても警告が表示されるような時代になっていくようです。

これは、2016年に、モバイルフレンドリー対応していないサイトの検索順位が低下したのと同じで、避けられない時代の流れだと思います。

レスポンシブデザインでスマホから見ると表・アドセンス・余白などがはみ出してしまう問題を解決
Googleのモバイルフレンドリー全面導入に合わせて、スマートデバイスからでも読みやすいようにブログのデザインを調整しました。

端的に言ってしまえば、ネット社会を取り仕切っているGoogle幕府が「生類スマホ対応の令」とか「生類SSL化の令」を布告したら、ネット上にいるわたしたち平民は否が応でも対応していくしかないわけです。

ここ数年、大手企業も常時SSL化導入を次々に発表しているので、さっき対応していない例に挙げたニコ動やはてブも近いうちに対応してくるでしょう。

最近では、Googleだけでなく、Yahooも常時SSL化したことで、アクセス解析で検索エンジンのキーワードがほとんどわからなくなったのに気づいたブログ運営者もいると思います。

Yahoo! JAPANサービスは常時SSL(AOSSL)に対応します - Yahoo! JAPAN

ちなみに大手ブログサービスで個人ブログを運営している場合、プラットホームがSSL対応していれば、ブログも勝手に対応していることがあります。

わたしもTumblrでギャラリーを持っていますが、最初から対応していて、自分のサイトづくりで経験しているこの苦労は何なんだろうな―と複雑な気分になったり(笑)

WordPressやMovable Typeなどを使って、自分でサイトを運営していると、自由度も高いですが、モバイルフレンドリーにしても、SSLにしても、そしておそらく今後はAMP(Accelerated Mobile Pages)など、時代の流れに自分で対応させていかなければならないので、なかなかつらいですね。

自分の持ち家を持つより、大手サービスに間借りしているほうが楽だろうな―とよく思います。

今が常時SSL化に取り組む最適な時期といえるのはなぜか

こうして、数年前からSSL化の流れが進んでいるネット社会ですが、これまでは、SSL化するためには有料の証明書が必要で、しかもアフィリエイトのサービスなどは対応していないものも多く、まだ導入するには早すぎるという感じでした。

高いコストを払ってSSL化しているのに、サイト内のアフィリエイト広告や、外部サイトからの埋め込み画像などがSSLに対応していないせいで、一部SSLでない部分が残ると、「混在コンテンツ」として、安全ではないとみなされてしまいます。

SSL化するなら、徹底的にやる必要があって、一部でも抜け漏れがあると台無しになってしまうわけです。

しかし、2016年あたりから、SSL証明書を無料で取得できるようになってきて、アフィリエイト広告なども徐々にSSLに対応してきました。これによって、SSL化するデメリットが消えてきた今が、個人ブログでもSSL化にチャレンジいる最適な時期だと思いました。

こういう新しい技術の導入は時期的なタイミングが重要で、早すぎるとまだ対応していないサービスが多すぎて、無理やりな方法しか使えず、かえって破綻しがちです。かといって遅すぎると、検索結果から抹消されてついていけなくなっていきます。

モバイルフレンドリー化は今が最適な時期の終わりごろ、SSL化はようやく最適な時期に差し掛かったころ、AMPはまだ早すぎる、といった感じだと思っています。

モバイルフレンドリーに対応していない昔のホームページビルダーで作ったようなサイトは、よほど内容が充実しているものを除いて、もうほとんど検索結果で見かけなくなりました。あれがネット社会についていけなかった個人サイトでの末路なのだと思います。

そんなわけで、SSL化に最適な時期になりつつある今、個人ブログでもSSL化に踏み切った方々がけっこういて、やり方のノウハウをまとめてくださっているので、安心してトライすることができました。

SSL対応のデメリット

しかしながら、常時SSL化にはデメリットもあります。

(1)使えないサービスがある
特に外部サイトから画像や動画を貼り付けている場合、外部サイトのサービスがSSLに対応していないと表示できなくなります。

たとえば現時点ではSSLに対応していないニコニコ動画を埋め込むことはできません。

また、はてなのブログカードを利用すると表示されなくなります。(ただし「Pz-LinkCard」など別のプラグインで代用可)

自分がよく活用しているサービスについて調べてみて、まだSSLに対応していない場合は、もう少し様子を見て、それらのサービスが対応した時点で移行するといいでしょう。

しっかりした堅実なサービスなら必ず対応してきますし、もしいつまでも対応しないようなら、そのサービスを使うのはやめたほうがいい、ということにもなります。

(2)SNSのシェア数がリセットされてしまう
人によっては一番大きなネックになりそうなのが、これまで積み上げてきたSNSのシェア数がリセットされてしまうこと。正確には消えてしまうわけではなく、httpのこれまでの記事と、httpsの新しい記事とが、SNSからは別記事扱いされてしまうためにそうなります。

特に記事にSNSアイコンを並べて、シェア数も吹き出しで表示している人の場合、0からになってしまうのは大きなネックに思えるかもしれません。

しかしいつかはSSL対応しなければいけないので、それならば、これからさらにシェア数が増えるより前に、今の時点で対応しておいたほうがいい、という見方もできます。早いうちにやったほうが被害が減ります。

また、近年では、Twitterがツイート数の表示をなくすなど、シェア数で記事の価値をはかる風潮が廃れつつあります。結局のところ、コンテンツの内容が大事なので、いっそシェア数の表示をなくしてしまうのも手です。

それでも納得がいかない人の場合は、あくまで見かけ上ですが、SNS Count Cacheというプラグインを使えば、シェア数の表示を引き継いだまま、表示することもできます。詳しくは手順6にて。

SSLを取得・有効化する

SSLを取得して有効化する方法は、いろいろありますが、わたしが使ったのはサーバーで無料提供されているサービスを利用する、とても簡単な方法です。

今のところ、WordPressで使っている人が多いエックスサーバーや、同系列のwpXで無料化されているので、その手順に従いました。

wpXの場合、具体的には「サーバー管理」→「WordPress設定」→「セキュリティ設定」→「独自SSL設定」から有効化します。SSLが有効になるまで少しかかるので、その間のサーバーのバックアップファイルをダウンロードするなどしておきます。

その後、「独自SSL設定」のページの右側のタブ「SSL化補助機能」を開き、4つの項目にチェックを入れて有効化します。ここでの操作は取り消せないので、必ずバックアップ後にやってください。

この4つの項目では

(1)WordPressダッシュボードの「設定」の自サイトのURLをhttpsに書き換え
(2)投稿やページの内部リンクをhttp→httpsに一括で書き換え
(3)テーマファイル内の内部リンクをhttp→httpsに一括で書き換え
(4)htaccessファイルにhttpからhttpsへのリダイレクトを書き込み

を自動でやってくれます。どれも手動でもやれる部分ですが、勝手にやってくれるとお手軽です。

この操作は書き換えとなる以上取り消せませんが、うまくいかなければ後で自分で元に戻すことも一応は可能です。

(1)はダッシュボードの「設定」→「一般」から簡単に編集できます。

(2)は、手動でやる場合も、うまくいかなくて修正する場合も、Search Regexというプラグインを使います。これは、全記事の特定の文字列を検索・置換できる超優良プラグインで、どのみちこれから使うことになるのでインストール必須です。

(2)を手動でやる場合、あるいは手動で訂正する場合は、ダッシュボードの「ツール」→「Search Regex」から自サイトのURLを入れて、「http://◯◯.com/」から「https://◯◯.com/」、またはその逆に置換すればOKです。

(3)はテーマファイルが編集されるので、手動でやる場合は、ダッシュボードの「外観」→「テーマ編集」から、各phpやcssで自サイトのURLをブラウザのページ内検索(Windowsの場合はctrl+F)で探して、httpsにしていけばOKです。wpXのSSL補助機能で自動で変更したのを元に戻す場合は、バックアップから復元するといいかもしれません。

(4)はFTPソフトでhtaccessファイルを探して編集するか、wpXの場合は、WordPress設定から簡単に編集できます。

このあたりの詳しいやり方や、別のサーバーでの方法などは、詳しく解説してあるサイトがたくさんあるので、参考にしてください。

【超簡単】WPXでウェブサイトに無料SSLを導入するメリットと手順

【常時SSL化】URLを無料でhttpsに変えました【wpxクラウド】

wpXクラウドにSSL導入した手順 |WordPress | ぬふふ.com

WordPressをhttpからhttpsにSSL化した全手順まとめ(エックスサーバー環境)

【WordPress】SSL対応(http→https)の設定で参考になった記事まとめ | 45House

HTTPS移行に踏み切った理由3つと、SSL化する際に頭に入れておくべきノウハウ7つ。

SSL有効化の後でする10のこと

これからは、上記サイトなどを参考にしつつ、わたしがSSL対応のためにやってみたことを書いていきます。

まず、SSLに対応すると、httpのURLと、httpsのURLは、実は別物とみなされています。そのため、Googleなど各種サービスに登録し直す必要があります。

上記方法でSSLに対応しても、ChromeやFirefoxなどのブラウザで見ると、さきほどの鍵マークがついておらず、「完全に安全ではない」などと注意表示がされているかと思います。

これは混在コンテンツ状態といって、コンテンツ内にhttpの部分がまだ残っていることを示しています。

このあたりの問題を修正して、やっと常時SSL化が完成するので、その手順をひとつずつこなしていきましょう。

1.Googleに登録

まずは、何はともあれ、GoogleにSSL化したことをお知らせする必要があります。

WordPressを運営している人なら、Google Analyticsでアクセス解析して、ウェブマスターツール(Search Console)にサイトマップを登録している人がほとんどだと思うので、新しく紐付けする必要があります。

詳しい手順はこちらのサイトを参考にしました。

サイトのhttps化が終わった後は、GoogleアナリティクスとSearch Consoleの設定をちゃんと変更しよう | ブログマーケッターJUNICHI

まず、Analyticsのほうの設定は楽です。「管理」→「プロパティ設定」へと進み、「デフォルトのURL」のプルダウンを「https」に変えて保存します。「Analytics設定」→「ビュー設定」でも同様にします。

その画面を開いたまま、ウェブマスターツール(Search Console)へ行き、「プロパティ追加」から新しいサイトとして、httpsのURLの自サイトを新規登録します。所有権確認の画面になりますが、Analyticsの設定をすませてあるので、トラッキングコードで確認できます。

ここでAnalyticsのほうに戻って、「管理」→「プロパティ設定」の下の方にある「Search Consoleを調整」をクリックして、再度保存しておきます。これでAnalyticsのほうでやることは終わり。

次いで、Search Consoleに戻り、新しいURLのプロパティを開き、「サイトマップ」の部分から、自サイトのサイトマップを送信します。すでに以前Search Consoleに登録していれば、そのときにサイトマップを作ってあると思うので、そのアドレスを入力するだけ。たいていは「sitemap.xml」だと思います。

わたしの場合はプラグインのGoogle XML Sitemapsで作ってありました。ただ、今回気づいたのですが、どうやらGoogle XML Sitemapsでバグが発生しているようで、サイトマップが正しく認識されない事態に。

この際なので、使っている別のプラグインAll in One SEOでもサイトマップを作れるので、そちらに移行してサイトマップを作り直し、Google XML Sitemapsは消去してプラグイン数を整理しました。

サイトマップ【Google XML Sitemaps】のエラーに対処する方法 | 慶應生のリアルな就活ブログ

それから、httpのほうのサイトを登録したときもやる人はやっていたと思いますが、wwwがついたURLも「プロパティ追加」から登録します。そして、さっき登録したほうのwwwがついていないほうのURLのプロパティを開き、「設定」→「サイトの設定」から「使用するドメイン」をwwwがないほうに統一しておきます。

Googleウェブマスターツールで使用するドメイン(wwwの有無)を設定する | bl6.jp

これでGoogleへの報告は終わり。

3.https版の管理画面にログイン

続いて、https版のWordPressの調整を色々としていきます。まず最初は、https版の管理画面にログイン。

wpXの機能を使っていれば、ダッシュボードの「設定」→「一般」でURLがhttpsに書き換えられていて、httpにアクセスしてもhttpsにリダイレクトされるようになっているので、この手順は特に必要ありません。

しかし、いつもブラウザのブックマークなどから管理画面にログインしたり、自サイトを表示したりしている人は、覚えているうちに、ブックマークのURLも書き換えておくのがいいかと思います。

また、フェイスブックなど、各種SNSのプロフィールに書いてある自サイトのURLや、ブログランキングなどの登録情報も、この機会に忘れないうちにhttpsに書き換えておくといいかもしれません

3.htaccessでリダイレクトを設定

すでにwpXのSSL補助機能でリダイレクトの設定が終わっていれば問題ないですが、まだの場合は、httpのサイトにアクセスされたとき、httpsにリダイレクトしてくれるよう、htaccessのファイルに記述しておきます。

htaccessを編集するには、wpXのようにサーバーの管理画面から編集できるものもあれば、FTPソフトを使って、自力で書き換えにいく必要がある場合もあります。

【常時SSL化】「.htaccess」に「http→https」の301リダイレクト設定をする方法(エックスサーバー) | おすすめ方法.com

WordPressの常時SSLとhttpsリダイレクト!SSL証明書をエックスサーバーで取得

4.子テーマのphpやcssを書き換え

https版のダッシュボードにログインしたら、まずはサイトのテーマのURLを修正していきます。

この手順はwpXのSSL補助機能を使用している場合は、自サイトのリンクの書き換えは終わっているはずですが、外部サイトのものを読み込んでいる記述など、思わぬ見逃しがあるので、要チェックです。

手動でやる場合は、ダッシュボードの「外観」→「テーマ編集」から、使っている子テーマのphpやcssを修正していきます。あらかじめバックアップをとっておくことを推奨します。

それぞれのphpやcssを開いて、ブラウザのページ内検索(Windowsの場合はctrl+F)で「http://」の文字列を探して、「https://」に書き換えていきます。

(文字列を「http」で検索して「https」に置換すると、もともと「https」だった部分があった場合、「httpss」になって無効化してしまうので注意。ちゃんと「://」まで入れておくこと)

自サイトの内部リンクがあればもちろん修正しますが、積極的にテーマをカスタマイズしてきた人の場合、そのほかにも、header.phpやcontent.php、function.php、style.cssなどに、外部サイトからのスクリプトや画像などを書き込んでいることがあります。

sがついていない「http」の記述をみつけたら、そのURLの先のサービスがhttpsでも使用できるのかどうかを確認して、適宜書き換えるか、削除するかしていきましょう。

今後のphp、css、htmlなどの書き換え全般に言えることですが、リンク先がSSLに対応しているのが確かであれば、「https:」の部分を省略して「//」からリンクを書くことができます。

リンク URL の http:、https: は省力するとよいです♪ – oki2a24

リンクの`http:`や`https:`を省略して現在のプロトコルでリンク先にアクセスさせる - Qiita

URLの指定方法,(絶対パス、相対パスと省略方法)

テーマ内で//や/* */でコメントアウトされている部分の中にあるURLは、テーマ製作者のサイトやヘルプへのリンクで、特に影響しないので書き換える必要はありません。

5.ウィジェット、メニューバー、ヘッダー画像のURL書き換え

続いてサイトの外観の修正を。

wpXのSSL補助機能などを使っていれば、コンテンツのリンクは修正されていますが、ウィジェットなどのリンクはそのままです。

ダッシュボードの「外観」→「ウィジェット」から、各種ウィジェットの中にテキスト形式で記入しているリンクがないか調べます。特にウィジェットにプロフィール画像やSNSボタンの画像などを貼っている人はリンクを書き換える必要があります。

カテゴリーやタグを勝手に表示するウィジェットを使っているだけの人は問題ありません。

テキスト形式でリンクを書いているウィジェットがあったら、内容をひとつずつsをつけて修正していくか、多すぎるようならいったんテキストエディタに貼り付けてhttpをhttpsに置換するかして修正します。

またサイト上部にメニューバーがあるテーマでは、「外観」→「メニュー」から確認し、カスタムリンクで入力しているURLがあれば、修正しておきます。

意外と見逃しやすいのがヘッダー画像やサイトロゴで、そのままではhttpのままになっているので、「外観」→「ヘッダー」から再アップロードすれば修正されます。

6.各プラグイン中の自サイトのリンクを書き換え

続いては使用している各種プラグインの設定でhttpのままのところがないか確認していきます。

使っているプラグインは人によって全然違うので、ここだけ確認すればいい、という手軽な方法はないですが、たとえば、以下のようなところで書き換えが必要かもしれません。

■ファビコンを設定するプラグインで指定している画像のURL
■SNS連携関係のプラグインで、シェアされるときのデフォルト画像として指定している画像のURL
■サムネイル付きで人気記事や関連記事を表示するプラグインで、アイキャッチ画像がないときのデフォルトとして指定している画像のURL
■301リダイレクトを設定するプラグインで、すでにリダイレクトを登録したURL
■記事の前後に広告や定型文を挿入するプラグインで、記述しているテキストの中のURL

7. SNSボタン確認&カウント引き継ぎ

続いて、記事の前後に置かれているだろうSNSのシェアボタンについて。

シェアボタンをテーマに直接書き込んでいる場合は手順3で、記事の前後に定型文を挿入するプラグインで入れている場合は手順5で見つけたかもしれませんが、シェアボタンはすべてhttpsに対応しているとは限りません。

シェアボタンがhttpで記述されている場合は、そのSNSがSSLに対応しているかどうか調べて、SSLに対応している記述に変えておく必要があります。

わたしの場合はボタンの仕様変更に合わせて書き換えるのがめんどくさいので、WP Social Bookmarking Lightプラグインを使って記事の前後に挿入していますが、確認してみると、このプラグインのTumblrやLINE、EvernoteのアイコンはSSL未対応でした。

今後対応してくる可能性も大きいですし、手動で入れる場合は修正できるのかもしれませんが、それほど大事なものでもないので、とりあえず外しておきました。

そして、すでにデメリットでも書いた部分ですが、SNSのシェア数がリセットされる問題については、SNS Count Cacheというプラグインで対処します。

使い方の説明は、すでに詳しいサイトがたくさんあります。

サイトをSSL化した時、シェア数を引き継ぐには | さくっとwordpress∞

SNS Count Cacheを使うとhttps化してリセットされたSNSカウント数を復活させられる!? | ブログマーケッターJUNICHI

このとき、特にフェイスブックの設定で、APP IDやらトークンやら、ややこしいものを色々調べる必要がありますが、こちらのサイトが参考になりました。

Facebook APIのアクセストークンを取得する方法を毎回忘れるためメモしておく。

▼追記
その後、SNSボタンについては、WP Social Bookmarking Lightによる公式ボタンは重いので、ウェブフォントIcomoonを使った自作アイコンに変えました。

【WordPress】IcoMoonのWebフォントを使ってSNSのシェアボタンとアイコンを自作してみた
WebフォントサービスIcoMoonを使って、SNSシェアボタンを自作してみた。

8.記事本文やアフィリエイトのURLを検索置換

続いて、記事本文のURL修正をしていきます。

ここで使うのは、さっきちょっと触れたSearch Regexというものすごく便利なプラグイン。投稿記事とページ全体の文字列を検索・置換できる優れものです。

インストールしたら、ダッシュボードの「ツール」→「Search Regex」を開きます。

まず、wpXのSSL補助機能を使っていない場合は、内部リンクをすべて書き換えます。自分のサイトのURLを入力して「http://◯◯.com/」を「https://◯◯.com/」に「Replace and Save」で置換。これは、テキストエディタの置換と同じく、完全に書き換えているので、あとでプラグインを停止してもそのままです。

注意点として、Search Regexは、あまりに置換する項目が多すぎると、メモリが足りないというエラーが出て、変換できないことがあります。

その場合は一例として

「http://◯◯.com/a」→「https://◯◯.com/a」

「http://◯◯.com/b」→「https://◯◯.com/b」

など、置換する部分の後にアルファベットや数字を一文字入れて、検索・置換する文字列を限定して、少しずつ置換していけば大丈夫です。

ワードプレス(WordPress)でリンクURLを一気に検索置換、プラグイン「Search Regex」がすばらしい | ちほちゅう

そして、すでにSSL補助機能を使って内部リンクを変更してある人も、ここからが問題となる部分。

WordPressをやっている人はアフィリエイトや何かしらの画像を表示する外部サービスを色々と記事の中で使っていると思いますが、それらをSSL対応に書き換える必要があります。

■Google AdSense
無条件で対応しているので、そのままでOK

■Amazonアソシエイト
対応はしているものの少し調整が必要です。まずは、AmazonアソシエイトにサイトURLの登録変更届を出す必要があります。

詳しくは以下のサイトで書かれているとおりです。

サイトをSSL化した時Amazonアソシエイトのサイト登録はどうなる?

まず、Amazonアソシエイトにログインして、「アカウント情報」→「Webサイト情報の管理」へと進みます。

ここで、サイトの登録情報を書き換えたくなりますが要注意。勝手に自分で書き換えられるにもかかわらず、自分で書き換えてはいけません! 

「事前にこちらから連絡下さい」と細かく書いてあるとおり、「こちらから」のリンクについているフォームから、変更届を出す必要があります。

非常にわかりにくくて意味不明なのですが、以前に自分で書き換えてからフォーム送信したら怒られて再送信させられました。

また、フォームの最初の「名前」は上記記事では自分の名前でもサイト名でも、と書いていますが、自分の名前だそうです。自分の名前は下の欄の受取人欄でも書くので二回記入するというこちらもわかりにくいシステム。

また、昨年、AmazonアソシエイトのリンクはSSLに対応しましたが、過去に貼ったリンクを修正しないといけない場合は、こちらのサイトの説明がとてもわかりやすかったです。説明にそって、Search Regexで置換してください。

当 Blog を SSL 対応させたので手順や修正が必要になった点などをまとめ | WWW WATCH

■もしもアフィリエイト
もしもアフィリエイトを使っている場合は、こちらも2016年に対応したので、公式説明にそって置換していきます。

アフィリエイトリンクを【HTTPS対応】しました | もしもアフィリエイト公式ブログ

具体的には、

「http://c.af.moshimo」→「//af.moshimo」
「http://image.moshimo」→「//image.moshimo」
「http://i.af.moshimo」→「//i.moshimo」

に置換します。http:の部分は省略されている記述方式です。単にhttp:がなくなっただけでなく、その後のドメイン部分も微妙に変わっているので注意してください。

もしもアフィリエイトの場合も、Amazonと同様、ログインして登録情報を変更しておく必要がありますが、Amazonのように問い合わせすることはなく、自分で変更しても大丈夫そうです。

■カエレバ・ヨメレバ
カエレバ、ヨメレバ、などのブログパーツを使っている人は、こちらも2016年に対応したので、文字列を置換すればOKです。

カエレバがhttpsに対応!WordPress過去記事のリンク修正に便利なプラグインの紹介! | Notes of Life

上記記事のとおり「http://ecx.」→「https://images-fe.ssl-」に置換します。

今後これらのブログパーツを使う場合は、コードを取得したときに画像SSL化をonにすればいいそうです。

(※追記:その後デフォルトで対応したようです)

 ■はてなユーザー数の表示
そのほか、アフィリエイトではありませんが、記事を引用したとき、はてなのユーザー数(11usersなど)を取得して表示しているかもしれません。

調べたところでは、古いAPIに変換してやると表示できるそうですが、どうするかはお好みで。

サイト全体を HTTPS化 してみた!SSL化 は必須だよ

SSL化したときのはてブ数が表示されない

はてなブックマークAPIをSSLなサイトに使う | ぴんくいろにっき

■Flickr
Flickrなどで外部から画像を引っ張ってはている場合も、古いリンクはhttpsに変える日強あうがあります。

9.要素を調査する

ここまでやれば、ほとんどの問題は解決されているはずです。

しかし自分のサイトにChromeやFirefoxなどのブラウザでアクセスしてみて、相変わらず鍵マークがついておらず、混在コンテンツがあることが示唆されている場合は、ブラウザの開発者ツールで原因を特定します。

Firefoxの場合はサイト上で右クリックして「要素を調査」を選び「セキュリティ」の項目を見ます。Chromeの場合は同じく右クリックして「検証」を選ぶと、問題のある部分が赤いURLの文字列になって表示されます。

「このWebサイトとのすべての通信が暗号化されていません。」って大丈夫ですか。 | 世界一わかりやすいセキュリティ

はっきりいってわかりにくいですが、赤いURLの文字列を読めば、だいたい何のサービスが引っかかっているのかわかると思います。

わたしの場合は、ずっと昔に入れた、サイトのcssを調整するプラグインがSSLに対応していませんでした。修正するのも難しいので、プラグインを無効化して、プラグインがやっていたことを別のやり方で実装しました。

また、もう一箇所は、親テーマで読み込んでいるGoogle Fontsのスクリプトでした。wpXのSSL補助機能では内部リンク以外は修正されませんし、ここまでの過程でも子テーマのほうしか確認していなかったので、親テーマが古いスクリプトでGoogle Fontsを呼び出しているとは盲点でした。もちろんスクリプトをhttpsに修正したら直りました。

とりあえず、残っているものは、何かのプラグインか、どこかのテーマの記述であることがほとんどなので、わからなければURLの文字列を検索して何の関係なのか確かめるなどして、特定して直していくしかありません。

これで、おそらく、ついにブラウザのURL部分に鍵マークが表示されるようになると思います。

10.できるだけ多様なページを確認

最後に、サイトのトップページのURLで鍵マークが表示され常時SSLになっていても、そのほかのページで混在コンテンツが残っていることはよくあります。

トップページのほうに、メインアーカイブ、カテゴリアーカイブ、タグアーカイブ、固定ページなどにも一通りアクセスしてみて、鍵マークが表示されるか確かめましょう。

それらに問題がなければ、ほぼOKですが、それでも一部の記事に混在コンテンツが残っていることはあります。昔に書いた記事など、今とは違うサービスを使っていたり、たまたま動画や外部イメージを貼り付けていたりすることがあります。

急ぐ必要はないので、徐々に過去記事も振り返って、常時SSL化に漏れがないか確かめていくといいと思います。この機会の過去記事を修正したり追記したりするのもいいかもしれませんね。

以上で、WordPressのSSL対応はおわりです。お疲れ様でした。

じつはこのサイトも、まだ微妙に不完全で、いくつか問題が出ているので、今後対処していこうと思っています。SNSのシェア数表示は一部うまくいかなかったので、時間をかければ解決できそうなものの、そんなに大事でもなかったので、とりあえず非表示にしました。

SSL化はかなり大変で、企業サイトも労力が大きすぎるため二の足を踏んでいるところもあると聞きます。

自分でサイトを運営しているとこういうところが大変ですが、なんとかして時代の流れにはついていきたいものです。

スポンサーリンク

スポンサーリンク
WordPress