2018年7月24日現在、Google Chromeがデータを収集するかどうかにかかわらずHTTPS以外のすべてのウェブサイトを「安全でない」と表示するようになりました。HTTPSがこれまでになく重要になりました!

今日の記事では、HTTPからHTTPSへの移行および、その以降がWordPressウェブサイトにとってはできる限りスムーズであるための工夫について紹介します。ご存じの方もいるかもしれませんが、Googleはより安全なウェブにすべてのユーザーを移動するという目標に向かって全力を尽くしています。WordPressウェブサイトの持ち主としては積極的であった方がいいです。新しいプロトコル、SEOメリットと、より正確な参照元データのために、今こそHTTPSに移行する価値があります。その理由と方法については本記事をご参照ください。

HTTPSとは?

HTTPS(Hyper Text Transfer Protocol Secure)は、ブラウザまたはウェブアプリケーションが安全(セキュア)にウェブサイトに接続できるようにするメカニズムです。HTTPSは、ブラウジングを安全かつセキュアにする手段の一つです。これには、銀行ウェブサイトへのログイン、クレジットカード情報の取得、WordPressウェブサイトのバックエンドへのログインなどが含まれます。WordPress WebウェブサイトのHTTPSには、暗号化用のSSL証明書が必要です。これによりデータがテキスト形式で送信されることはありません。

Builtwithによると、2018年2月現在、トップ10,000のウェブサイトの49.8%がHTTPSを使用しています。2015年9月にはまだ5.68%でした。

トップのウェブサイトのHTTPS利用率

トップのウェブサイトのHTTPS利用率

2018年2月現在、2016年1月の26%に対し検索クエリの77%以上がHTTPS経由であったとMozCastが報告しています。つまり、HTTPからHTTPSに移行するウェブサイトが数多くあります。

MozCast HTTPSクエリ

MozCast HTTPSクエリ

Google自身さえ、すべての製品とサービスを100%暗号化する目標に向かって頑張っています。2018年1月にはGoogleへのトラフィックの約91%がHTTPS経由です。2013年12月はまだ48%でした。

GoogleのHTTPSトラフィック

GoogleのHTTPSトラフィック

FirefoxのテレメトリーデータとLet’s Encryptのデータによると、すべてのページロードの66%以上がHTTPSになりました。

HTTPSを考慮すべき理由について

WordPressウェブサイトの持ち主としてHTTPSを考慮し、HTTPからHTTPSへの移動を検討すべき理由が実はいくつかあります。

1.セキュリティ

HTTPSの最大の理由はもちろん、追加のセキュリティです。HTTPからHTTPSに移行することにより、暗号化されたSSL / TLS接続を介してウェブサイトを提供します。つまり、データと情報はテキスト形式で送信されなくなります。クレジットカード情報を処理する電子商取引ウェブサイトでは、もちろんマストです。法律では義務付けられているわけではありませんが、お客様の個人データを保護するのはビジネスとしての責任です。

電子商取引以外にも、ブログのWordPressログインページにも適用できます。 特に、複数の著者によるWordPressウェブサイトでHTTPを使用する場合は、著者がログインするたびにその情報がテキスト形式でサーバー上送信されます。HTTPSは、ウェブサイトとブラウザの間の安全な接続を維持するためには不可欠です。HTTPSだとハッカーまたは第三者がウェブサイトにアクセスするのを防ぐことができます。

2. SEO

HTTPSがランキング要素であるとGoogleが公表しました。影響度が少ないですが、競合他社に勝つためにどのSERPメリットも大切にする方が多いでしょう。また、誰もがHTTPSに移行するGoogleの目標もありますので、HTTPSの影響度が近いうちに増えるはずです。TLS/SSLがランキングに与える影響についてはこちらの記事をご参照ください。

なお、SEO及びHTTPSを取り巻くその他のデータを確認しましょう。Matthew Barbyは100万のURLの分析を行い、Googleの1~3位を得たすべてのページの33%以上がHTTPSを使用していることがわかりました。

HTTPSの使用率対Googleのランキング

HTTPSの使用率対Googleのランキング

3.信頼性

GlobalSignの調査によると、訪問者の28.9%がブラウザのアドレスバーが緑色であるかを確認しています。また、その77%が個人データがオンラインで傍受されたり誤用されたりすることを心配しています。

httpsアドレスバー

HTTPSは、SSL信頼というものを生み出すことにより、ビジネスを応援します。緑色の南京錠を見ることで、顧客は個人データが安全であることが分かり、安心します。

4.参照元データ

この項は特にマーケティング担当者に重要です。Google Analyticsをご利用の方は、参照元データをご存じかもしれません。あまり知られたいないですが、HTTPSからHTTPへのリファラー(紹介)の場合はそのデータがGoogle Analyticsでブロックされています。そのデータはどうなるかというと、ほとんど「直接トラフィック」のセクションに含まれます。HTTPからHTTPSへの場合も同様です。

なぜこれが大切かというと、あるウェブサイトのリファラー(紹介)によるトラフィックが急に低下したが直接トラフィックが上がった場合には、そのウェブサイトの大規模な参照元ウェブサイトのひとつが最近HTTPSに切り替わった可能性があるからです。また、その逆です。Mozによる直接トラフィックについての詳細なガイドをご参照ください。

5.Chromeの警告表示

2018年7月24日現在から、Google Chrome 68ではデータを収集するかどうかにかかわらずHTTPS以外のすべてのウェブサイトを「安全でない」と表示されるようになりました。HTTPSがこれまでになく重要になりました!

Google Chromeの「安全ではない」警告表示

Google Chromeの「安全ではない」警告表示

それに、2018年10月にChrome 70が登場すれば、HTTPSを利用しないすべてのウェブサイトに「安全ではない」と大きな赤い警告が表示されることになります(ユーザーがデータを入力するページを対象に)。Chromeからのトラフィックがウェブサイトのトラフィックの大半を占める場合はこれが特に重要です。Google Analyticsの「ユーザー」の「ユーザーの環境」にクリックすることにより、WordPressウェブサイトのGoogle Chromeからのトラフィックの比率を確認できます。

Chromeの赤い「安全ではない」警告表示(画像ソース:Google)

Chromeの赤い「安全ではない」警告表示(画像出典: Google)

Chromeはブラウザの市場シェアの56%以上を占めているため、多くの訪問者が影響を受けます。 Googleアナリティクスでは、「ユーザー」の「ユーザーの環境」の「OSやブラウザ」で各ブラウザの使用率が確認できます。例えば、下記の例ではウェブサイトの訪問者の63%以上がGoogle Chromeを使用しています。

訪問者のChrome使用率

訪問者のChrome使用率

Googleでは、あなたのWordPressウェブサイトがセキュリティで保護された接続を使用していない可能性があることを、訪問者にはっきりさせています。警告表示を避ける方法についてはGoogleが推進する工夫をご参照ください。

Firefoxでも、1月末のFirefox 51の発売以降は、パスワードを収集している安全でないウェブサイトを対象に赤い斜線付きの灰色の南京錠を表示することになりました。もちろん、ウェブサイト全体をHTTPSに移行すると、ご心配ありません。

Firefoxの「安全ではない」警告表示

Firefoxの「安全ではない」警告表示

まだHTTPSに移行していない場合は、Google Search Consoleから次の警告が表示されることがあります。

http://www.domain.comの所有者

次のURLには、パスワードまたはクレジットカード情報の入力欄があるため、Chromeの新しい警告表示が出るようになります。下記の例で警告表示が出る場所を確認することにより、ユーザーデータを保護する措置を取ることができます。リストは網羅的ではありません。

http://www.domain.com

この新しい警告表示は、暗号化されていないHTTPプロトコル上で提供されるすべてのページを「セキュリティで保護されていない」とマーキングする長期的計画の第一歩です。

6.性能

最後に、性能もあります。HTTP/2という新しいプロトコルのおかげで、HTTPS上で適切に最適化されたウェブサイトでは、スピード改善さえ確認できます。HTTP/2では、ブラウザサポートのためHTTPSが必要です。性能改善はさまざまな理由によるものです。例えば、HTTP/2がより優れた多重化、並列処理、ハフマン符号化によるHPACK圧縮、ALPN拡張、およびサーバープッシュなどのサポートができます。以前はHTTPS上で動作するようになったときにTLSのオーバーヘッドが結構ありましたが、現在かなり減ってきました。もうすぐ発売されるTLS 1.3はHTTPS接続のさらなるスピードUPします!

また、ドメインシャーディング及び連結などのウェブパフォーマンス改善措置が実際にパフォーマンスに悪影響を与える可能性があることにご注意ください。これらは時代遅れであり、基本的に使用しない方がいいです。

ウェブ上のすべてのものは、デフォルトで暗号化されるべきです。- Jeff Atwood, Stack Overflowの共同設立者

HTTPからHTTPSへの移行ガイド

さて、WordPressウェブサイトをHTTPからHTTPSに移行するという楽しいことについてご紹介するときが来ました。まず、理解しておく必要のある基本要件を確認しましょう。

  • SSL証明書が必要です。詳細については以下ご説明します。
  • WordPressホスティング会社とCDNプロバイダがHTTP/2をサポートしているかをダブルチェックしてください。Kinstaはすべてのお客様を対象にHTTP/2をサポートしています。これは必須ではありませんが、パフォーマンスのためにあった方がいいです。
  • HTTPSへの移行を行うための時間を確保する必要があります。5分でできることではありません。
  • 使用しているすべての外部サービスとスクリプトでHTTPSバージョンが使用可能であるかをダブルチェックしてください。
  • シェア回復ができるプラグインを使用しない限り、すべての投稿とページではソーシャルシェア数が0になりますので、ご了承ください。これは、シェア数がHTTPバージョンを参照していたAPIに基づいており、第三者のソーシャルネットワークを管理できないためです。
  • ウェブサイトの規模に応じて、新しいHTTPSページと投稿のすべてを再どクロールするにはGoogleがしばらく時間がかかることがあります。この期間中にトラフィックまたはランキングの変動が見られる可能性があります。
  • ローカルサイテーションも忘れないでください。
複雑になる恐れがありますので、始まる前にCDN統合をオフにし、キャッシングプラグインを無効にすることをお勧めします。

1.SSL証明書を選択する

SSL証明書がない方は、まず購入してください。Google が2048ビット以上のキー証明書を使用することを推進しますComodoDigiCertGeoTrustThawteRapidsslTrustwaveなどの販売会社から証明書を購入することをお勧めします。また、GoGetSSL、NameCheap、GoDaddyなどの安価な会社もあります。選択できる証明書は、主に次の3種類があります。

  • ドメイン検証:シングルドメインまたはサブドメイン、(電子メールまたはDNS検証)、数分以内に発行されます。通常、年間9ドルでも購入することができます。
  • ビジネス/組織体検証:シングルドメインまたはサブドメイン、より高いレベルのセキュリティと信頼性を提供するビジネス検証が必要で、1~3日以内に発行されます。
  • 拡張された検証:シングルドメインまたはサブドメイン、より高いレベルのセキュリティと信頼性を提供するビジネス検証が必要で、2~7日以内に発行されます。例えば、銀行のウェブサイトにある完全に緑色のアドレスバーがこれによりできます。

Let’s Encrypt

Let’s Encryptは、2016年4月にSSL証明書を取得できる無料の方法を作成しました。あなたのWordPressホストおよびCDNプロバイダにLet’s Encrypt統合があるか是非ご確認ください。Certbotのガイドに従い手動でインストールする方法もあります。Let’s Encryptの証明書は90日ごとに有効期限が切れるため、自動システムを設置することが重要です。

Kinstaのお客様には、Let’s Encrypt統合をご用意しました!この上なく簡単でSSL証明書をインストールできます。MyKinstaダッシュボードにログインし、WordPressウェブサイトの横にある「管理」ボタンをクリックします。

WordPressウェブサイトを「管理」

WordPressウェブサイトを「管理」

「ツール」をクリックし「HTTPSを有効にする」の下の「Let’s Encrypt証明書を追加する」を選択します。

無料のHTTPS証明書を生成

無料のHTTPS証明書を生成

次に、SSL証明書をインストールするドメインを選択するオプションがあります。 ウェブサイトがhttp://domain.comで、wwwから非wwwへのリダイレクトがある場合でも、HTTPSへリダイレクトするとその両方を選択する必要があります。それに「生成」をクリックします。(注:SSLを必要とするサブドメインを含むすべてのドメインを事前にMyKinstaダッシュボードで追加する必要があります。)

HTTPS資格情報

HTTPS資格情報

完了です! インストールには数秒がかかりますが、ウェブサイトは完全に保護されています。

2.カスタムのSSL証明書をインストールする

SSL証明書を購入した方は、WordPressウェブサイトにそのSSL証明書をインストールする必要があります。 販売会社との証明書設定を行うときに、サーバーの種類を指定するよう求められます。Kinstaのお客様であれば、当社のウェブサーバーの種類はNginxです。そのオプションが利用できない場合、 「その他」もいけるはずです。

証明書ファイルの作成·署名するには、SSLプロバイダがCSRコードを必要とします。CSRコードとRSAキーを生成するには、https://www.ssl.com/online-csr-and-key-generator/のフォームをご記入ください。

すべての欄を記入することをお勧めしますが、最低でも以下の例のように記入してください。

  • Common name(ドメイン名)
  • Email Address(電子メールアドレス)
  • Organization(組織体)
  • City / Locality(市町村)
  • State / County / Region(州·都道府県·地域)
  • Country(国)

注:「Common name」の欄では、ワイルドカード証明書を生成する場合にドメイン名を  *.domain.com の形式で入力します。

CSR生成フォーム

CSR生成フォーム

このフォームはプライベートキーファイルとCSRを生成します。この2つがないと証明書が使えなくなりますので、両方を保存しておいてください。

CSRとプライベートキー

CSRとプライベートキー

SSLプロバイダでCSRをアップロードして、SSL証明書(.cert)を再生成します。

その後、WordPressホストにアクセスして証明書とプライベートキーを渡します。Kinstaのお客様は、ダッシュボードにログインし、対象のウェブサイトをクリックして「ツール」の「HTTPSを有効にする」の下の「カスタムHTTPS資格情報を追加」を選択してください。

WordPressでカスタムのSSL証明書をインストールする

WordPressでカスタムのSSL証明書をインストールする

それに、プライベートキーと証明書を追加することができます。

証明書を適用する

証明書を適用する

3.SSL証明書を検証する

SSL証明書がインストール済みの時点で、設定が正しくできる為にSSL証明書を検証する必要があります。無料のSSLチェックツールであるQualys SSL Labsを使用することは安くて簡単な検証方法です。すべてが正しければ、以下の例のようにテストの成績が「A」です。

SSL証明書チェックの成績

SSL証明書チェックの成績

SSLチェックの実行方法については当社の詳細なチュートリアルをご参照ください。

4.HTTPからHTTPSへのリダイレクト

SSL証明書を検証した後の次のステップは、すべてのHTTPトラフィックをHTTPSに恒久的にリダイレクトすることです。WordPressでHTTPをHTTPSにリダイレクトする場合、いくつかのオプションがあります。

その一つはサーバーレベルで行うこと(こちらを推奨)で、もう一つは無料のWordPressプラグインを使用して行うことです。

Kinstaのお客様には強制HTTPSツールをご利用いただけます。これにより、数回クリックするだけで、HTTPトラフィックをサーバーレベルで自動的にHTTPSにリダイレクトできます。

これ以外にはWebサーバ上で手動で設定する方法または無料のWordPressプラグインを使用する方法もあります。注:すべての例では、SEOの観点で適切な301リダイレクト指示を使用しました。リダイレクトの別の方法を使用すると、ランキングに影響する可能性があります。また、301リダイレクトがリンクジュースの100%を通過しない可能性がありますので、ご了承ください。(Google が通過すると言っているかもしれませんが。)HTTPS移行と301リダイレクトについてのMozのCyrus による記事を是非ご確認ください。

オプション1:MyKinstaでHTTPをHTTPSにリダイレクトする

MyKinstaでは、HTTPトラフィックをHTTPSにリダイレクトするのはしやすいです。MyKinstaダッシュボードにログインし、該当のウェブサイトにアクセスし、「ツール」をクリックするだけです。次に、「強制HTTPS」の下の「有効にする」ボタンをクリックします。

MyKinstaにての強制HTTPS

MyKinstaにての強制HTTPS

リダイレクト先としてプライマリードメインも設定できますが、別のドメインも申請できます。次に「強制HTTPS」をクリックします。

Force HTTPS Options

Force HTTPS Options

オプション2:NginxでHTTPをHTTPSにリダイレクトする

redirect http to https in nginx

ウェブサーバーがNginxを使用している場合、Nginxの設定ファイルに次のコードを追加することにより、すべてのHTTPトラフィックをHTTPSに簡単にリダイレクトできます。Nginxで動作するWordPressをリダイレクトするために推奨される方法です。

server { listen 80; server_name domain.com www.domain.com; return 301 https://domain.com$request_uri; }

Kinstaではすべてのお客様を対象にNginxを使用しています。 お客様はご心配する必要がありません。リダイレクトを追加したい方は、サポートチケットを開き、リダイレクトする必要のあるドメインをお知らせください。当社のスタッフがNginxの設定ファイルに追加します。

ApacheでHTTPをHTTPSにリダイレクトする

redirect http to https in apache

画像出典:Apache Software Foundation

WebサーバーがApacheを使用している場合、.htaccessファイルに次のコードを追加することにより、すべてのHTTPトラフィックをHTTPSに簡単にリダイレクトできます。Apacheで動作するWordPressをリダイレクトするために推奨される方法です。

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

KinstaのサーバーのどれもApacheを使用していません。

オプション3:Really Simple SSLプラグインでHTTPをHTTPSにリダイレクトする

HTTPからHTTPSにリダイレクトするに使用できる3つ目の方法は、無料のWordPress Really Simple SSLプラグインを使用することです。第三者プラグインを利用すると、常に課題または互換性問題が生じる可能性があるため、この方法を応急処置としない方がいいです。一時対策として使用してもいいですが、次のステップでご説明するように、ハードコードされたHTTPリンクを更新する必要があります。

Really Simple SSLプラグイン

Really Simple SSLプラグイン

HSTSヘッダーを使用する(オプション)

HSTS(HTTP Strict Transport Security)は、ウェブサイトがHTTPSを使用しているときにブラウザがセキュリティで保護された接続を使用するように強制するウェブサーバーに追加するセキュリティヘッダーです。中間者の攻撃(MitM)またはクッキーハイジャックを防ぐのに役立ちます。上記の301リダイレクトをHSTSヘッダーと共に使用することができます。HSTSを追加する方法については当社の詳細な記事をご参照ください。

5.リダイレクトが多すぎではないかを確認する

HTTPからHTTPSへのリダイレクトを追加した後は、リダイレクトが多すぎないかをダブルチェックしてください。この問題はかなり一般的で、WordPressウェブサイトのスピードに影響する可能性があります。Patrick SextonのRedirect mapperツールを使用することにより、ウェブサイトのリダイレクト件数を簡単に確認できます。ここでは、正しく設定されていないリダイレクトの例を示します。Redirect mapperを使用することにより簡単に確認できます。 wwwと非wwwバージョンの両方でHTTPSリダイレクトが2件あることがわかります。

正しく設定されていないリダイレクト

正しく設定されていないリダイレクト

次に、リダイレクトが正しく設定されている例を示します。ご覧のように、リダイレクトは1件のみです。

正しく設定されているリダイレクト

正しく設定されているリダイレクト

スピードUPの為のWordPressのリダイレクトとベストプラクティスについては、当社の詳細記事を是非ご参照ください。

6.ハードコードされたHTTPリンクを更新する

リダイレクトが完了した時点で、ハードコードされたHTTP URLを修正するときが来ました。基本的には、URLをハードコードしない方がいいですが、おそらくあなたもしたことがあるでしょう。逆に、したことのない方がいないでしょう。HTTPリンクをHTTPSに更新する方法をいくつかご紹介します。

オプション1:Kinsta検索と置換ツール

Kinstaのお客様には、当社のMyKinstaダッシュボードには使用しやすい「検索と置換」ツールをご利用いただけます。

Kinstaの「検索と置換」ツール

Kinstaの「検索と置換」ツール

URLをHTTPからHTTPSに更新する簡単な手順は次のとおりです。

  1. 検索フィールドにデータベースで検索したい値を入力します。今回は、HTTPドメインである http://wpdev.ink を記入します。
  2. 置換フィールドに、検索する値の代わりに使用したい新しい値を入力します。今回は、HTTPSドメインであ https://wpdev.ink を記入します。
  3. まず、「ドライラン」オプションが選択されていることを確認してください。これにより、実際に置換を行わずに交換回数がカウントできます。次に、「置換」をクリックします。
  4. 次に、データベースの変更を行うためにドライランを選択せずに「置換」をもう一度実行します。
ライブの検索と置換のフィードバック

ライブの検索と置換のフィードバック

詳細については、当社の検索と置換チュートリアルをご参照ください。

オプション2:Better Search Replaceプラグイン

もう一つのご利用できる方法は、Delicious Brainsの素晴らしいWordPressチームにより開発されたBetter Search Replaceという無料プラグインです。

ダウンタイムまたはWordPressの異常に悩んでいますか。Kinstaは時間を節約するために設計されたホスティングソリューションです!当社のフィーチャーをご確認ください。
better search replaceおプシン

Better search replaceオプション

オプション3:interconnect/it Search Replace DB PHPスクリプト

WordPressの検索と置換を実行する3つ目の方法は、interconnect/itによるSearch Replace DBという無料のPHPスクリプトを使用することです。HTTPからHTTPSへの移行に使用できるツールの中で当社のスタッフが一番好きなツールの一つです。

注:使い方の分からない方がこのスクリプトを使用してみると、WordPressウェブサイトを破壊する恐れがあります。自信のない方は必ず開発者またはウェブホストに問い合わせをしてください。

このスクリプトを使用するには、単にzipファイルをダウンロードし、search-replace-db-masterというフォルダを抽出し、お好みの秘密の名を付けて保存します。この例では、名前をupdate-db-1551に変更します。次に、FTP、SFTP、またはSCPを使用してウェブサーバーのパブリックディレクトリにアップロードします。このディレクトリは通常、/ wp-contentフォルダのあるディレクトリです。次に、ブラウザの機密フォルダ(https://domain.com/update-db-1551など)にアクセスします。

Interconnect 検索と置換スクリプト

Interconnect 検索と置換スクリプト

スクリプトは自動的にデータベースフィールドを検索し入力しようとしますが、詳細が正しいこと、または対象が検索·置換操作を実行したいデータベースであることを確認する必要があります。 最初に「ドライラン」をクリックし、更新·置換の対象を確認することができます。 その後に準備ができたら、実際にデータベースの更新とWordPress検索と置換を実行する「ライブラン」をクリックします。

HTTPS移行の例ですが、「http://yourdomain.com」を「https://yourdomain.com」に置き換えることです。

検索・置換オプション

検索・置換オプション

また、セキュリティ上の理由から、完了後にはスクリプトを削除することも非常に重要です! 「削除」(delete me)ボタンをクリックすることができます。 削除しないと、ウェブサイトが攻撃を受けやすい状態である恐れがあります。ウェブサーバーのダブルチェックを行い、フォルダとスクリプトが完全に削除されたことを確認することもお勧めします。注:このスクリプトは、WordPressウェブサイトのURL、ページ及び投稿のハードコードされたリンクなど、データベースのすべてのエントリを更新します。

wp-config.phpファイルには、ハードコードされたホーム、サイト、またはWPコンテンツのある場合は、HTTPSに更新してください。

define('WP_HOME', 'https://yourdomain.com');
define('WP_SITEURL', 'https://yourdomain.com');
define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

CDNを持っていて、cdn.domain.comなどのCNAMEを使用している場合は、ハードコードされたhttp://cdn.domain.comのURLを検索しhttps://cdn.domain.comに置換するためにスクリプトを2回実行した方がよいでしょう。

オプション4:WP-CLIでの検索と置換

コマンドラインを離れたくない技術に精通した開発者は、WP-CLIを使用してリンクを更新することもできます。こちらの上級の検索と置換WP-CLIガイドをご参照ください。

7.カスタムスクリプトと外部ライブラリの更新

ハードコードされた古いURLが更新された後の次のステップは、ヘッダーおよびフッターなどに追加したカスタムスクリプトまたは外部ライブラリを確認することです。例えば、Google jquery、Font Awesome、CrazyEgg、AdRoll、 Facebook、Hotjarなどがあります。Google jqueryの例を示します。単にHTTPSバージョンを指すように更新します。

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

ほとんどのプロバイダやサービスには、切り替え可能なHTTPSバージョンがあるはずです。

8.CDNをHTTPからHTTPSへ移行する

次に、CDNをご利用の場合は、CDNもHTTPSに移行する必要があります。そうしないと、WordPressウェブサイトで混在したコンテンツの警告が発生します。Kinsta CDNをご利用の方は、KinstaのCDNはデフォルトでHTTPSのみ使用しているため、このステップをスキップできます。

ここには、第三者CDNプロバイダでSSLをインストールして設定する方法についての便利なリンクまたはチュートリアルがあります。注:中にはLet’s Encrypt 統合があり、SSLが無料なものもあります。HTTPからHTTPSへの移行の際に問題が発生した場合は、CDNプロバイダにお問い合わせください。

CDNを更新した後、その統合に使用しているWordPressプラグインも更新する必要があります。以下の例では、CDN Enablerを使用しており、URLを単にHTTPからHTTPSへ切り替え、下部にあるCDN HTTPSオプションを有効にします。

CDNをHTTPSに切れ変える

CDNをHTTPSに切れ変える

9.ウェブサイトの混在したコンテンツの警告を確認する

次に、混在したコンテンツの警告が発生しないかWordPressウェブサイトの最終チェックを行います。この警告は、HTTPSとHTTPスクリプトまたはコンテンツの両方が読み込まれるときに表示されます。両方が読み込まれません。HTTPSに移行すると、HTTPSのみが使用できます。Wiredは、HTTPからHTTPSへの移行とその課題について述べました。

「[…] HTTPSに移行する最大の課題の一つは、すべてのコンテンツを安全な接続で配信する準備です。あるページがHTTPSで読み込まれる場合は、そのすべてのアセット(画像またはJavaScriptファイルなど)もHTTPSで読み込む必要があります。「混在したコンテンツ」の警告、または安全でないHTTPアセットがセキュアなHTTPSページのコンテキストで読み込まれるイベントが多いです。当社のロールアウトを行うには、WIRED.comのコンテンツのできる限り多くを安全に提供し、混在したコンテンツの課題を少なくする必要があります。」

警告を対応しない場合のブラウザの動作の例は以下のとおりです。

Chromeの混在したコンテンツの警告の例

Chromeの混在したコンテンツの警告の例は以下のとおりです。

Chromeの混在したコンテンツの警告

Chromeの混在したコンテンツの警告

Firefoxの混在したコンテンツの警告の例

Firefoxの混在したコンテンツの警告の例は以下のとおりです。

Firefoxの混在したコンテンツの警告

Firefoxの混在したコンテンツの警告

Internet Explorerの混在したコンテンツの警告の例

Internet Explorerの混在したコンテンツの警告の例は以下のとおりです。ご覧のように、ポップアップがクリックされるまでページのレンダリングを止めるため、IEの動作はおそらく最悪の一つです。

Internet Explorerの混在したコンテンツの警告

Internet Explorerの混在したコンテンツの警告

セキュリティで保護されていないコンテンツを探すようにウェブサイトまたはURLを簡単にスキャンできるJitBitによるSSL Checkという無料のツールがあります。このツールは、HTTPSのWordPressウェブサイトをクロールし、ブラウザで警告表示を生み出すセキュリティで保護されていない画像、スクリプト、CSSファイルを検索します。クロールされるページ数は、ウェブサイトごとに200個に制限されています。

また、Chrome DevToolsでもネットワークリクエストパネルを見て、各ページの簡単なチェックができます。 セキュリティパネルも非常に便利です。安全でないオリジンをすぐに発見し、リクエストをクリックすることにより、どこから来ているのかを確認することができます。

Chrome DevtoolsでHTTPSをチェック

Chrome DevtoolsでHTTPSをチェック

インストールしてからウェブサイトのスキャンができるHTTPS Checkerというデスクトップソフトウェアもあります。「安全ではない」警告と大規模な変更後のコンテンツを検索できます。Windows、Mac、およびUbuntuで利用できます。無料プランではページを100個以下確認できます。

HTTPS Checkerソフトウェア

HTTPS Checkerソフトウェア

10.Google Search Consoleプロファイルを更新する

これで、あなたのWordPressウェブサイトがHTTPSで動作し警告表示もなければ、マーケティングも少し集中しましょう。非常に重要なものもありますので、スキップしない方がいいです。まず、HTTPSバージョン用の新しいGoogle Search Consoleプロフィールを作成する必要があります。

GSCでHTTPSプロパティを追加する

GSCでHTTPSプロパティを追加する

新しいHTTPSバージョンを作成したら、サイトマップファイル(HTTPSになったバージョン)を再送信します。

HTTPSサイトマップファイル

HTTPSサイトマップファイル

悪いバックリンクまたはペナルティによる否認ファイルを持っている場合は、これを再提出する必要があります。誰もがこれらを持っているわけではありません。この対策はとても重要です!実施しないと、ウェブサイトに応急な害を及ぼす可能性があります。Googleの否認ツールにアクセスし、元のHTTPプロフィールをクリックします。否認ファイルがある場合はダウンロードします。その後、再度ツールに戻り、HTTPS版で否認ファイルを送信します。

注:正常に完了してから、Google Search ConsoleでHTTPプロファイルを削除しても構いません。

11.Bingウェブマスターツール

BingウェブマスターツールはGoogle Search Consoleとは少し異なります。新しいHTTPSプロファイルを作成する必要はなく、新しく作成したHTTPSサイトマップを送信するだけです。

BingウェブマスターツールHTTPS

BingウェブマスターツールHTTPS

12. Google Analytics

次に、Google Analyticsのプロパティとビューを更新する必要があります。これは、ウェブサイトをGoogle Search Consoleなどにリンクするときに役立つもので、分析データには影響しません。プロパティを更新するには、ドメインのプロパティ設定をクリックし、デフォルトのURLの下でHTTPS://バージョンに変更します。

Google AnalyticsのプロパティをHTTPSに更新する

Google AnalyticsのプロパティをHTTPSに更新する

ビューを更新するには、ドメインビューの設定をクリックし、ウェブサイトのURLの下でHTTPS://バージョンに変更します。

Google AnalyticsのビューをHTTPSに更新する

Google AnalyticsのビューをHTTPSに更新する

また、ステップ8で作成した新しいGoogle Search ConsoleプロフィールをGoogle Analyticsアカウントに再度リンクする必要があります。これを行うには、ドメインのプロパティ設定をクリックし、「Search Consoleの調整」をクリックします。そこで、新しいHTTPS GSCプロファイルをリンクできます。これらをリンクすると、検索クエリデータをGoogle Analyticsアカウントに入ってきます。

Google AnalyticsをGSCにリンクする

Google AnalyticsをGSCにリンクする

13.YouTubeチャンネル

YouTubeチャンネルをお持ちの場合は、Google Search Consoleにてのウェブサイトの新しいHTTPS版に再関連付けする必要があります。そうしないと、HTTPSリンクが無効であるという注釈などのエラーが発生します。YouTubeのダッシュボードで、チャンネルをクリックし「詳細設定」にアクセスします。次にドメインを新しいHTTPSバージョンに変更して「追加」をクリックします。 従来版を削除して、もう一度追加する必要があるかもしれません。次に、Google Search Consoleにアクセスし、該当ウェブサイトのメッセージをクリックして承認をクリックする必要があります。

YouTube関連ウェブサイトをHTTPSに更新する

YouTube関連ウェブサイトをHTTPSに更新する

14.その他

HTTPからHTTPSへの移行はもうすぐ完了です!ここに更新すべきその他の項目の例もご紹介します。なお、中にはご利用のないものもあるかもしれませんので、それはスキップしてください。

  • robots.txtがアクセス可能で動作していることを確認します。
  • どのカノニカルタグもHTTPSバージョンを指していることを確認します。(ステップ4を実施した場合にはそのはずです。)
  • Disqusなどのコメントプラグインをご利用の場合は、DisqusコメントをHTTPからHTTPSに移行する必要があります。
  • 電子メールマーケティングソフトウェアにてURLを更新します。
  • PPC広告(AdWords、Bing Ads、AdRoll、Facebook Adsなど)のURLを更新します。
  • ソーシャルメディアリンク。(Facebookページ、Twitterバイオ、Pinterest、Google+など)を更新します

また、Google検索のチームは最近、HTTPSへの移行についての13回のよくある質問の回答を発表しました。

まとめ

ご覧のように、HTTPからHTTPSへの移行の際に注意すべきことは皆様の思ったより多いかもしれません。しかし、難しいことではありませんので、上記の手順に従えば正常にできるはずです。Kinstaのお客様は、WordPressウェブサイトのHTTPS移行の際に問題が発生した場合は、お気軽にお問い合わせください。HTTPからHTTPSへの移行のその他の重要な工夫がありますでしょうか。コメント欄で是非教えてください。