Google Chromeは、2018年7月から実際のデータ収集の有無にかかわらず、HTTPS接続でないすべてのサイトを「Not secure(安全でない)」と定義するようになりました。それ以来、サイトのHTTPS化は非常に重要視されています。

この記事では、HTTPからHTTPSへの切り替え手順について徹底的にご説明し、WordPressサイトをスムーズにHTTPS化する実践的なヒントもお教えします。快適なWordPressサイトの運営のため、この機会に先手を打っておきましょう。

新しいプロトコル、SEO効果、そして一層正確になったリファラを考慮すれば、WordPressサイトをHTTPSに切り替えるなら今が絶好のタイミングです。その理由と実際の手順については、これから詳しくご説明します。

HTTPSとは

HTTPS(ハイパーテキスト・トランスファー・プロトコル・セキュア)とは、ブラウザやウェブアプリケーションがサイトと安全に接続するための仕組みです。ユーザーのブラウジングを安全に保つための施策の1つとも言えます。

銀行のウェブサイトへのログイン、クレジットカード情報の取得、WordPressサイトのバックエンドへのログインなどがその一例です。WordPressサイトのHTTPS化には、暗号化のためのSSL証明書が必要です。SSL証明書をインストールすれば、データがそのままやり取りされることがなくなります。

Builtwithによると、2022年3月時点で、上位1万サイトのうち73.08%がHTTPSを使用しており、2018年2月時点の49.8%から現在も増え続けています。

上位サイトのHTTPS使用状況
上位サイトのHTTPS使用状況

MozCasは、2022年5月時点で、検索クエリの98.9%以上がHTTPSで、2016年1月の26%から増加していることを報告しています。このように、多くのサイトがHTTPからHTTPSに切り替えていることは明らかです。

HTTP➡️HTTPSにまだ切り替えていない?この解説記事をチェックしよう!🚀 クリックでつぶやく

大手のGoogleでさえも、自社の製品やサービスを100%暗号化することを推進しています。2022年5月時点で、Googleへのトラフィックの約95%がHTTPSを使用しており、2013年12月時点の48%からさらに増え続けています。

MozCastのHTTPSクエリ
MozCastのHTTPSクエリ

Firefoxの遠隔測定データとLet’s Encrypt statsによれば、現在は、78%以上のページがHTTPSで読み込まれています。

HTTPSの重要性

WordPressサイトの管理者であれば、HTTPSに関心を持ち、今すぐHTTPからHTTPSに切り替えることを検討すべきです。その理由は多数あります。

1. セキュリティ

HTTPSを使用すべき最大の理由は、当然、セキュリティの強化です。HTTPからHTTPSに切り替えることで、暗号化されたSSL/TLS通信でユーザーがサイトにアクセスできるようになります。つまり、データや情報がそのまま伝送されなくなることを意味します。クレジットカード情報を処理するECサイトには必須条件です。厳密には、法律で義務付けられているわけではありませんが、ビジネスを運営する以上、顧客の個人情報は保護しなければなりません。

また、これはWordPressのログインページやブログにも該当します。HTTPで複数のユーザーが権限を持つWordPressサイトを運営している場合、誰かがログインするたびに、ログイン情報がそのままサーバーに送信されます。HTTPSは、サイトとブラウザの安全な接続に不可欠です。ハッカーがサイトに不正アクセスすることも高い確率で防ぐことができます。

2. SEO

Googleは、HTTPS接続を検索ランキング要素に採用することを発表しました。小さなランキング要素の1つに過ぎないとはいえ、競合サイトに差をつけ、SERPに上位表示されるには、小さな要素も取り入れたいところです。

GoogleがHTTPからHTTPSへのリダイレクトを全面的に推奨していることから、HTTPS接続の検索ランキング要素としての比重が、今後さらに大きくなることはほぼ間違いないでしょう。Semrushからは、パフォーマンスが最も高い強調スニペットコンテンツの98%がHTTPS化されていることが報告されています。

3. 信頼性

最近の調査では、ほとんどのインターネットユーザーが、自分のデータが傍受されたり、悪用されたりすることを懸念しています。

HTTPSは、SSL接続を使用して、サイトの運営をサポートしてくれます。ユーザーは、URLの横に南京錠のアイコンが表示されることで、自分のデータが保護されることを確認でき、安心してサイトを閲覧することができます。

4. リファラ

これは、マーケティングに関連する理由です。Google アナリティクスを利用していれば、リファラデータには馴染みがあるかと思いますが、Google アナリティクスでは、HTTPSからHTTPへのリファラデータがブロックされてしまうことはご存知でしょうか。ブロックされたデータは、ほとんどがノーリファラ(直接トラフィック)に分類されます。一方、HTTPからHTTPSの場合には、リファラが記録されます。

リファラトラフィックが突然減少し、直接トラフィックが増加した場合は、大きなリファラの1つが最近HTTPSに移行したことを意味する可能性があり、重要なポイントです(そしてその逆も然り)。詳細については、直接トラフィックに関するMozの解説記事をご覧ください。

5. Chromeの警告

2018年現在、Chrome 68以降のバージョンでは、データを取得しないサイトであっても、HTTPSでないサイトはすべて「Not secure(安全でない)」と表示されます。

 Chromeの保護されていない接続
Chromeの保護されていない接続

Chromeは、2021年から不完全なURLに対してHTTPSをデフォルトで使用するようになりました。例えば、ユーザーが「domain.com」と入力すると、自動的に「https://domain.com」で接続します。SSL/TLSが導入されておらず、HTTPSでアクセスできない場合には、HTTPにリダイレクトされます。

Chromeはブラウザの市場シェアの77%以上を占めているため、多くのユーザーに影響を与えます。また、Google アナリティクスで、「ユーザー」「ユーザーの環境」「ブラウザとOS」に進むと、訪問者が使用しているブラウザを確認することができます。

 Google アナリティクスで使用ブラウザを確認
Google アナリティクスで使用ブラウザを確認

Chromeでは、サイトの接続が安全と確認できないサイトには、警告のアイコンが表示されるようになっています。Googleはこの警告の回避策を紹介しています。

Firefoxもこれに追随し、2017年に発表したFirefox 51では、パスワードを収集する安全でないサイトには、赤い斜め線の入ったグレーの南京錠が表示されるようになりました。もちろん、サイト全体をHTTPSに切り替えれば、この警告が表示されることを心配する必要はありません。

 安全でない接続
安全でない接続

さらに、HTTPSでない場合は、Google Search Consoleから以下のような警告を受けることがあります。

http://www.domain.comの所有者様

以下のURLは、Chromeのこの新しい警告が発生する原因となる、パスワードやクレジットカード情報の入力欄を含んでいます。こちらの例を参照し、警告が発生する箇所を確認して、ユーザーのデータの保護にお役立てください。なお、このリストはすべてを網羅したものではありません。

http://www.domain.com

この警告は、暗号化されていないHTTPプロトコルを使用するすべてのページを「Not secure」表示するGoogleの長期計画の始まりに過ぎません。

6. パフォーマンス

最後に、パフォーマンスです。HTTP/2と呼ばれるプロトコルにより、適切に最適化されたサイトをHTTPS表示していれば、ほとんどの場合、サイトの表示速度が上がります。

HTTP/2を利用するには、前提としてHTTPS通信が必須です。HTTP/2の優れた多重化と並列化、ハフマン符号を用いたHPACK圧縮、ALPN拡張、サーバープッシュなど、さまざまな機能によってパフォーマンスが向上します。以前はHTTPS上でTLSのオーバーヘッドが生じていましたが(もはや過去の話)、今では大幅に減っています。

TLS 1.3もリリースされ、HTTPS接続がさらに高速化されました。Kinstaでは、すべてのサーバーとKinsta CDNでTLS 1.3をサポートしています。

なお、ドメインシャーディング(同時接続数の上限を最大化する手法)やコンカチネーション(文字列やデータ領域を1つに連結する処理)などのウェブパフォーマンスの最適化は、かえってパフォーマンスに悪影響を与える恐れがあります。このような手法は時代遅れであり、基本的に実行すべきではありません。

ウェブ上のすべては、デフォルトで暗号化されるべきである─Jeff Atwood氏(Stack Overflow共同創業者)

HTTPからHTTPSへの切り替え方法

それでは、WordPressサイトをHTTPからHTTPSに切り替えましょう。まずは、基本的な必要条件と注意点です。

  • SSL証明書が必要になります。詳細は後ほどご説明します。
  • WordPress用サーバーとCDNプロバイダで、HTTP/2がサポートされているか確認してください。KinstaはHTTP/2をサポートしています。これは必須の条件ではありませんが、パフォーマンスの観点から、HTTP/2の使用を推奨します。
  • HTTPからHTTPSへの切り替えは、数分で終わる作業ではないため、十分に時間を確保できる時に行ってください。
  • 使用するすべての外部サービスやスクリプトがHTTPSバージョンであることを確認してください。
  • 過去のSNSのシェア数は、HTTPで閲覧された時のAPIに基づき記録されています。これに関してSNSの仕様に手を加えることはできません。そのため、シェア数を回復するプラグインを使用しない限りは、すべての投稿とページでシェア数が失われます。
  • サイトの規模によっては、Googleが切り替え後のHTTPSページや投稿をすべて再クロールするのに時間がかかる場合があります。この間、トラフィックやランキングに変動がみられることがあります。
  • ローカルSEOに影響するサイテーション管理も忘れずに。

また、切り替えを行う前に、作業が複雑にならないよう、CDN統合とキャッシュプラグインを無効にすることをおすすめします。

1. SSL証明書を選ぶ

SSL証明書を取得していない場合は、まずSSL証明書を購入します。証明書は3種類あります。

  • ドメイン認証(DV)─数分で発行(メールまたはDNS認証)。シングルドメインまたはサブドメイン。年間9ドル程度と低価格。
  • 企業実在認証(OV)─1〜3日で発行。シングルドメインまたはサブドメイン。高い安全性と信頼性、ビジネスの実在性が検証される。
  • EV認証(EV)─2〜7日で発行。シングルドメインまたはサブドメイン。高い安全性と信頼性、ビジネスの実在性が検証される。

Kinstaでは、Cloudflareの統合により、すべてのサイトにCloudflare SSLを無料で提供しています。Cloudflare SSLは、MyKinstaでドメイン設定を行うと自動で発行され、ワイルドカードドメインもサポートされます。

Googleは、鍵長2048ビット以上の鍵を証明書に使用することを推奨しています。ComodoDigiCertGeoTrustThawteRapid SSL、またはTrustwaveから証明書の購入が可能です。GoGetSSLNamecheapGoDaddyを利用するとより安価に購入することができます。

Let’s Encrypt

Let’s Encryptも無料のSSL証明書を提供しています。WordPress用サーバーやCDNプロバイダに、Let’s Encryptの統合があるかどうかを確認してみてください。自分で直接インストールする場合は、Certbotの解説に従って行ってください。Let’s Encryptの証明書は90日で有効期限が切れるため、自動更新システムの導入が必須です。

2. 独自SSL証明書のインストール

SSL証明書を購入したら、WordPressサイトにインストールします。証明書の発行機関と証明書のセットアップを行う際、サーバーの種類を指定する必要があります。KinstaのウェブサーバーはNginxです。Nginxを選択できない場合には、その他を選択してください。

SSLプロバイダが証明書ファイルを作成・署名するにあたって、CSR(証明書の署名リクエスト)が求められます。CSRとペアとなる秘密鍵をこちらのフォームから生成してください。

できればすべての情報を入力することをおすすめしますが、少なくとも以下の情報は必ず入力してください。

  • コモンネーム(ドメイン名)
  • メールアドレス
  • 組織名
  • 市区町村名(City / Locality)
  • 都道府県名(State / County / Region)
  • 国名

補足)コモンネーム欄には、ワイルドカード証明書を発行する場合、「*.domain.com」のようにドメイン名を入力する必要があります。

CSR生成フォーム
CSR生成フォーム

このフォームから秘密鍵ファイルとCSRが生成されます。この2つがないと証明書が使用できなくなるため、必ずどちらも保存してください。

CSRと秘密鍵
CSRと秘密鍵

次に、SSLプロバイダにCSRをアップロードして、SSL証明書(.cert)を再生成します。

その後、WordPress用サーバーに移動し、証明書と秘密鍵をインストールします。Kinstaを利用している場合は、MyKinstaにログインし、「サイト」をクリックします。該当のサイトを選択したら、「ドメイン」タブに移動してドメインを選択し、「独自SSL」ボタンをクリックします。

独自SSLの追加
独自SSLの追加

次の画面で、秘密鍵と証明書の情報を貼り付けます。

秘密鍵の追加
秘密鍵の追加

完了したら、「証明書の追加」をクリックして変更を保存します。

3. SSL証明書の認証

SSL証明書のインストールが完了したら、すべて正しく設定されていることを確認するため、証明書の認証を行います。Qualys SSL Labsの無料SSLチェックツールを使用すれば、迅速かつ簡単に確認することができます。以下のように、テスト結果でA評価が出れば、問題なく設定が行えているということになります。

SSL証明書の評価を確認
SSL証明書の評価を確認

SSL証明書の認証方法についてはこちらをご覧ください。

4. HTTPからHTTPSへのリダイレクト

SSL証明書の認証を終えたら、すべてのHTTPトラフィックをHTTPSに恒久的にリダイレクトします。WordPressでHTTPをHTTPSにリダイレクトするには、いくつかの方法があります。

Kinstaを利用している場合は、HTTPSリダイレクト機能を使うのがベストです。数回のクリックで、サーバーレベルでHTTPトラフィックをHTTPSへ自動的にリダイレクトすることができます。もしくは、ウェブサーバーでの設定や、無料のWordPressプラグインで実行することも可能です。

補足)この記事で挙げる例は、SEOの観点で最適な実装方法である、301リダイレクトディレクティブを使用しています。異なるタイプのリダイレクトを使用した場合、検索ランキングに悪影響を与える恐れがあります。留意点として、301リダイレクトは、Googleがそのように謳っていたとしても、リンクジュースを完全に引き継ぐわけではありません。HTTPSへの切り替えと301リダイレクトについては、MozのCyrus氏によるこちらの投稿をご覧ください。

方法1. MyKinstaでHTTPからHTTPSにリダイレクトする

Kinstaを利用していれば、MyKinstaで簡単にHTTPをHTTPSへリダイレクトすることができます。サイトにプラグインをインストールする必要がなく、効率的な方法です。

MyKinstaにログインして、「サイト」をクリックし、「ツール」タブに移動します。

「HTTPSリダイレクト」「利用する」をクリックしてください。

HTTPSリダイレクト機能
HTTPSリダイレクト機能

プライマリドメイン、または希望のドメインにリダイレクトすることができます。選択したら、「リダイレクトを設定」をクリックします。

HTTPSリダイレクト
HTTPSリダイレクト

独自のHTTPSルールを設定している、またはサードパーティ製プロキシを使用している場合は、HTTPSリダイレクトを行う際、エラーが発生することがあります。その場合は、HTTPSリダイレクトを行わずに、Kinstaのカスタマーサポートまでご連絡ください。

方法2. NginxでHTTPからHTTPSにリダイレクトする

ウェブサーバーがNginxの場合、Nginxの設定ファイルに以下のコードを追加すると、HTTPをHTTPSにリダイレクトすることができます。

server {

listen 80;

server_name domain.com www.domain.com;

return 301 https://domain.com$request_uri;

}

これは、Nginx上で動作するWordPressサイトにリダイレクトを適用する場合の方法です。

ApacheでHTTPをHTTPSにリダイレクトする場合

ウェブサーバーがApacheの場合.htaccessファイルに以下のコードを追加すると、HTTPをHTTPSにリダイレクトすることができます。

RewriteEngine On

RewriteCond %{HTTPS} off

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

これは、Apache上で動作するWordPressサイトをリダイレクトする場合の方法です。

Kinstaでは、Apacheを使用していません。

方法3. Really Simple SSLプラグインでHTTPをHTTPSにリダイレクトする

HTTPからHTTPSにリダイレクトする方法の3つ目は、無料のWordPressプラグイン「Really Simple SSL」を使用します。

Really Simple SSL plugin
Really Simple SSL

サードパーティのプラグインは、また別のエラーが発生したり、互換性の問題を引き起こす恐れがあるため、基本的にはおすすめしません。一時的に実行する分にはOKですが、以下のようにハードコーディングにより記述されたHTTPリンクを更新しなくてはいけません。

HSTSヘッダーの実装(任意)

HSTS(HTTP Strict Transport Security)とは、ウェブサーバーに追加するセキュリティヘッダで、サイトがHTTPSで動作する場合に、ブラウザに安全な接続を使用するように強制するものです。これによって、中間者攻撃(MitM)やセッションハイジャックを防止できます。上記の301リダイレクトは、HSTSヘッダーと併用することが可能です。HSTSの追加方法についてはこちらをご覧ください。

5. リダイレクトの回数を確認

HTTPからHTTPSへのリダイレクトを実行した後、リダイレクトの回数が多すぎないか確認しましょう。これはよくみられる問題で、WordPressサイトの表示速度に影響することがあります。Patrick Sexton氏のRedirect mapperツールを使用すれば、サイトにあるリダイレクトの回数を瞬時に確認できます。

以下は、誤ったリダイレクトの設定例です。Redirect mapperを使えば、簡単に発見することができます。

正しく設定されていないリダイレクト
正しく設定されていないリダイレクト

wwwあり/なしの両方で、重複したHTTPSリダイレクトが発生しているのがわかります。

以下が正しく設定されたリダイレクトです。

正しく設定されたリダイレクト
正しく設定されたリダイレクト

リダイレクトは1回だけになっています。WordPressのリダイレクト、パフォーマンスを高速化するベストプラクティスについては、こちらの解説記事をご覧ください。

6. ハードコーディングで記述したHTTPリンクの更新

リダイレクトができたところで、今度はハードコーディングで記述されたHTTP URLをすべて修正しましょう。一般的に、URLのハードコーディングは推奨されていませんが、どこかのタイミングで、お世話になるものです。HTTPリンクをHTTPSに更新する方法もいくつかあります。

方法1. Kinstaの検索と置換ツールを使う

Kinstaを利用している場合は、MyKinstaで検索と置換ツールを使えば、簡単に更新することができます。

Kinstaの検索と置換ツール
Kinstaの検索と置換ツール

HTTPからHTTPSのURLに更新する手順は以下の通りです。

  1. 「検索」フィールドにデータベース内で変更したいURL(HTTPドメイン)を入力します(例: http://kinstalife.com)。
  2. 「以下に置き換える」フィールドに、変更後のURL(HTTPSドメイン)を入力します(例: https://kinstalife.com)。
  3. 「検索後に置換する」ボタンをクリックすると、検索と置換が実行されます。
検索と置換
検索と置換

詳しい検索と置換の解説についてはこちらをご覧いただくか、以下の動画をご覧ください。

方法2. Better Search Replaceプラグインを使う

もう1つの簡単な方法は、Delicious BrainsのWordPressチームによるプラグイン「Better Search Replace」を使ったものです。

 Better Search Replace
Better Search Replace

このプラグインは無料です。サイトにインストールして有効化したら、「ツール」「Better Search Replace」に移動して使い始めましょう。

方法3. interconnect/itのSearch Replace DBを使う

WordPressの検索と置換を実行するための3つ目の方法は、interconnect/itの無料のPHPスクリプト「Search Replace DB」を使用するものです。HTTPからHTTPSへの切り替えにおすすめしたい有用ツールです。

重要)操作内容を把握せずにスクリプトを使用すると、WordPressサイトが壊れてしまう恐れがあります。スクリプトの使用に自信がない場合は、まず開発者またはウェブサーバーに連絡してください。

このスクリプトを使用するには、ZIPファイルをダウンロードし、「search-replace-db-master」フォルダを解凍して、他の名前に変更するだけです。ここでは変更名を「update-db-1551」とします。次に、FTPSFTP、またはSCPを使用して、ウェブサーバーのパブリックディレクトリにアップロードします。このディレクトリには通常、「/wp-content」フォルダが格納されています。

その後、ブラウザで「https://domain.com/update-db-1551」のような隠しフォルダへ移動します。

Interconnectの検索と置換スクリプト
Interconnectの検索と置換スクリプト

スクリプトが、自動的にデータベースフィールドを探してデータを入力しようとしますが、内容が正しいか、検索・置換を行いたいデータベース用のデータであるかの確認が必要です。まず、「Dry Run(テスト)をクリックし、更新・置換される内容を確認します。その後、問題なければ、「Live Run(実行)をクリックしてください。データベースの更新とWordPressの検索と置換が実行されます。

HTTPSへの切り替えは、例えば「http://yourdomain.com」を 「https://yourdomain.com」に置き換えるということです。

 検索と置換
検索と置換

なお、セキュリティ強化策として、このスクリプトは実行後に削除してください。これは、「Delete me(削除する)ボタンをクリックするだけで完了です。サイトが攻撃にさらされる可能性があるため、忘れずに削除しましょう。

また、ウェブサーバー上のフォルダ内からスクリプトが完全に削除されていることを確認することをおすすめします。補足)このスクリプトで、WordPressサイトのURL、固定ページや投稿のハードコーディングにより記述されたリンクなど、データベース内のすべてのエントリが更新されます。

「wp-config.php」ファイルで、ホームやコンテンツ領域がハードコーディングされている場合は、必ずHTTPSに変更してください。

define('WP_HOME', 'https://yourdomain.com');

define('WP_SITEURL', 'https://yourdomain.com');

define( 'WP_CONTENT_URL', 'https://yourdomain.com/wp-content' );

CDNを利用し、cdn.domain.comのようなCNAMEを設定している場合は、上記のスクリプトを再度実行して、ハードコーディングにより記述されたURL、「http://cdn.domain.com」を検索し、「https://cdn.domain.com」に置き換えましょう。

ダウンタイムまたはWordPressの異常に悩んでいますか。Kinstaは時間を節約するために設計されたホスティングソリューションです!当社のフィーチャーをご確認ください。

方法4. WP-CLIを使う

コマンドラインに不自由のない、専門知識を持った方や開発者には、WP-CLIを使用する方法がおすすめです。検索と置換をWP-CLIで実行する方法についてはこちらをご覧ください。

7. カスタムスクリプトと外部ライブラリの更新

ハードコーディングにより記述されたURLを更新した後は、ヘッダーやフッターなどに追加したカスタムスクリプトや外部ライブラリを確認しましょう。Google jQuery、Font Awesome、CrazyEgg、AdRoll、Facebook、Hotjarなどが挙げられます。

Google jQueryの場合は、HTTPSバージョンを指定するように設定するだけでOKです。

<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.1.0/jquery.min.js"></script>

すべてのプロバイダやサービスで、HTTPSバージョンを選択することできるようになっています。

8. CDNをHTTPからHTTPSに切り替える

CDNを使用している場合は、WordPressサイトで混合コンテンツの問題が発生しないよう、CDNもHTTPSに切り替えてください。Kinsta CDNを使用している場合は、デフォルトでCloudflareを利用したCDNからHTTPSで配信されるようになっているため、この設定は不要です。

Cloudflare CDN以外の選択肢

Cloudflare CDNに代わるサービスは他にも多数あります。中でも特に人気があるのは、KeyCDNです。

この高性能なCDNは、世界中のサーバーにコンテンツをキャッシュすることで、配信を高速化します。また、DDoS攻撃やその他の脅威からサイトを保護するセキュリティも備えています。

または、Amazon Web Services(AWS)のAmazon CloudFrontと、ウェブサイトのパフォーマンスとスピードを最適化するSucuriもおすすめです。

必要に応じて、以下のサードパーティのCDNサービスとSSLのインストール・設定に役立つ解説をご活用ください。

補足)Let’s Encryptが統合されているものは、SSLが無料で利用できます。HTTPからHTTPSへの切り替えについて、不明点などがある場合には、CDNプロバイダに確認してください。

CDNの更新後、統合に使用するWordPressプラグインで更新を確認しましょう。今回は、CDN Enablerを使って確認していきます。

 CDNをHTTPSに変更
CDNをHTTPSに変更

HTTPのURLをHTTPSに変更し、下部にある「Enable CDN for HTTPS connections(HTTPS接続のCDNを有効にする)にチェックを入れます。「変更を保存」ボタンをクリックして完了です。

9. 混合コンテンツの警告表示がないか確認

続いて、WordPressサイトに混合コンテンツの警告が表示されていないかどうかを確認します。この警告は、HTTPSとHTTPのスクリプトやコンテンツを読み込む際に表示されます。なお、両方を読み込むことはできません。

HTTPSに切り替える際、すべてのページがHTTPSで配信されなければいけません。WiredがHTTPからHTTPSへの切り替えとその際に発生しうる問題について言及しています。

HTTPS切り替えの最大の課題の1つは、すべてのコンテンツを安全な接続で配信できるよう準備をすること。ページをHTTPSで読み込む場合、他のすべてのアセット(画像や Javascriptファイルなど)もHTTPSで読み込む必要がある。このような混合コンテンツの問題、つまり、安全でない HTTPアセットが安全なHTTPSページのコンテキストで読み込まれる事例が数多く報告されている。適切に切り替えを行うためには、この混合コンテンツの問題を減らすこと、WIRED.comのコンテンツを可能な限り安全に配信することが重要である。(英語原文の日本語訳)

この警告に対処しない場合に、発生しうる問題を次でご紹介します。

この警告に対処しない場合に、発生しうる問題を次でご紹介します。

以下は、Chromeで混合コンテンツの警告が発生した場合の例です。

 Chromeの混合コンテンツに関する警告
Chromeの混合コンテンツに関する警告

Firefoxの混合コンテンツ警告例

以下は、Firefoxで混合コンテンツの警告が発生した場合の例です。

Firefoxの混合コンテンツに関する警告
Firefoxの混合コンテンツに関する警告

Internet Explorerの混合コンテンツ警告例

以下は、Internet Explorerで混合コンテンツの警告が発生した場合の例です。

 IEの混合コンテンツに関する警告
IEの混合コンテンツに関する警告

Internet Explorerの場合は、このように、ポップアップがクリックされるまでページのレンダリングが中断されるため、特に厄介です。

JitBitのSSL Checkは、シンプルで便利な無料ツールです。サイトやURLに安全でないコンテンツが含まれていないか瞬時にスキャンしてくれます。HTTPSのWordPressサイトをクロールし、ブラウザに警告メッセージを表示する安全でない画像、スクリプト、およびCSSファイルを検出します。クロールされるページ数は、1サイトあたり200ページまでです。

もしくは、Chrome DevToolsの「Network」タブに記録されたネットワークリクエストを見れば、すべてのページをすぐに確認することができます。また、「Security」タブも便利で、安全でないオリジンをすぐに確認し、クリックしてそのオリジンが何であるかを調べることが可能です。

Chrome DevtoolsでHTTPSを確認
Chrome DevtoolsでHTTPSを確認

また、PC用ソフトウェアのHTTPS Checkerでも、インストールしてサイトをスキャンすることができます。

 HTTPS Checker
HTTPS Checker

HTTPSに切り替えた後、「Not secure」の警告とそのコンテンツを確認するのに便利です。Windows、Mac、Ubuntu対応で、無料プランでは、最大100ページまでクロールすることができます。

10. Google Search Consoleのアカウントを更新

さて、WordPressサイトをHTTPSに切り替え、警告対策も行いました。次は、マーケティングです。これからご紹介する操作の中には、非常に重要なものもありますので、必ず全てに目を通してください。

まず、Google Search Consoleで、HTTPS版のウェブサイトURL(プロパティ)を追加します。

 GSCにHTTPSプロパティを追加
GSCにHTTPSプロパティを追加

HTTPSバージョンを作成した後、サイトマップを送信します。

 HTTPSのサイトマップファイル
HTTPSのサイトマップファイル

悪質な被リンクに対する否認ファイルやペナルティがある場合は、再送信してください。これはすぐに行わないと、恒久的にサイトに悪影響を与える可能性があるため、注意が必要です。

Googleのリンクの否認ツールのページを開き、元のHTTPプロファイルをクリックします。 そこにすでに否認ファイルがある場合はダウンロードしてください。その後、HTTPSプロファイルの方で否認ファイルをアップロードします。

補足)この操作を行った後は、Google Search ConsoleでHTTPプロファイルを安全に削除することができます。

11. Bingウェブマスターツール

Bing Webmaster ToolsはGoogle Search Consoleとは少し異なります。

 Bing Webmaster Tools
Bing Webmaster Tools

HTTPSプロファイルを新たに作成する必要はなく、HTTPSサイトマップを作成して送信するだけでOKです。

12. Googleアナリティクス

続いて、Google アナリティクスのプロパティとビューを更新します。これはアナリティクスデータに影響するというわけでなく、単にGoogle Search Consoleなどのツールにサイトを紐付けるのに役立ちます。

プロパティを更新するには、管理画面の「プロパティ設定」をクリックし、「デフォルトURL」の下にあるドロップダウンメニューから「https://」に変更します。

Google アナリティクスのプロパティをHTTPSに変更
Google アナリティクスのプロパティをHTTPSに変更

ビューを更新するには、管理画面から「ビューの設定」をクリックします。「ウェブサイトのURL」の下にあるドロップダウンメニューから「https://」を選択します。

 Google アナリティクスのビューをHTTPSに変更
Google アナリティクスのビューをHTTPSに変更
GoogleアナリティクスをGoogle Search Consoleと連携
GoogleアナリティクスをGoogle Search Consoleと連携

ステップ8で作成したGoogle Search ConsoleのアカウントをGoogleアナリティクスのアカウントと連携させます。「プロパティ設定」をクリックし、「Search Consoleを調整」を選択します。

HTTPSバージョンのGSCアカウントを連携します。これで、検索クエリのデータをGoogle アナリティクスで取得することができます。

13. YouTubeチャンネル

YouTubeチャンネルをお持ちの場合、Google Search ConsoleでHTTPSバージョンとサイトを再度「関連付け」することをおすすめします。アノテーションエラーや、無効なHTTPSリンクなどのエラーメッセージの表示を避けることができます。

YouTubeの管理画面で、「チャンネル」>「詳細設定」に進みます。「関連付けられているウェブサイト」のURLをHTTPSバージョンに変更し、「追加」をクリックします。場合によっては、一度既存のURLを削除してから、追加する必要があります。Google Search Consoleに移動すると、これに関連するメッセージが表示されるため、メッセージに移動し、「確認」をクリックすれば完了です。

14. その他

HTTPからHTTPSへの切り替えは、これで完了です!その他にも更新をおすすめする項目がありますので、以下に掲載しておきます。使っているものによって、当てはまるものと当てはまらないものがあります。

  • robots.txtにアクセスできる状態になっていること、また動作していることを確認してください。
  • canonicalタグがHTTPSバージョンを指していることを確認してください(この記事のステップ4を行っていれば完了しているはずです)。
  • Disqusなどのコメントプラグインを使用している場合、コメントも HTTPからHTTPSに切り替えてください。
  • メールマーケティングソフトウェアのURLも更新してください。
  • AdWords(現Google広告)、Bing Ads、AdRoll、Facebook広告など、PPC広告のURLも更新してください。
  • Facebookページ、Twitterの自己紹介欄、Pinterest、Google+など、SNSリンクも更新してください。
この解説記事さえ読めば、HTTPからHTTPSへの切り替えは簡単 ✅ クリックでつぶやく

まとめ

HTTPSは、単なるGoogleの検索ランキング要素ではなく、サイトと訪問者をあらゆる攻撃から守るための重要なセキュリティプロトコルです。

HTTPSへの切り替えを先延ばしにしていた方は、この記事を参考に、今すぐ取りかかりましょう。何かお困りのことがあれば、Kinstaのエンジニアがいつでもお手伝いいたします。

HTTPからHTTPSへの切り替えについて、ご不明点はございますか?以下のコメント欄でぜひお聞かせください!


手間と費用を節約しながら、サイトパフォーマンスを最大化しませんか?

  • 24時間年中無休で、WordPressに精通したエンジニアが親切丁寧にサポート
  • Cloudflare Enterpriseとの統合
  • 東京、大阪をはじめとする世界35箇所にあるデータセンターから選択可能
  • アプリケーションのパフォーマンス監視機能を使って最適化を徹底

長期契約による縛りはございません。サーバー移行のサポート、30日間の返金保証など、さまざまなサービスが付帯します。お客様にぴったりのプランをご提案いたしますので、営業までお気軽にお問い合わせください。また、プラン一覧はこちらからご確認いただけます