SSL(HTTPS)は通信を暗号化して盗聴されても内容をわからないようにする機能です。
Googleも含め世の中は常時SSL化の流れになっています。
ブログを利用してもらっているのに盗聴されたら嫌ですよね!
なので常時SSL化することにしました。
ブログ運用後でも変更できますが時間がたつほどに以下のリスクが増えます。
・SNSなどのURLで管理されてる情報がリセットされてアフェリエイトなど収益激減
・WordPressのツールなどが使えなくなるものが見つかる
設定の手順は以下の通りです。
1.サイトのアドレス設定を変更
「WordPressのアドレス」と「サイトアドレス」のURLをHTPPSから始まるように修正します。
※両方同じ修正内容です。
2.混合コンテンツ(投稿内などでのHTTP記述)の修正
投稿ページなどで特に画像つかうと画像のURLがHTTPだったりする場合があります。
もしHTTPが残っていると「このサイトは安全ではありません。」などと証明書に警告が表示されたりします。
「http:」を検索して利用箇所を「https:」に書き換えます。
※HTTPのサイトアドレス利用時に作成した投稿などが「HTTP」で残ります。
※投稿数が少ないので利用していませんが修正箇所が多い場合は、WordPressのプラグインで一括修正もできるようです。
※後述するリダイレクトプラグインではHTTPの記述箇所はHTTPSで利用する機能があります。
3.HTTPアクセスをHTTPSにリダイレクトするよう設定
webサーバーの設定ファイルを書き換えるのが一般的かもしれませんが面倒なのでプラグインで済ませることにしました。
インストールしたのは以下のプラグインで機能を有効化します。
※導入するプラグインは使用するWordPressのバージョンと互換性があることと「詳細情報」からテストされているかを確認したほうが安全です。テストされていない場合は、テストされていないと表示されます。導入して変な動作を後から気づいたりセキュリティホールがあったりすると面倒です。
以下の設定で使用することにしました。
「Force resource to use HTTPS URL」は混合コンテンツ(HTTP修正漏れ)でも動作してくれるかなとチェックしました。
設定作業は完了になりますが後ほど重要な説明があるので本章の最後まで読んでから「変更を保存」をクリックしてください。
※お約束のビビってしまう注意事項が英語でやまもり記述されていましたので記載しておきます。
キャッシュがある場合はクリアしろとありますが出来立てほやほやなサイトなので気にせず利用してます。
テキスト:When you enable the HTTPS redirection, the plugin will force redirect the URL to the HTTPS version of the URL.
So before enabling this plugin's feature, visit your site's HTTPS URL https://helloworld.sakura.ne.jp/db to make sure the page loads correctly.
Otherwise you may get locked out if your SSL certificate is not installed correctly on your site or the HTTPS URL is not working and this plugin is auto redirecting to the HTTPS URL.
Important! If you're using caching plugins similar to W3 Total Cache or WP Super Cache, you need to clear their cache after you enable or disable automatic redirection option.
Failing to do so may result in mixed content warning from browser.
設定の下方にある通知の方がびびりました。
かかれてる内容はごもっともなので念のためにバックアップとってから「変更を保存」クリックしました。
テキスト:Notice: It is very important to be extremely attentive when making changes to .htaccess file.
If after making changes your site stops functioning, do the following:
Step #1: Open .htaccess file in the root directory of the WordPress install and delete everything between the following two lines
# BEGIN HTTPS Redirection Plugin
# END HTTPS Redirection Plugin
Step #2: Save the htaccess file (this will erase any change this plugin made to that file).
Step #3: Deactivate the plugin or rename this plugin's folder (which will deactivate the plugin).
The changes will be applied immediately after saving the changes, if you are not sure - do not click the "Save changes" button.
4.HTTPアクセスでリダイレクトされるか確認
お題とおりHTTPのアドレスでアクセスしたらブラウザのアドレスがHTTPSに変わってました。
混合コンテンツの確認では、HTTPの画像URLを記述して保存したら保存後にHTTPSへ書き換わっていました。
※プラグインを導入前に残っていた場合については未確認です。