2018年7月24日より最新Google Chromeで常時SSL化していないと保護されていない通信と表示されるようになりました。
SSLは Webサーバー間の通信において暗号化できる通信方法で、パスワードやクレジット情報といった機密性の高い情報のやり取りをセキュアにしてくれます。フォームやログインページのみならず、すべてのページをSSL化していることを常時SSL化といいます。Googleでは常時SSL化していることを奨励していて、多くのWeb制作会社が対応に追われているところです。
今回は、私がやってみて上手くいったロリポップでの無料常時SSL化の対応手順を掲載します。
(1)常時SSL化出来ているかチェック
各ページのURLを確認しましょう。
https://で始まればSSL化できています。
http://で始まればSSL化未対応です。→要対応!
(2)データをバックアップしよう
※データベースの書き出し等に自信のない人は、ロリポップのバックアップオプション(¥324)に加入して、サーバを復旧できる状況を作ってからスタートしましょう。https://lolipop.jp/manual/user/backup-order/
作業が終わってから、オプションを解約すれば1ヶ月分で済みます。
バックアップオプションに加入せず、復旧したい場合は1万円(税別)での対応もあります。古いデータほど復旧できなくなるので、必要な場合はすぐロリポップに依頼しましょう。
https://lolipop.jp/support/faq/backup/000714/
まずはWordPressのインストールフォルダとデータベースを入手しましょう。
■FTPでWordPressのインストールフォルダをダウンロード
FTPでWordPressのインストールフォルダを丸ごとダウンロードします。
※WordPressのインストールフォルダとは、wp-config.php、wp-includesフォルダ、wp-adminフォルダ、wp-contentフォルダ等が内包されたフォルダです。
※.htaccessなどの隠しファイルはFTPソフト側でもPCでも表示されるようにしてからダウンロードしましょう。
※フォルダ構造がよくわからない場合は、できるだけ上位の階層のフォルダからダウンロードしておくと良いでしょう。
■データベースのダウンロード
FTPで落としてきたフォルダにあるwp-config.phpをテキストで開くと、MySQLのログイン情報が書いてあります。
(A)DB_NAME・・・データベース名
(B)DB_USER・・・ユーザー名
(C)DB_PASSWORD・・・パスワード
(D)DB_HOST・・・データベースホスト
ロリポップのユーザー専用ページにログインし、
左ナビ>データベース
をクリック
取得したログイン情報のデータベースを選んで、
「phpMyAdminを開く」ボタンをクリックして、phpMyAdminにログイン。
phpMyAdminにログイン出来ました。
左ナビからデータベース名をクリックし、エクスポートタブをクリックします。
エクスポート方法は詳細をチェック
テーブルは全選択します。
圧縮はzip形式で、フォーマットはSQLを選びます。
フォーマット特有のオプションは構造とデータを選択。
生成オプションはDROP TABLEのチェックも忘れないようにしましょう。
そして、実行をクリックすると保存できます。
(3)独自SSL証明書申し込み(ロリポップ)
ロリポップのコントロールパネルへログイン
左ナビからセキュリティをクリック>独自SSL証明書導入をクリック
SSL化したいドメインを選択して、「独自SSL(無料)設定する」ボタンをクリック
(4)データベース内のリンクを一括置換
Search Replace DBをダウンロードします。
■Search Replace DBダウンロード
https://interconnectit.com/products/search-and-replace-for-wordpress-databases/
ページを少し下に行くと「Download Search Replace DB」というタイトルのフォームがあるので、項目を入力してsubmitします。
届いたメールより、Search Replace DBのzipファイルがダウンロード出来ます。
ダウンロードしてきたSearch-Replace-DB-masterフォルダをFTPでWordPressのインストールフォルダ(wp-config.phpのある階層)にアップロードします。
ブラウザで、Search-Replace-DB-masterを開きます。
http://●●.com(旧url) を https://●●.com(新url)に置換します。
置換が終わったら、Search-Replace-DB-masterフォルダはFTPですぐに削除しましょう。
(5)WordPressのインストールフォルダ内のリンクを一括置換
http://●●.com を https://●●.com にテキストを一括置換します。
Dreamwaverなら、検索>ファイルを横断して検索/置換
を選び、検索対象をダウンロードしてきたWordPressのインストールフォルダにし、旧urlを新urlに置換します。
秀丸などのテキストエディタで一括置換するのでも構いません。
置換の終わったデータをFTPで上書きアップロードします。
アップロードしたファイルは、パーミッション設定をします。
パーミッション設定については、こちらのサイトがわかりやすく参考になります。
■セキュリティ対策【共有サーバーの方は必ず確認してください】パーミッションを変更して、セキュリティを強化する
http://wordpress-custom.jp/security/security-permission-2.html
(6)httpからhttpsに.htaccessを使ってリダイレクト
WordPressのインストールフォルダ直下にある.htaccessに以下を書き足します。
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
常時SSL化対応がなかなか進まない理由
特にWordPress 内でのリンクはデータベース内のリンクの置き換えも必要になってくるため、社内にデータベースとWordPress 双方に詳しい人がいない場合、SSL化せず据え置きになりやすい状況があるわけです。
無料の独自SSLが利用できる格安ウェブホスティング会社
格安ウェブホスティング会社でも無料の独自SSLが使えるようになってきました。
・ロリポップ
https://pepabo.com/news/press/201707111300
・エックスサーバー
https://www.xserver.ne.jp/manual/man_server_ssl.php
・さくらインターネット
https://www.sakura.ne.jp/function/freessl.html
確認動作環境
WordPress 4.9.7、データベースバージョン5.6、Search and Replace on Database with Serialized Data v3.1.0
上記の手順をご使用する場合はくれぐれも『自己責任』でお願いいたします。
※ご使用の環境によって、同じようにいかない場合がありますのでご了承ください。
この際なのでサイトリニューアルをしたい、、、という方
ちょうどリニューアルの時期を迎えていた方は、常時SSL化に予算を使うよりリニューアルしませんか?
お気軽にお問合わせください。
https://twist-cube.com/contact/
最新記事 by sayuri kawamura @WEBプランナー (全て見る)
- プラグインを使わないWordPressの常時SSL化手順<ロリポップ> - 2018年7月26日
- <時短>ブログ・メルマガを書く方必見!音声入力が便利すぎる - 2018年7月19日