httpとhttpsの違いや変換とは?SSL切り替えでブログの乗っ取り防止対策

どうも、Mr.フリーマンです。

 

突然ですがhttphttpsの違いってご存知ですか?

 

そもそもhttpとは何なのかご存じないかと思います。

私のこのブログでいうとhttps://esarimo.comと、Sを抜いたhttp://esarimo.comの違いなのですが数年前から注目され始め、httpからhttpsへと設定を変換(切り替え)するブロガーが増えて来ているんです。

 

今回は将来間違いなく重要になってくるhttpとhttpsの違いや切り替えと、エックスサーバーが無料で提供しているSSL化方法をご紹介していきます。

関連記事:スタードメイン新規取得と支払い方法(Xサーバー登録設定手順も)

 

httpとhttpsの違いやSSL化とは?

 

httpとはHyperText Transfer Protocolの略。

 

簡単にいうと、インターネット上でデータを送受信するための通信手段のことです。

 

そしてこれにSeurity(セキュリティー)のSを加えたのがhttpsなんです。

 

そう、つまりhttpsの方が安全性の面で優れていて、httpからhttpsへ変換することをSSL化と呼んでいます。

 

SSL化されたサイトはURLの前に鍵マークが表示され、Google Chromeだと『保護された通信』と表示されます。

 

 

 

そしてこの鍵マークをクリックすると『お客様がこのサイトに送信した情報(パスワード、クレジットカード番号など)が第三者に見られることはありません。』と表示されます。

 

絶対に安全とはいえませんが、第三者による情報漏えいの防止やブログの乗っ取り防止などにも役に立つのでSSL化はおすすめです。

 

実際、私のブログ仲間の話なのですが、ワードプレスで作成したブログのパスワードをハッキングされ乗っ取られ人もいます。

 

いつものパスワードを入力してもログインが出来ない!

 

しかし幸いにも登録していたメールアドレスはハッカーには変更されていなかったので、パスワードをリセットして取り戻すことが出来たんだそうです。

 

SSL化は情報漏えいのためだけじゃなかった!

 

パスワードやクレジット番号をハッキングされるのを恐れてSSL化する企業やブロガーも多いようですが、暗号化することによりマルウェアに感染して改ざんされたりする危険性も低くなります。

 

毎日コツコツと投稿し、育て上げたブログ記事が突然真っ白に!

 

なんて考えただけでも恐ろしい話なのですが、そんなことにもならないよう一刻も早くhttpからhttpsへのSSL化をしましょう。

 

 

SSL化するとGoogleでの検索結果で有利に

 

2014年8月、Googleはウェブマスター向けの公式ブログでHTTPSをランキングシグナルへ使用すると発表しました。

HTTPS をランキング シグナルに使用します

 

なんだかんだ長々と書かれていますが、要するに『HTTPS(SSL化)のページは、HTTPのページよりも評価が高くなる』ということなんです。

 

とんでもなく検索上位されるわけではないのですが、アドセンスブログなどで稼いでいる人は早めにSSL化することをお勧めします。

 

以前はSSL化するのに高い料金を払っていたのですが、最近では無料でSSL化できるレンタルサーバーも登場し始めています。

 

今回はそんなレンタルサーバーの一つでもあるエックスサーバーでの無料SSL化設定をご紹介しますね。

 

 

エックスサーバーでHTTPS設定

 

エックスサーバーはサーバー契約をしていれば誰でも無料でSSL化が可能です。

 

しかもボタンを数回クリックするだけです。

 

しかし絶対に失敗しないとは限らないので、必ずバックアップを取ってから行いましょう。

 

無料バックアップの方法につきましてこちらへ ⇒ WordPressのデータを完全無料で自動バックアップするプラグインBackWPup

 

バックアップが完了したら早速SSL化していきましょう。

 

エックスサーバーのサーバーパネルへログインし、『SSL設定』をクリックします。

 

 

SSL化したい対称ドメインの『選択する』ボタンをクリックします。

 

 

開いた画面には『現在、独自SSL設定はありません。』と表示されているので、『独自SSL設定の追加』をクリックします。

 

 

サイトのURLが間違いないか確認し『独自SSL設定を追加する(確定)』をクリックします。

 

無料サービスの独自SSLの場合は、CSR情報を設定しなくても手続きは可能なので、『CSR情報(SSL証明書申請情報)を入力する』に☑は必要ありません。

 

 

『SSL新規取得申請中です。しばらくお待ちください。』と表示されます。

『処理には数分ほどかかる場合があります。』と書かれていますが、画像つきで80記事くらいあるこのブログは30秒もかかりませんでした。

 

 

SSL設定が反映するまでには最大1時間ほどかかります。

 

 

因みにこの待っている間に『https://esarimo.com』で検索すると『この接続ではプライバシーが保護されません』と表示されました。

 

 

Google Chromeのアドレスバーには『保護されていません』と表示され、httpsの部分に斜線が引かれます。

 

 

インターネット・エクスプローラでは、『この Web サイトのセキュリティ証明書には問題があります。』と表示されます。

 

 

でも、Sを抜いたhttpでは問題なく表示されるのでアクセスは可能です。

 

SSL設定が反映するまで最大1時間ほど待つことになるんだけど

 

これで終わりではなかった!

 

無事エックスサーバーでのSSL化が完了しhttpsでアクセスできるようになっても、鍵マークの『保護された通信』ではなく

 

 

びっくりマークのようなの画像が表示される場合があります。

 

httpsで表示されていても、このマークでは暗号化されていないので安全性は不十分です。

 

次ではその原因と解決策についての説明です。

 

内部リンクや画像URLをhttpsに自動変換するプラグイン

 

鍵マークが表示されたりされなかったりと、ページによってはSSL化されてないページが存在します。

 

原因は記事に貼った内部リンクや画像URLがhttpのままになっているからなんです。

 

でも何百枚とある画像の張替えや、内部リンクをすべて手作業で変換するのはとてもとても無理。

 

そこでその作業を行ってくれるプラグインSearch Regexを使いましょう。

 

2017年2月現在、最終更新は10ヶ月前となっていたんですが、使ってみたら問題なく動作しました。

 

ボタンひとつでhttpを探し出し、httpsへと変換しくれる賢いプラグインです。

 

プラグインから『新規追加』をクリックします。

クリックで拡大

 

 

検索ボックスに『Search Regex』と入力し、今すぐインストールをクリックします。

 

 

『有効化』をクリックしてインストール作業は完了です。

 

『ツール』から『Search Regex』をクリックします。

 

 

Search patternにhttpから始まるブログやホームページのURLを入力。

Replace patternにhttpsから始まるURLを入力し、Searchボタンをクリックします。

 

するとhttpから始まるURLがズラッと抽出されます。

私のこのブログだと2200ものURLをみつけてくれました。

これを1個1個手作業で探し出し変換してたらと思うとゾッとします。

 

あとは『Replace』ボタンをクリッ。。。

 

 

 

 

 

ここは絶対に間違えないように。

 

間違えてhttpaなんて変換しちゃったらページが開かなくなって地獄を見ます。

 

何度も見直してからReplaceボタンをクリックしましょう。

 

Replaceボタンクリックすると、httpsに変換されるリンク一覧が表示されます。

 

問題がなければ『Replace & Save』をクリックしてください。

 

 

 

◯◯◯◯ occurrences replacedと表示されれば無事完了です。

 

 

念のためにもう一回『Search』ボタンをクリックして『There are no results』と表示されれば成功です。

 

 

がしかし、それでもこのようにロックさていない鍵マークが表示される場合がほとんどです。

 

原因はおそらくこのプラグインが互換性のある最新バージョンに更新されていないからだと思います。

 

どの部分が変換されていないのかSINKA、アルバトロス、ハミングバードの3つのテーマで確認したところ、3つともヘッダー画像とウィジェットの内にあるURLが変換されていませんでした。

 

現在互換性のあるプラグインを探しています。

 

見つけ次第更新するのでお待ち下さいね。

 

 

ウィジェットとヘッダー画像URLをhttpsへ変換

 

ウィジェットとヘッダー画像を変換する前に、変換されていないURLの探し方をご説明しますね。

 

ここではFirfoxを使用します。

 

暗号化されていないページを探し、この鍵のマークをクリックします。

 

 

すると『この接続は安全ではありません』と表示されるので、その横にある矢印をクリックします。

 

 

『詳細を表示』をクリックします。

 

 

httpから始まっているURLを探し出しましょう。

殆どが背景画像でしたが、1つだけプラグイン内のgif画像もありました。

 

ウィジェット内にアバター画像などを貼り付けている場合は下記手順にて変換可能です。

 

外観からウィジェットをクリックします。

 

画像を貼り付けたウィジェットを探し出しhttpからhttpsに変更して『保存』をクリックすれば完了です。

 

 

ヘッダー画像のURL変更は各種テーマによって手順が変わってきます。

 

今回はハミングバードの手順をご紹介します。

 

外観から『カスタマイズ』をクリックします。

 

 

トップページ設定をクリックします。

 

 

『画像の変更』ボタンでヘッダー画像を差し替え直せば鍵マークがロックされSSL化に成功するはずです。

 

最後はこうやって1ページ1ページ変換するリンクを探し潰していくしかありません。

 

骨の折れる作業ですが、心が先に折れちゃうかも。。。

 

 

 

が、しかし!

 

なぜか私のハミングバードはトップページの鍵マークがロックされずSSL化に失敗!

 

ヘッダー画像を削除するとロックされるも、入れ直すとロックが外れてしまう。。。

 

成功した人はいるんだけど、私の場合別テーマのSINKAも同じ現象になってしまった。

 

 

もうだめだー(´;ω;`)

 

 

と諦めかけていた時、この問題を一瞬で解決するプラグインを発見しちゃいました。

 

 

 

だったらはじめから教えろよーー!

 

て声が聞こえてきそうだけど、それには深ーい大人の事情が。。。

 

 

https変換に失敗したURLを一瞬で解決するプラグイン

 

その名もReally Simple SSL

 

 

 

と叫んでしまうほど今までの苦労が一瞬で終わるプラグインだから興奮しすぎないようご注意を!

 

そろそろ疲れてきたのでチャチャッと終わらせましょう。

 

プラグインから『新規作成』をクリックします(もうこれいらないかな?笑)。

クリックで拡大

 

 

Really Simple SSLと検索し、『今すぐインストール』をクリックします。

 

 

『有効化』をクリックします。

 

 

『はい、SSLを有効化します。』をクリックします。

 

この画面が出ない場合、プラグインから『インストール済みプラグイン』をクリックします。

 

 

『有効化』ボタンをクリックして画面を表示してください。

 

『SSLを有効化しました』と表示されれば無事完了。

 

これで問題があったページを開き、鍵マークがロックされていればSSL化完了です!

 

そしてなぜこのReally Simple SSLというプラグインを先に紹介しなかったかというと、プラグインを停止すると鍵マークのロックが外れSSL化できなくなるんです。

 

つまり将来、このプラグインがアップデートされずにWordpressとの互換性がなくなると、httpsに変換されていないページがSSL化されなくなるという面倒な事が。。。

 

もう二度とこんな作業したくないので、一生アップデートされることを祈りましょう。

 

めでたしめでたし。

 

。。

 

。。。

 

ではないんです!

 

まだ残っている作業が少しだけあるんです。

 

ここをよーく読んでみてください。

SSL を有効化しました。  Don’t forget to change your settings in Google Analytics en Webmaster tools.

 

そうなんです、Google Analyticsとウェブマスターツールもhttpsへ設定変更する必要があるんです。

 

このプラグインけっこう親切。

 

そんなに時間はかからないのでもう一踏ん張りしましょう!

 

 

グーグルアナリティクスの設定変更

 

グーグルアナリティクスもトラッキン設定がhttpのままになっているので変更が必要です。

 

Google Analyticsへログインします。

 

変更するサイトの『管理』ボタンをクリックします。

 

 

『プロパティ設定』をクリックします。

 

 

デフォルトのURLをhttpsへ変更して『保存』ボタンをクリックします。

 

 

そしてもう一箇所。

 

一つ前の画面に戻って『ビュー設定』をクリックします。

 

 

ここでもウェブサイトのURLをhttpsへ変更して『保存』をクリックすれば完了です。

 

 

そしてGoogleのウェブマスターツールとBingウェブマスターツールですが、残念がら現在のところ変更設定はなく、新規で登録し直さなければいけません。

 

グーグルのウェブマスターツールの使い他につきましてはこちらへ ⇒ Seaech Console2017年の登録や使い方は?サイトマップをGoogleへ送信してSEO対策

 

パーマリンクをHTTPS設定

 

思わず忘れちゃいそうだったパーマリンクのHTTPS設定です。

 

パーマリンクってなに?という方はこちらの記事をご参照ください ⇒ WordpresパーマリンクでURLを好きなアドレスに変更する方法は?

 

めちゃくちゃ重要ではないけれど、簡単に終わっちゃうのでHTTPSへ変更しちゃいましょう。

 

『設定』から『一般』をクリックします。

 

Wordprssアドレス(URL)とサイトアドレス(URL)に記載されているhttpをhttpsへ変更しましょう。

 

 

変更したら『変更を保存』をクリックします。

 

次に『設定』から『パーマリンク設定』をクリックします。

 

URLがhttpsになっていればOKです。

 

 

 

リダイレクト(自動転送)設定

 

これが本当の最後です。

 

リダイレクト設定とはhttpで入力し検索されたURLを自動でhttpsに転送してくれる機能です。

 

ブックマークにhttpで登録されているパターンや、ツイッターでツイートされたURLなどもありますよね。

 

ここではエックスサーバーからの設定変更と、FFFTPというツールを利用した設定方法をご紹介します。

 

ただし、基本知識がない方はご注意ください。

 

一つ間違えるとブログに重大な影響を与えます!

 

エックスサーバーからリダイレクト設定変更

 

エックスサーバーのサーバーパネルへログインし、『.htaccess編集』をクリックします。

 

自動リダイレクトしたい対称のドメインの『選択する』ボタンをクリックする。

 

『.htaccess編集』をクリックする。

 

 

この赤枠内の記述を変更するわけですが、万が一のときのためにコピーしてメモ帳などに保存しておきましょう。

クリックで拡大


<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L] </IfModule>

そして『suPHP_ConfigPath /』の上に、上記のコードをコピーして貼り付けます。

クリックで拡大

何度も何度も間違いないか確かめて問題がなかったら『.htaccessを編集する(確認』をクリックします。

 

『.htaccessを編集する(確定)』をクリックすれば完了です。

 

試しに『http://』から始まるブログURLで検索して自動的に『https://』に切り替われば成功です。

 

FFFTPからリダイレクト設定方法

 

FFFTPのインストールや使い方につきましてはこちらへ ⇒ ワードプレスの画面がエラーで真っ白になった時の修復方法

 

FFFTPへログインし、◯◯◯.com/public_htmlの階層フォルダを開きます。

.htaccessのファイルをパソコンにドラッグ・アンド・ドロップでコピーして開きます。

 

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L] </IfModule>

 

『suPHP_ConfigPath /』の上に、上記のコードをコピペして上書きします。

 

編集した.htaccessファイルをFFFTPの元の場所にドラッグ・アンド・ドロップで戻して上書きします。

 

試しに『http://』から始まるブログURLで検索して自動的に『https://』に切り替われば成功です。

 

以上ですべての作業は終了です。

 

本当にお疲れ様でした。

 

ゆっくり休んでください。。。

 

と伝えたいところだったんだけど、まだ残っていました。

 

ブログをhttpsへSSL化すると、アドセンス広告も専用の広告コードへ変更しなければいけないことが後日わかったんです。

 

その理由や変更方法につきましては下記のリンクページで解説しているので御覧ください。

httpsへSSL化したブログは専用のAdsense広告コードへ変更が必要!

 

本日は最後まで読んでいただき本当にありがとうございました。