ご自身のウェブサイトに「保護されていない」という警告が表示されるのは、恐ろしい経験です。私のWordPressサイトの1つでこれが起こったとき、一瞬、サイトがハッキングされたと思いました。
しかし、そのサイトは古すぎたため、現在すべてのブラウザで標準要件となっている安全なHTTPS接続に移行するのを忘れていました。
幸いなことに、「保護されていない」という警告の修正は、実際には非常に簡単です。
このガイドでは、あの安心できる南京錠アイコンを再び表示させ、サイトが誰にとっても安全であることを確認するための簡単な手順を説明します。
Googleがウェブサイトに「保護されていない」と表示する理由
サイトに「保護されていない」という警告が表示される場合、通常は1つの意味です。サイトが完全に暗号化されていないということです。ウェブサイトがHTTPSを使用していない場合、またはSSL証明書に問題がある場合、Googleはこの警告を表示します。
参考までに、HTTPS(Hypertext Transfer Protocol Secure)はHTTPの安全なバージョンです。これは、ウェブサイトと訪問者の間の接続を暗号化するために、SSL/TLS証明書と呼ばれるものを使用します。
WordPressウェブサイトでこの警告が表示される最も一般的な4つの理由を説明します。
- ウェブサイトにSSL証明書がない。SSL証明書は、ウェブサイトと訪問者間の接続を暗号化します。証明書がないと、ブラウザはサイトが安全でないと判断します。なぜなら、個人情報などの人々が入力したデータが傍受される可能性があるからです。これが警告の最も一般的な理由です。
- SSL証明書が期限切れまたは無効である。SSL証明書はインストールできますが、期限切れになっているか、正しく設定されていない可能性があります。これは私が最初に確認することの1つです。通常、ブラウザのアドレスバーにある南京錠アイコンをクリックすることで、このSSLの問題を見つけることができます。
- ウェブサイトに混合コンテンツの問題がある。有効なSSL証明書があっても、HTTP経由でコンテンツ(画像やスクリプトなど)を読み込む場合、サイトは引き続き「保護されていない」と表示される可能性があります。これは、サイトがHTTPSに切り替えられたものの、古いリンクが更新されていない場合に頻繁に発生します。
- WordPressの設定にHTTP URLがあります。私は常に設定 » 一般でWordPressアドレスとサイトアドレスを確認します。これらがまだHTTPに設定されている場合、SSLが正しく機能していても、サイトはセキュリティ警告を発し続ける可能性があります。
「保護されていない」という警告の原因を説明したので、次にそれを修正し、再発を防ぐ方法を見てみましょう。
Google Chromeの「保護されていない」警告を修正する方法
「安全ではありません」という警告を修正するには、SSL証明書のインストール、WordPress URLの更新、混合コンテンツエラーの修正、およびHTTPからHTTPSへのすべてのトラフィックのリダイレクトという4つの主要なステップがあります。
幸いなことに、修正は通常複雑ではありません。ほとんどの場合、SSL証明書を有効にする、WordPressの設定をいくつか更新する、または「混合コンテンツ」として知られるものをクリーンアップすることになります。
私はこのトラブルシューティングプロセスを、自分のサイトと他人のサイトの両方で数十回経験しており、サイトを保護し、その警告を完全に削除するために行うべきことを正確に説明します。
ここで説明する手順は次のとおりです。
- ステップ1. ウェブサイトの無料SSL証明書を取得する
- ステップ 2. WordPress の URL を HTTPS を使用するように更新する
- ステップ3. WordPressで混合コンテンツの問題を修正する
- ステップ4. WordPressでHTTPからHTTPSへのリダイレクトを設定する
- ステップ5. SSL設定のセキュリティ問題をテストする
- SSLとWordPressのエラーに関するよくある質問
- WordPressセキュリティのためのボーナスリソース
ステップ1. ウェブサイトの無料SSL証明書を取得する
「保護されていない通信」の警告を修正する際に最初に行うことは、SSL証明書がインストールされているか確認することです。この小さなセキュリティ技術は、あなたのウェブサイトと訪問者間のデータを暗号化し、HTTPSを可能にします。
かつては、SSL証明書は高価なものでした。一部の会社は依然として高額な料金を請求していますが、良いニュースは、特に始めたばかりであれば、それにお金を払う必要はないということです。
ほとんどのWordPressホスティングプロバイダーは、現在、プランに無料SSL証明書を提供しています。私はこれを数十のウェブサイトで使用しており、ほとんどの場合、ホスティングダッシュボードから数回のクリックで有効化できます。
Bluehostを使用している場合は、アカウントにログインしてウェブサイトの設定に移動してください。次に、「セキュリティ」タブをクリックします。
そこから、無料の SSL 証明書を有効にするオプションが表示されます。トグルをオンにするだけで、準備完了です。
注意: 他のホストでも同様のプロセスです。別のプロバイダーを使用している場合、SSL設定はほとんどの場合、ホスティングダッシュボードのセキュリティセクションにあります。
cPanel を使用するホストの場合、ホスティングダッシュボードから起動する必要があります。「セキュリティ」タブを下にスクロールし、「SSL/TLS」アイコンをクリックします。
ホスティングサービスで無料のSSLが提供されていない場合でも、Let’s Encryptを通じて取得できますのでご安心ください。
詳細なチュートリアルで、その方法を正確に説明しています: WordPressにLet’s Encryptで無料SSLを追加する方法。
ステップ 2. WordPress の URL を HTTPS を使用するように更新する
SSL証明書を使用していても、WordPressの設定が正しくないと、サイトが「保護されていない」と表示されることがあります。サイトのURLを更新することで、これを修正できます。
WordPressダッシュボードの設定 » 一般 ページに移動するだけです。
次に、「WordPressアドレス(URL)」と「サイトアドレス(URL)」の両方のフィールドが、http:// の代わりに https:// を使用していることを確認してください。
設定を保存するには、「変更を保存」ボタンをクリックしてください。
WordPressは、ウェブサイト全体のすべてのURLでhttps://を使用するようになります。ただし、WordPressデータベースにはまだHTTP URLが保存されている場合があり、それが今後の問題を引き起こす可能性があります。
次に、それらのURLを簡単に修正する方法を説明します。
ステップ3. WordPressで混合コンテンツの問題を修正する
重要: データベースに変更を加える前に、WordPressサイトの完全なバックアップを作成することを強くお勧めします。 Duplicatorのようなプラグインは、このプロセスを簡単にし、万が一問題が発生した場合のセーフティネットを提供します。
「保護されていない」という警告の理由の1つは、混合コンテンツの問題です。これは、ウェブサイトの一部がHTTP(安全でない)URLを使用して読み込まれる場合に発生します。
これらのURLのほとんどすべてはWordPressデータベースに保存されており、WordPressテーマまたはプラグインによって追加されています。ブログ投稿やページにhttp:// URLが含まれている場合もあります。
これを修正するには、http URLを検索してhttps://に置き換えるための検索・置換プラグインが必要です。この作業に最適なプラグインは、Search & Replace Everythingです。
Search and Replace Everythingを使用しています。なぜなら、それは高速で効率的であり、WordPressで最も人気のあるコードスニペットプラグインの背後にある同じ専門家であるWPCodeチームによって開発されているからです。さらに重要なのは、初心者でも非常に使いやすいことです。
ヒント💡: Search & Replace Everything の無料版も利用できます。
まず、Search and Replace Everythingプラグインをインストールして有効化する必要があります。詳細については、WordPressプラグインのインストール方法に関するこのガイドを参照してください。
プラグインを有効化したら、ツール » 検索と置換ページに移動してプラグインの使用を開始します。
「検索対象」フィールドにhttp://を入力し、「置換先」フィールドにhttps://を追加する必要があります。
その後、「すべて選択」をクリックして、WordPressデータベース内のすべてのテーブルが検索に含まれるようにする必要があります。
最後に、「検索と置換のプレビュー」ボタンをクリックします。
プラグインは検索を実行し、結果のプレビューを表示します。これにより、データが永続的に変更される前にレビューできます。
結果を注意深くレビューし、満足したら「すべて置換」ボタンをクリックしてください。
プラグインは、WordPressデータベースに変更を加え、すべてのHTTP URLをHTTPSに置き換えます。
詳細については、WordPressで混合コンテンツエラーを修正する方法に関するこのガイドを参照してください。WordPressで混合コンテンツエラーを修正する方法。
ステップ4. WordPressでHTTPからHTTPSへのリダイレクトを設定する
サイトをHTTPSに切り替えた後、私が決してスキップしないステップの1つは、HTTPからHTTPSへのリダイレクトを設定することです。これがないと、古いリンクやブックマークを通じて、人々がまだサイトの安全でないバージョンにアクセスする可能性があります。
重要: .htaccess のようなサーバー設定ファイルを誤って編集すると、サイトが破損する可能性があります。続行する前に、必ず Duplicator のようなプラグインでウェブサイト全体のバックアップを作成してください。より安全な代替手段として、All in One SEO プラグインには、コードに一切触れることなく WordPress のダッシュボードからリダイレクトを設定できる強力なリダイレクトマネージャーが含まれています。
リダイレクトを作成する最も信頼性の高い方法は、.htaccess ファイルにルールを追加することです。
ほとんどの WordPress ウェブサイトで使用しているスニペットは次のとおりです。
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
.htaccess ファイルは、サイトのルートフォルダにあります。表示するには、ホスティングファイルマネージャーまたは FTP クライアントで「隠しファイルを表示」を有効にする必要がある場合があります。
詳細については、WordPressの.htaccessファイルの修正方法に関するこのガイドを参照してください。WordPressの.htaccessファイルの修正方法。
ウェブサイトがApacheではなくNginxで実行されている場合は、リダイレクトを異なる方法で設定する必要があります。
.htaccess ファイルを編集する代わりに、Nginx 設定を更新する必要があります。
Nginxで全てのHTTPトラフィックをHTTPSにリダイレクトするために追加するコードは次のとおりです。
server {
listen 80;
server_name yoursite.com www.yoursite.com;
return 301 https://yoursite.com$request_uri;
}
このブロックは、サイトのNginx設定ファイル(通常は/etc/nginx/sites-available/または/etc/nginx/conf.d/にあります)の既存のHTTPSサーバーブロックの上に配置することをお勧めします。
重要: コード内の ‘yoursite.com’ を実際のドメイン名に置き換えることを忘れないでください。
リダイレクトを追加したら、変更を有効にするためにNginxをリロードすることを忘れないでください。
sudo nginx -s reload
どこを変更すればよいかわからない場合は、ホスティングプロバイダーに連絡することをお勧めします。
ステップ5. SSL設定のセキュリティ問題をテストする
これらの変更を行った後、ウェブサイトをテストして、すべてが正しく機能していることを確認してください。
SSL Labs SSL Test を使用して、証明書を確認できます。SSL 設定の詳細な技術分析と評価(A+ から F まで)が提供され、徹底的なチェックに役立ちます。
私がよく使う別のツールとして、Why No Padlock? があります。このツールが良いのは、シンプルで分かりやすいレポートを提供してくれるため、残っている混合コンテンツの問題を素早く特定するのに最適だからです。
最後に、シークレットモードでサイトにアクセスしてみてください。それでも「保護されていない通信」という警告が表示される場合は、WordPressのキャッシュをクリアするか、変更が反映されるまで数分待つ必要があります。
SSLとWordPressのエラーに関するよくある質問
SSL証明書はいくらですか?
プロバイダーによっては有料の場合もありますが、無料のSSL証明書を入手することも可能です。ほとんどの主要なWordPressホスティング会社は、プランに無料で1つ含んでいます。Let’s Encryptのような非営利の証明書発行機関からも無料のSSLを入手できます。
ウェブサイトの「保護されていない通信」という警告を無視しても良いですか?
「保護されていない通信」という警告を無視することは推奨されません。訪問者の信頼を損ない、直帰率の上昇や売上の損失につながる可能性があります。Googleのような検索エンジンもHTTPSをランキングシグナルとして使用しているため、HTTPSがないとSEOに悪影響を与える可能性があります。
「保護されていない通信」という警告を修正するにはどのくらい時間がかかりますか?
ほとんどのWordPressサイトでは、「保護されていない通信」という警告を30分以内に修正できます。このプロセスには、ホスト経由でSSL証明書を有効にし、WordPressの設定でURLを更新し、リダイレクトを設定することが含まれます。プラグインを使用すると、コンテンツ内の古いHTTPリンクを修正するプロセスをスピードアップできます。
WordPressセキュリティのためのボーナスリソース
私は、作業するすべてのウェブサイトでこのWordPressセキュリティガイドに従っています。このステップバイステップガイドは、WordPressウェブサイトを適切に保護するための簡単なアクションプランを提供します。
以下に、役立つと思われる追加のリソースをいくつかご紹介します。
- SSL証明書の更新方法(初心者向けステップバイステップ)
- TLSとSSL:WordPressにはどちらのプロトコルを使用すべきか?
- Eコマースセキュリティのヒント:WordPressストアを安全にする方法
- WordPressでHTTPセキュリティヘッダーを追加する方法(初心者ガイド)
- WordPressで最も一般的なエラーとその修正方法
この記事が気に入ったら、WordPressのビデオチュートリアルについては、YouTubeチャンネルを購読してください。 TwitterやFacebookでもフォローできます。
質問や提案はありますか?コメントを残して、議論を開始してください。