エックスサーバーで常時SSL化（https化）するWordPressの設定方法

エックスサーバーでSSL化したいけど「設定が難しそう」「失敗したくないし面倒くさそう」なんて思っていませんか？

この記事では、今では必須の設定となった常時SSL化について、エックスサーバーとWordPressの両方の設定方法を解説します。

WordPressブログを常時SSL化する方法

①エックスサーバーでSSL設定を行う

まずは、Xserverアカウントにログインしてエックスサーバー側のSSL設定を行います。

アカウント管理画面にある「サーバー管理」をクリックしてください。

管理画面からサーバーパネルに移行したら「SSL設定」を選択してください。

SSL設定を行いたいドメインを選択します。

すでにSSL設定済みならどうする？

サーバーにドメインを追加する際に「無料独自SSLを利用する」にチェックしていると、エックスサーバーでのSSL化は完了しています。

ドメイン設定が完了していない場合は「エックスサーバーの新規ドメイン取得とドメイン設定の追加方法」を参考にしてください。

「すでに独自SSLが設定されています」と表示されている場合は「②WordPressの設定でURLをhttpsに変更する」へ進んでください。

まだSSL設定が終わっていない場合

選択した対象ドメインが独自SSLの設定が未完了の場合は、CSR情報にはチェックをしないで「確認画面へ進む」をクリックします。

確認画面で独自SSLを設定するサイトに間違いなければ「追加する」をクリックします。

「SSL新規取得申請中です。しばらくお待ちください。」と表示されますが、1,2分ほど待てば画面が自動的に切り替わります。

SSL設定の追加が完了したら「戻る」をクリックします。

独自SSL設定を行ったドメインの横には「反映待ち」と表示されます。

SSL反映時間は数十分～最大1時間ほど必要なので、時間を置いてから更新して反映待ちが消えるのを待ちましょう。

これで、エックスサーバーの独自SSL設定は以上になります。

②WordPressの設定でURLをhttpsに変更する

次は、WordPress側でSSL化に対応するための設定に変更します。

ログインしたWordPress管理画面（ダッシュボード）左下にある「設定 ＞ 一般」とクリックします。

「WordPressアドレス（URL）」「サイトアドレス（URL）」ともに「http」→「https」へと書き換えます。

アドレス変更前「http」

httpsに変更後

問題が無ければ「変更を保存」をクリックします。

自動的にログアウトしますが、SSL設定で新しくなったWordPressアドレスへログインできるようになっています。

アドレスバーにはSSL化された証拠の鍵マークが付き、WordPressアドレスとサイトアドレスにもhttpsに変更されています。

これで、WordPressのSSL化も完了です。

③「.htaccess」にリダイレクトコードを記述する

最後は、運営するブログを常時SSL化するための設定を行います。

ここまでで解説したエックスサーバー側とWordPress側のSSL設定だけでは「http」「https」の両方にアクセスできてしまう状態です。

httpのままのURL

httpsになっているURL

1つ目の画像のように「http://○○○.com」にアクセスできる状態は常時SSLとは言わないため、「.htaccess」にリダイレクトコードを記述して「https://○○○.com」のみにアクセスさせる必要があります。

常時SSL化にするには「.htaccess」にリダイレクトコードを記述するので、サーバーパネルにある「.htaccess編集」をクリックしましょう。

ドメイン選択画面で、常時SSL化するドメインを選択します。

対象ドメインが正しいか確認し「.htaccess編集」タブをクリックすると、.htaccessファイルに初めから記述されているコードが表示されます。

初期コードは絶対に消さないで、下記のリダイレクトコードを追記して「確認画面へ進む」をクリックします。

<IfModule mod_rewrite.c>
	RewriteEngine on
	RewriteCond %{HTTPS} !=on [NC]
	RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

.htaccessの初期状態

「リダイレクトコード」記述後

追記したリダイレクトコードや初期コードに問題なければ「実行する」をクリックします。

「.htaccessの編集が完了しました。」と表示されたら、WordPressの常時SSL化の完成です。

念のために常時SSL化されたのか「http://のまま」のURLにアクセスしてみましょう。

実際に私のサイトでリダイレクトされる動画を撮影しました。「http://cyan-blog.xyz/」から更新してみると「https://cyan-blog.xyz」にリダイレクトされています。

投稿を一切していない新しいブログの場合は、ここまでで作業は完了です。

記事を書いたり画像を追加したりしてもすべてSSL化されているため、エラーが出ることはありません。

運営中のブログを常時SSL化した後にチェックすること

ここからは、すでに運営されているWebメディアを常時SSL化した時に必ずチェックする箇所を解説します。

エラーが出るページを確認する

常時SSL化したのにアドレスバーに南京錠が表示されずに「このサイトへの接続は完全には保護されていません」とエラー表示されてしまうページがあります。

エラーが出てしまう原因は、次の3つに「http」のままのURLが混在している可能性が高いです。

エラーが出ないようにするために、ブログ内にあるhttpをすべてhttpsに書き換えてください。

内部リンクや画像パスを「Search Regex」で書き換える

内部リンクや画像パスを手作業で1つずつ書き換えていくのはとても大変なので、WordPressプラグイン「Search Regex」を利用して一括変換するのがおすすめです。

WordPress管理画面のプラグインで新規追加から「Search Regex」と検索すれば、すぐにインストールできます。

Search Regexの「検索欄にSSL化前のURL」「置換欄にSSL化後のURL」を記入して「すべて置換」をクリックすれば良いだけと簡単です。

アフィリエイトプログラムを利用していないブログであれば、内部リンクや画像パスを置き換えるだけでエラーが消えるのがほとんどです。

アフィリエイトタグを新しくする

ASPから提供されているタグにhttpの画像パスが含まれているとエラーが表示されます。

今のASPではSSL化されたタグしか提供されていないので、古くから使いまわしているタグは新しいタグにするのがおすすめです。

Search Regexでもアフィリエイトタグの置換は可能ですが、失敗してしまうと報酬が発生しない可能性もあります。

なるべくASP管理画面にあるタグをコピペした方が安全ですよ。

ウィジェットエリアを確認する

画像パスもアフィリエイトタグもhttpsに置き換えたのに、まだエラーが出る場合はウィジェットエリアをチェックしてください。

テキストウィジェットやカスタムHTMLウィジェットなどは「Search Regex」では置き換えできないので、画像パスやscriptタグはhttpのままです。

ウィジェットエリアなら手作業で書き換えても時間がかかりません。

なので、全ページでSSLエラーが発生している場合はウィジェットエリアを疑った方が解決するのが早いかもしれません。

Googleアナリティクス

Googleアナリティクスでアクセス解析をすでに行っている場合は、デフォルトURLの設定を変更します。

最後の「保存」をクリックすれば完了です。

Googleサーチコンソール

SSL化前からGoogleサーチコンソールを利用している場合は、プロパティの追加から新しいURLを登録します。

URLごとに管理できる「URLプレフィックス」に、SSL化されたURLを記入して認証すれば良いだけです。

ただし、「○○○.com」などドメインプロパティですでに登録している場合は、「httpとhttps」や「www有り無し」は同じ扱いになるの登録し直す必要はありません。

SSL化のメリット

SSL化とは、インターネット上の通信を暗号化して送受信する仕組みのことです。

暗号化するメリットには、次の3つがあります。

暗号化された通信は読み取られたり改ざんされる心配がないので、クレジットカード情報や個人情報が洩れる可能性を低くします。

 SSL/TLSは、WebサーバとWebブラウザとの通信においてやりとりされるデータの暗号化を実現する技術です。たとえば、インターネットバンキングで利用者登録する場合などは、このSSL/TLSを使ったホームページが使われます。ここで入力された情報は暗号化され、金融機関のWebサーバに送られるのです。これにより、通信の途中で情報が盗み見られることを防いでいます。

SSL/TLSの仕組み｜国民のためのサイバーセキュリティサイト

訪問者が安心して利用できるWebサイトは信頼性が高いので、GoogleもSSL化を推奨しているためSEO効果も期待できます。

Google は過去数か月にわたり、暗号化された安全な接続をサイトで使用していることを検索のランキング アルゴリズムのシグナルとして考慮するテストを実施してきました。このテストで十分な結果が得られたため、Google はランキング シグナルとして HTTPS を使用することにしました。現在のところは、ウェブマスターが HTTPS に切り替えるための移行期間として、このシグナルのウェイトを非常に小さく設定しています（グローバル クエリの 1% 未満にしか影響せず、高品質のコンテンツなど他のシグナルよりウェイトが小さい）。しかし、誰もがウェブを安全に利用できるよう、すべてのウェブサイトの所有者に HTTP から HTTPS への切り替えをおすすめしたいと考えているため、今後このウェイトは大きくする予定です。

ランキング シグナルとしての HTTPS  |  Google 検索セントラル ブログ  |  Google Developers

エックスサーバーのSSL化でよくある質問

Q1.無料レンタルサーバーはhttpsに対応していますか？

無料レンタルサーバーは、https（独自SSL）に未対応の場合がほとんどです。

エックスサーバーが提供する無料レンタルサーバー「Xfree（エックスフリー）」でも独自SSLに対応していません。

Q2.他社で購入したSSL証明書は持ち込み可能ですか？

他社で購入したSSL証明書の持ち込みには対応していません。

エックスサーバーで契約したSSL証明書しか利用できないので注意しましょう。

Q3.SSL証明書をインストールする必要はありますか？

エックスサーバーが独自SSL設定作業をすべて行ってくれるので、自分で証明書をインストールする必要はありません。

まとめ

エックスサーバーでWordPressの常時SSL化について解説しました。

SSL化のデメリットは多少面倒というだけで、エックスサーバーなら簡単に常時SSL化できます。

これからブログを始める初心者でも安心してSSL化できるので、ブログ開設前に設定しておく方が良いですね。

他にもエックスサーバーでWordPressブログを始める方法は関連記事で解説しているので参考にしてください。