【SEO対策】あなたのWordPressを今すぐSSL対応した方が良い理由５つ

ども！でびきんです。あなたのWordPressはSSLに対応していますか？

今月2018年7月からGoogleがSSL対応の強化が入りました。
SSL対応サイトを優先的に上位表示すると言う事です。また、ChromeのブラウザでもアップデートでHTTPSの強化がなされ、セキュリティアップデートされるアナウンスが発表されています。

HTTPSに対応していないサイトはメリットよりもむしろデメリットの方が多く、今後はSSLを導入していないサイトは悲しい思いをする事になりそうです。

そもそもSSL・TLSって何なの？

SSL/TLSと言うのは、元々SSL(セキュアソケッツレイヤー)と言う呼び名の頭文字を取ってSSL(エスエスエル)と呼ばれていたものが、SSL1.0 → SSL2.0 → SSL3.0 とバージョンアップを重ねて行き、現在はTLS(トランスポートレイヤーセキュリティ)と名前を改称したモノが今の呼ばれ方となっています。

なのでSSLもTLSも呼び方の違いはあっても、全く同じものと言う解釈で問題ありません。
しかし、現在も古い呼び方のSSLが一般的に浸透していますので、本投稿でも【SSL】と呼称するようにします。

そしてSSLって結局なんなの？と思われる方もいらっしゃるうと思いますが、SSL/TLSとは簡単に言うとサーバーとクライアントPC(ユーザPC)の通信を暗号化して第三者にデータを盗まれないようにする技術の事を指しています。

SSLの仕組み

では、SSLではどのようにしてあなたのWordpressへの通信が保護されているのでしょうか？

SSLの仕組みは非常にシンプルに暗号化されていますが簡単に突破されない暗号化技術が利用されています。
上記の図のような手順で暗号化がされ、ユーザー1人1人に対して個別に証明書が発行され暗号化キーがそれぞれ違っていますので、第三者からは通信パケットの内容は解読出来ないようになっています。

SSLにも種類がある

SSLの信頼証明書には大きく分けて3種類あります。
SSL/TLSとひとことで言っても、実は細かく内容が違うのです。

1. ドメイン認証型SSL
2. 企業認証型SSL
3. EV認証型SSL

上記の３つの種類は内容が違うだけで基本的な暗号技術は全て同じですから、個人や小規模事業主の方が利用するだけなら、ドメイン認証型SSLを利用する方向で問題ありません。

SSL/TLSの証明書の違いは上記の表の通りになります。
それぞれの証明書の詳細は以下の通りにまとめてみました。

ドメイン認証型SSLとは

ドメイン認証型SSLはドメインの所有者とクライアントサーバー間の暗号化に特化した証明書です。
ドメインの所有権とサイトの所有権の確認が取れれば取得が可能なSSLですので、誰でも簡単に取得する事が出来て、最近では無料で発行される証明書としてLet’sEncryptがあります。

誰でも簡単に取得出来る反面、【なりすまし】や【偽名】での取得も可能な為、通信の暗号化だけは保障されるものの、実在する企業かどうかまでは保障されていませんし、誰が取得した証明書なのかは分かりませんから、。ネットショップなどのオンラインショップでの暗号化としては不安が残ります。

企業認証型SSLとは

企業認証型SSLではドメイン型SSLと違って会社が実在するか？と言う所まで突っ込んで認証していますので、ネットショップや会社組織としてのSSL/TLSとして、その存在が保障されるSSL証明書になります。

法的に登記事項証明書や第三者データベースを利用して調査し、インターネットを経由しない電話等での確認を行っていますので、オンラインショップなどでよくある【ネット詐欺】や【架空企業】では無いと証明されているので、ドメイン型SSLよりは信頼性は高く安心して買い物が出来る証明書と言う事になります。

EV認証型SSLとは

企業認証型SSLに加えて更にSSL証明書の申請者(担当者)の在籍確認までを行っており、業務実態が本当に存在しているのか？と言う部分までに焦点を当てて証明する証明書で、現在EV証明書がSSL/TLSの中で一番信頼を置ける証明書になります。

主に金融機関や証券会社などのお金や有価証券を扱う企業が利用する為に用意された信頼証明書になります。

またEV証明書はブラウザのアドレスバーが緑色になり、そこに企業名が表示されるようになっています。

上記のようにVerisign, Inc[US]とEV証明書SSLが導入されていると企業名が表示されます。

何故SSLに対応する必要があるの？

本投稿の一番初めの画像のようにSSL/TLSが導入されて居ない場合、LogInIDやパスワードが平文(そのまま)表示されインターネットのネットワークを流れる事になりますので、ネットカフェなどでWordPressの記事を書こうとしてログインする際など、SSLがWordPressに導入されて居ない場合は、ネットカフェのWifi全体にIDとパスワードが知る事が出来る状態になってしまうからです。

更にはあなたのサイトに訪れたユーザーまでをも情報漏えいの危険性が高まる事になり、ユーザーに不親切なサイトと言われても仕方ないと言う事になります。

例えば、SSLが無いサイトを大袈裟に表現すると、手すりの無いつり橋 のような状態と言う事です。

参考記事： インターネット内に流れているパケットを傍受してみる

近年、ノマドワーカーと言う言葉を良く耳にするようになりましたが、SSLを導入していないWordPressで「おしゃれなカフェでノマドなう！」なんて言いながら呑気な事をしていると、IDとパスワードを盗まれてしまう可能性もあります。

もっと具体的に言うと、カフェのWifi入ってこのソフト立ち上げておくだけで、あなたのワードプレスのIDとパスワードとURLが流れてくるんですよ？どうします？https://t.co/ySDXyPJy4A

— でびきん@フィリピン移住3年目 (@debikingz) 2018年6月15日

更に各ブラウザではSSL未対応サイトは以下のように表示されるようになっています。

このようにMicrosoft社以外の企業では積極的にSSL対応に関心を示していますので、SSL対応は必須の時代がやってくるでしょう。

SSL未対応サイトはSEO的にも不利になる！

SSL導入サイトかそうでないかは、【https://】か【http://】かで判断する事が出来ます。
更にSSL導入済みサイトからするとSSL未導入サイトへの対応は色々不便で困る事が数点あります。

SSLを導入していない事のデメリット

• HTTPSのサイトから被リンクを貰えなくなる
  SSLを導入していてもHTTPへのリンクがあると保護されていませんと表示される
• 会員制サイトなどの場合は会員登録に不安がある
• コメント送信についても傍受される危険性がある
• カフェなどで頻繁にログインを繰り返していると情報が盗まれる危険性がある
• GoogleがHTTPS導入済みサイトを優先して上位表示すると公式発表している
  参考記事: Google、SSL/HTTPSをランキングアルゴリズムに採用することを決定

今後は更にSSL/TLS導入が当たり前の世界になってくる事が容易に予想されますので、未だにSSL導入を見送っていると言う方は、なるべく早いうちに対応しておくべきです。

今やSSL/TLSは無料で導入出来る時代

Let’s Encryptと言うサイトでは暗号化通信を世界的に広める為にSSL暗号化の為の証明書を完全無料で発行しています。
1円もお金を掛けなくてもSSLを簡単に導入する事が出来ます。

Let’t Encryptはエンジニアにとってはインストールがとても簡単と言えるレベルで導入出来るのですが、さすがにWordPress初心者の方にはまだまだ敷居が高く難しいと思われると思います。

分かってしまえば非常に簡単ではあるのですが、覚えるにも時間が掛かりますし1度設定してしまえば、後はそのままほったらかしのSSL設定ですから、上記のような難しい事をする必要は無いでしょう。

ワンクリックでSSLをインストール出来るレンタルサーバー

SSL対応したい！と思って頂いた方はスグにでもSSLを導入したいと考えているかも知れません。

いや　考えていますよね？

実は既にご存知かと思いますが、殆どのレンタルサーバーではワンクリックでSSLがインストール出来るようになっています。

• エックスサーバー SSL導入方法
• MixHost SSL導入方法
• JETBOY(ジェットボーイ) SSL導入方法
• Futoka SSL導入方法

私的にはJETBOYのSSL導入が非常に簡単でワンクリックでSSL化出来たのでオススメです。
そもそもJETBOYの管理パネルが一番わかり易いと思います。

WordPressを常時SSL化に対応する手順

まず一番初めにSSLを導入する際に気を付けたい事項が数点あります。
手順をすっ飛ばすとWordPressにログイン出来なくなったりしてConfig.phpを弄らなきゃならなくなったりと色々面倒臭いので、しっかり手順を把握した上で常時SSL化を行って下さい。

WordPressをSSL/TLS対応する手順

1. サーバーにSSLを導入する
2. ドメイン(サブドメイン)に対してSSLを有効化する
3. https://でアクセス出来るかをブラウザにURLを打ち込んで表示されるか確認する
4. WordPressの管理画面から設定→一般設定でWordpressのURLをHTTPSに変更する
5. 既存の記事のリンクをhttp→httpsに変更する(画像なども同じく対応する)

基本的な作業は以上です。

しかし、今のままでは http と https と２つのURLで2個同じコンテンツがあるとGoogleさんに言われてしまいます。

サーバーの設定パネルでhttpにアクセスがあったらhttpsに自動で転送すると言う項目にチェックをしておくのを忘れてしまうと、最悪コピーコンテンツとしてGoogleの順位がガンガン下がってしまう事になるので注意が必要です。

WordPressの手順をワンクリックで出来るプラグイン

じぇんじぇんわっかんねーべ！

となってしまった方も、まだ諦めないで下さい。

「Really Simple SSL」

と言う便利なプラグインがあります。
レンタルサーバーのSSL導入までの手順は同じなのですが、ワードプレスの設定をワンクリックで行ってくれて不具合が出た時には、停止ボタンを押すだけで元に戻せるスグレモノです！

とは言え、何が起こるか分からないのでバックアップは必ず取っておきましょう！

Really Simple SSLが自動でしてくれる作業

Really Simple SSLがワンクリックでhttps化出来ますがどこまでの作業を自動でやってくれるのかを知っておきましょう。

• 一般設定の URL を https に変更
• .htaccess にリダイレクト処理を追記
• 内部リンクのhttpをhttpsにJavaScriptで置き換え

以上の３つの事を自動でしてくれます。

内部リンクのhttpはソース的には変化がありませんがJS(ジャバスクリプト)で自動で処理してくれますが、これはブラウザに負荷が掛かりますので表示速度に影響する可能性があるのでSearchRegexのプラグインを使って置き換えてしまいましょう。

Really Simple SSLは本当にシンプルなプラグインでワンクリックするだけでパパっと変更出来ちゃいますから、まずインストールしてみたら分からないなんて事は無いと思います。

SearchRegexプラグイン

SearchRegexはWordPress内の全ての記事を検索して自動で置き換え出来てしまうスグレモノです。

SearchRegexをインストールすると、WordPress管理画面のツール→SearchRegexが出てきます。

更に下の段のReplace Pattern に https://と入力して Replaceボタンを押すと一発で全ての文字列を置き換えしてくれます。

WordPressにSSLを導入したらチェックしておきたい項目

せっかくWordPressをSSL化したのにSEOが下がった！アクセスが減っちゃった！なんて事にならない為にも、最低限、以下の項目は必ずチェックしておくべきです。

• httpにアクセスするとhttpsに自動的に転送されるか？(301転送※1)
• サーチコンソールにhttpsバージョンのサイトを新しく登録する(アナリティクスは変更不要)
• 全ての記事が正常に表示されるか確認する(目視で確認必須)
• imgタグのURLがhttp→httpsに変わっているかチェックする
• カエレバ等のツールを使っている場合はリンクを確認する
• https未対応サイトのリンク先がある場合は削除するか考える

https未対応のサイトに関しては、Simple 301 Redirectsのプラグインなどを使って、自サイト→転送ページ→未対応サイトと言う形でユーザーが訪問しないページを作って2段階転送させると言う手もあります。

WordPressにSSLを導入するかどうかの判断基準のまとめ

SEO的にもアクセス的にもユーザー的に見てもSSL/TLSは絶対導入しておいた方が良い対策です。
特にカフェなどでノマド作業をガンガンするような方は絶対入れておかないと乗っ取り改ざんの憂き目に会う事になるでしょう。

しかしながら、WordPressの記事数が300記事400記事を超えるようなサイトであればSSL導入も簡単な事ではありません。

膨大な時間が掛かる事から、これをきっかけにサーバー移動をして裏でコツコツとSSLサイトの引っ越しをして完了してからドメインを移動させるなどのSSL導入プランを立てて計画的に進めなければならないと思います。

とは言え、SEO的に現状はそこまで影響もない事ですから無理してSSL導入して表示されなくなりました！なんてことになったら大きなダメージを受ける事になってしまいますから、200記事以下のサイトは問答無用で導入、それ以上の記事数のサイトは要検討と言う形で良いのではないでしょうか。