SSL視点でのレンサバ選び@WordFes名古屋2017

これからのWordPress×SSL on レンタルサーバ 2017/10/28 さくらインターネット株式会社技術本部⾕⼝元紀 (C)
Copyright 1996-2016 SAKURA Internet Inc

今⽇のお品書きこれからのWordPress × SSL on レンサバということで、・常時SSLとは？・レンサバの選び⽅・WordPress設定変更で気をつけること
と⾔った内容をお話させていただきます。 2

⾃⼰紹介⾕⼝元紀（たにぐちげんき） 3 来歴 2016年さくらインターネット⼊社 2004年からWebディレクターとして制作会社、事業会社などで勤務さくらインターネットでのお仕事レンタルサーバ SSL/ドメイン販売
CDN のサービス企画等を担当

常時SSLとは？ 4

常時SSL http://でコンテンツにアクセスできないこと 5

常時SSL Googleによると、⽇本におけるHTTPS採⽤率は昨年 31％から今年55％へアップしているとのこと。 6

常時SSL 常時SSLの条件 7 http://のアクセスはリダイレクトされるサイトのコンテンツ全てがhttpsでアクセスできる SSL関連のエラーが発⽣していないこうなってたらOK!

常時SSL 既存サイトを常時SSL化するのって、結構めんどくさいですがそのメリットとは。 8

常時SSL 常時SSLのメリット 9 検索順位のアップセキュリティ向上/プライバシー保護 http/2での転送速度向上（ただし効果薄）「保護されていない通信」を消せるこれです！

常時SSL 10 常時SSLのポイント httpの通信は丸⾒えセキュリティ向上の他にSEOや速度的メリット「保護されていない通信」⼀番のモチベーション

SSL視点のレンサバ選び 11

レンタルサーバ価格、ディスク容量、スピードの他に、「SSL」という視点の選択肢もあります。 12

レンタルサーバ 13 さくらのレンタルサーバスタンダード A社 B社無料SSL （Let's Encrypt） ◦
◦ ◦ SSL証明書の持ち込み ◦ × × SSLの実装特殊仕様汎⽤仕様汎⽤仕様利⽤可能な証明書タイプ DV/OV/EV DV/OV/EV DV WordPress SSL系プラグイン公式専⽤プラグイン汎⽤プラグインでOK 汎⽤プラグインでOK HTTP/2 × ◦ ◦ 利⽤料（⽉額） 515円初期費⽤1,029円 600円初期費⽤1,500円 1,296円（3ヶ⽉〜）初期費⽤3,240円特徴証明書持ち込みできて安いが、特殊仕様で設定に難ありコストバランスNo.1、安いDVが選べないのがデメリット格安DVはあるが、 EV/OVが選べない

レンタルサーバちょっとそれますが無料SSL（Let's Encrypt）のメリット・デメリット 14 お⾦がかからない更新の⼿間がかからない（⾃動更新）暗号強度などは有料SSLと同様⼿動対応を受けられない（ドメインBL等）⼀部証明書であるマルウェアスキャンなどが無い
明⽇無くなっても泣かないブランド⼒が無いこのサイト無料証明書使ってるのかと⾒られる（ブランド気にするのはごく⼀部の⼈だけですが…）

レンタルサーバ 15 個⼈ブログやテストサイトならOK。商⽤サイトは格安でもいいので有料証明書の利⽤をおすすめしたいです。（900円〜）予算に余裕があれば、EV証明書の利⽤をおすすめします。（年5万円ぐらい〜）証明書売ってる⼈⽬線の⼼の声こういうやつです！⽇本語も
OK！

レンタルサーバ 16 SSL⽬線のレンサバ選びのポイント無料SSLが使えるか証明書が持ち込めるか証明書ラインナップが幅広いか EV/OVも使えるかインストールしてる証明書が失効しそうになると勝⼿に無料SSLで代替してくれるとか

WordPressサイトの常時SSL化 17

WordPress 18 1. コンテンツのURL変更（投稿はSearch and Regex等のプラグインが便利） u 投稿内のサイト内リンクURL（画像は勝⼿に書き換わります） u
CSSなどのリンク（デフォルトテーマは勝⼿に書き換わります） u カスタムフィールド内URL（意外と忘れがち） u ハードリンクされてるのが⼀番厄介 2. サイト設定のURL変更 WordPressの⼀般設定でhttp://〜をhttps://〜に変更します。 WordPress SSL設定時に必要なこと

WordPress WordPress常時SSL化の作業順 19 コンテンツ内のサイトURL を変更 WordPress サイト設定 URLを変更 .htaccessな
どでリダイレクトサイト設定を変更するとメニュー等のリンクがhttpsに書き換わるので、コンテンツやCSSリンクがhttpのままになってMixed contentが出る可能性があります。先にコンテンツURLを変えておくとこれを回避できます。サイト設定変更とリダイレクトは必ず最後にしましょう。できればじっくり確認するためにURL置換と作業⽇を分けた⽅が◎

WordPress 20 Apacheを利⽤している事業者がほとんどなので、レンサバコンパネから証明書を購⼊し、有効化した上で.htaccessでリダイレクトすればOKです。Really Simple SSL などのプラグインならもっと簡単！（JSでのリダイレクトは⾮推奨）サーバ設定 <ifmodule mod_rewrite.c>
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] </ifmodule> さくらのレンタルサーバ特殊仕様リバースプロキシでSSLを実装しているのでリライト時に環境変数HTTPS がONにならない。そのためWordPressサイトのデザインが崩れる、リダイレクトループ等の問題が発⽣する。回避⽅法はさくらのサポート情報にあり。プラグインもあります！ SetEnvIf REDIRECT_HTTPS (.*) HTTPS=$1 <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{ENV:HTTPS} !on RewriteCond %{REQUEST_URI} !/wp-cron¥.php$ RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] </IfModule> wp-config.php いじらなくても⼤丈夫！

WordPress WordPress常時SSL化の作業順その2 21 アクセス解析の設定変更 Google Search Consoleの設定変更
アクセス解析→GAなどの他、Sitemap.xml、feedなどもちゃんと変わっているか確認しておく。 SearchConsoleはhttps://のサイトを「追加」する。追加するとhttp://への流⼊減少とhttps://への流⼊増加を確認できます。GAみたいに勝⼿に変わってくれないので忘れずに。

WordPress 22 リダイレクト設定の最終確認は別ブラウザで特にChromeはリダイレクト情報までキャッシュするので、リダイレクト設定をいじったあとは、キャッシュ全消去した別ブラウザで確認するのがおすすめです！リダイレクトループしても泣かないリダイレクトループしても、.htaccessに記述した内容を消せば元に戻るので必要以上にビビることはありません！さくらのレンタルサーバには気をつけろ
SSL実装の特殊仕様とwwwドメインに勝⼿にCNAMEを設定する機能のせいでリダイレクトループ＆デザイン崩れが発⽣しやすいです。（対処⽅法あり）

WordPress 23 ChromeのNetworkツールを使うとhttp探しが捗ります

まとめこれからのウェブサイトは常時SSLほぼ必須レンサバもSSL視点で選ぶ時代へ WordPressの設定も怖くない 24

ちょっとだけ宣伝とお願い 25 さくらも無料SSL対応しました！（10/17） WPが2倍の速さに!? PHP7.1を設定してください WordPressは常に最新に！ 1週間で1万ドメインSSL化！

ホスティング事業者からのお願い 26 古いWordPressを放置しないテストで作ったものなどが放置されているケースが多いです。公開領域に無駄なWordPressを置かないでください。更新のないサイトなどはStatic Press等で静的化するのもおすすめ。不要ならxmlrpc.phpはアクセス不可に古いWordPressを放置したせいで脆弱性を突かれてクラックされ、メール⼤量送信の踏み台にされるケースが激増してい
ます。⾃動アップデートは極⼒無効化しないログイン画⾯のセキュリティ強化 Google Search Console登録

書籍のご紹介 27 プロフェッショナルSSL/TLS ラムダノートさんから出版されているSSL解説本の決定版。PKIの歴史から各種Webサーバ設定まで、様々な⽅が楽しめる内容が網羅されています。 5,000円とちょっと⾼いですが読み応えあり！

ご清聴ありがとうございました。 28

この後、当教室でランチタイムトーク「レンタルサーバ情報交換」がありますので、さくらの特殊仕様にお困りの⽅や質問などある⽅はお声がけください！ 29

SSL視点でのレンサバ選び@WordFes名古屋2017

SSL視点でのレンサバ選び@WordFes名古屋2017

GENKI TANIGUCHI

More Decks by GENKI TANIGUCHI

Other Decks in Technology

Featured

Transcript

これからのWordPress×SSL on レンタルサーバ 2017/10/28 さくらインターネット株式会社技術本部⾕⼝元紀 (C)

今⽇のお品書きこれからのWordPress × SSL on レンサバということで、・常時SSLとは？・レンサバの選び⽅・WordPress設定変更で気をつけること

⾃⼰紹介⾕⼝元紀（たにぐちげんき） 3 来歴 2016年さくらインターネット⼊社 2004年からWebディレクターとして制作会社、事業会社などで勤務さくらインターネットでのお仕事レンタルサーバ SSL/ドメイン販売

常時SSLとは？ 4

常時SSL http://でコンテンツにアクセスできないこと 5

常時SSL Googleによると、⽇本におけるHTTPS採⽤率は昨年 31％から今年55％へアップしているとのこと。 6

常時SSL 常時SSLの条件 7 http://のアクセスはリダイレクトされるサイトのコンテンツ全てがhttpsでアクセスできる SSL関連のエラーが発⽣していないこうなってたらOK!

常時SSL 既存サイトを常時SSL化するのって、結構めんどくさいですがそのメリットとは。 8

常時SSL 常時SSLのメリット 9 検索順位のアップセキュリティ向上/プライバシー保護 http/2での転送速度向上（ただし効果薄）「保護されていない通信」を消せるこれです！

常時SSL 10 常時SSLのポイント httpの通信は丸⾒えセキュリティ向上の他にSEOや速度的メリット「保護されていない通信」⼀番のモチベーション

SSL視点のレンサバ選び 11

レンタルサーバ価格、ディスク容量、スピードの他に、「SSL」という視点の選択肢もあります。 12

レンタルサーバ 13 さくらのレンタルサーバスタンダード A社 B社無料SSL （Let's Encrypt） ◦

WordPressサイトの常時SSL化 17

WordPress 18 1. コンテンツのURL変更（投稿はSearch and Regex等のプラグインが便利） u 投稿内のサイト内リンクURL（画像は勝⼿に書き換わります） u

WordPress WordPress常時SSL化の作業順 19 コンテンツ内のサイトURL を変更 WordPress サイト設定 URLを変更 .htaccessな

WordPress WordPress常時SSL化の作業順その2 21 アクセス解析の設定変更 Google Search Consoleの設定変更

WordPress 23 ChromeのNetworkツールを使うとhttp探しが捗ります

まとめこれからのウェブサイトは常時SSLほぼ必須レンサバもSSL視点で選ぶ時代へ WordPressの設定も怖くない 24

ちょっとだけ宣伝とお願い 25 さくらも無料SSL対応しました！（10/17） WPが2倍の速さに!? PHP7.1を設定してください WordPressは常に最新に！ 1週間で1万ドメインSSL化！

ご清聴ありがとうございました。 28

この後、当教室でランチタイムトーク「レンタルサーバ情報交換」がありますので、さくらの特殊仕様にお困りの⽅や質問などある⽅はお声がけください！ 29