これからのWordPress×SSL onレンタルサーバ2017/10/28さくらインターネット株式会社技術本部 ⾕⼝ 元紀(C) Copyright 1996-2016 SAKURA Internet Inc
View Slide
今⽇のお品書きこれからのWordPress × SSL on レンサバということで、・常時SSLとは?・レンサバの選び⽅・WordPress設定変更で気をつけることと⾔った内容をお話させていただきます。2
⾃⼰紹介⾕⼝元紀(たにぐちげんき)3来歴2016年さくらインターネット⼊社2004年からWebディレクターとして制作会社、事業会社などで勤務さくらインターネットでのお仕事レンタルサーバSSL/ドメイン販売CDNのサービス企画等を担当
常時SSLとは?4
常時SSLhttp://でコンテンツにアクセスできないこと5
常時SSLGoogleによると、⽇本におけるHTTPS採⽤率は昨年31%から今年55%へアップしているとのこと。6
常時SSL常時SSLの条件7http://のアクセスはリダイレクトされるサイトのコンテンツ全てがhttpsでアクセスできるSSL関連のエラーが発⽣していないこうなってたらOK!
常時SSL既存サイトを常時SSL化するのって、結構めんどくさいですがそのメリットとは。8
常時SSL常時SSLのメリット9検索順位のアップセキュリティ向上/プライバシー保護http/2での転送速度向上(ただし効果薄)「保護されていない通信」を消せるこれです!
常時SSL10常時SSLのポイントhttpの通信は丸⾒えセキュリティ向上の他にSEOや速度的メリット「保護されていない通信」⼀番のモチベーション
SSL視点のレンサバ選び11
レンタルサーバ価格、ディスク容量、スピードの他に、「SSL」という視点の選択肢もあります。12
レンタルサーバ13さくらのレンタルサーバスタンダード A社 B社無料SSL(Let's Encrypt)○ ○ ○SSL証明書の持ち込み ○ × ×SSLの実装 特殊仕様 汎⽤仕様 汎⽤仕様利⽤可能な証明書タイプ DV/OV/EV DV/OV/EV DVWordPressSSL系プラグイン公式専⽤プラグイン 汎⽤プラグインでOK 汎⽤プラグインでOKHTTP/2 × ○ ○利⽤料(⽉額) 515円初期費⽤1,029円600円初期費⽤1,500円1,296円(3ヶ⽉〜)初期費⽤3,240円特徴証明書持ち込みできて安いが、特殊仕様で設定に難ありコストバランスNo.1、安いDVが選べないのがデメリット格安DVはあるが、EV/OVが選べない
レンタルサーバちょっとそれますが無料SSL(Let's Encrypt)のメリット・デメリット14お⾦がかからない更新の⼿間がかからない(⾃動更新)暗号強度などは有料SSLと同様⼿動対応を受けられない(ドメインBL等)⼀部証明書であるマルウェアスキャンなどが無い明⽇無くなっても泣かないブランド⼒が無いこのサイト無料証明書使ってるのかと⾒られる(ブランド気にするのはごく⼀部の⼈だけですが…)
レンタルサーバ15個⼈ブログやテストサイトならOK。商⽤サイトは格安でもいいので有料証明書の利⽤をおすすめしたいです。(900円〜)予算に余裕があれば、EV証明書の利⽤をおすすめします。(年5万円ぐらい〜)証明書売ってる⼈⽬線の⼼の声こういうやつです!⽇本語もOK!
レンタルサーバ16SSL⽬線のレンサバ選びのポイント無料SSLが使えるか証明書が持ち込めるか証明書ラインナップが幅広いかEV/OVも使えるかインストールしてる証明書が失効しそうになると勝⼿に無料SSLで代替してくれるとか
WordPressサイトの常時SSL化17
WordPress181. コンテンツのURL変更(投稿はSearch and Regex等のプラグインが便利)u 投稿内のサイト内リンクURL(画像は勝⼿に書き換わります)u CSSなどのリンク(デフォルトテーマは勝⼿に書き換わります)u カスタムフィールド内URL(意外と忘れがち)u ハードリンクされてるのが⼀番厄介2. サイト設定のURL変更WordPressの⼀般設定でhttp://〜をhttps://〜に変更します。WordPress SSL設定時に必要なこと
WordPressWordPress常時SSL化の作業順19コンテンツ内のサイトURLを変更WordPressサイト設定URLを変更.htaccessなどでリダイレクトサイト設定を変更するとメニュー等のリンクがhttpsに書き換わるので、コンテンツやCSSリンクがhttpのままになってMixed contentが出る可能性があります。先にコンテンツURLを変えておくとこれを回避できます。サイト設定変更とリダイレクトは必ず最後にしましょう。できればじっくり確認するためにURL置換と作業⽇を分けた⽅が◎
WordPress20Apacheを利⽤している事業者がほとんどなので、レンサバコンパネから証明書を購⼊し、有効化した上で.htaccessでリダイレクトすればOKです。Really Simple SSLなどのプラグインならもっと簡単!(JSでのリダイレクトは⾮推奨)サーバ設定RewriteEngine OnRewriteCond %{HTTPS} offRewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]さくらのレンタルサーバ特殊仕様リバースプロキシでSSLを実装しているのでリライト時に環境変数HTTPS がONにならない。そのためWordPressサイトのデザインが崩れる、リダイレクトループ等の問題が発⽣する。回避⽅法はさくらのサポート情報にあり。プラグインもあります!SetEnvIf REDIRECT_HTTPS (.*) HTTPS=$1RewriteEngine onRewriteCond %{ENV:HTTPS} !onRewriteCond %{REQUEST_URI} !/wp-cron¥.php$RewriteRule .* https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]wp-config.phpいじらなくても⼤丈夫!
WordPressWordPress常時SSL化の作業順 その221アクセス解析の設定変更Google SearchConsoleの設定変更アクセス解析→GAなどの他、Sitemap.xml、feedなどもちゃんと変わっているか確認しておく。SearchConsoleはhttps://のサイトを「追加」する。追加するとhttp://への流⼊減少とhttps://への流⼊増加を確認できます。GAみたいに勝⼿に変わってくれないので忘れずに。
WordPress22リダイレクト設定の最終確認は別ブラウザで特にChromeはリダイレクト情報までキャッシュするので、リダイレクト設定をいじったあとは、キャッシュ全消去した別ブラウザで確認するのがおすすめです!リダイレクトループしても泣かないリダイレクトループしても、.htaccessに記述した内容を消せば元に戻るので必要以上にビビることはありません!さくらのレンタルサーバには気をつけろSSL実装の特殊仕様とwwwドメインに勝⼿にCNAMEを設定する機能のせいでリダイレクトループ&デザイン崩れが発⽣しやすいです。(対処⽅法あり)
WordPress23ChromeのNetworkツールを使うとhttp探しが捗ります
まとめこれからのウェブサイトは常時SSLほぼ必須レンサバもSSL視点で選ぶ時代へWordPressの設定も怖くない24
ちょっとだけ宣伝とお願い25さくらも無料SSL対応しました!(10/17)WPが2倍の速さに!? PHP7.1を設定してくださいWordPressは常に最新に!1週間で1万ドメインSSL化!
ホスティング事業者からのお願い26古いWordPressを放置しないテストで作ったものなどが放置されているケースが多いです。公開領域に無駄なWordPressを置かないでください。更新のないサイトなどはStatic Press等で静的化するのもおすすめ。不要ならxmlrpc.phpはアクセス不可に古いWordPressを放置したせいで脆弱性を突かれてクラックされ、メール⼤量送信の踏み台にされるケースが激増しています。⾃動アップデートは極⼒無効化しないログイン画⾯のセキュリティ強化Google Search Console登録
書籍のご紹介27プロフェッショナルSSL/TLSラムダノートさんから出版されているSSL解説本の決定版。PKIの歴史から各種Webサーバ設定まで、様々な⽅が楽しめる内容が網羅されています。5,000円とちょっと⾼いですが読み応えあり!
ご清聴ありがとうございました。28
この後、当教室でランチタイムトーク「レンタルサーバ情報交換」がありますので、さくらの特殊仕様にお困りの⽅や質問などある⽅はお声がけください!29