【完全版】WordPressをSSL化してインストールする方法

みなさん、こんにちは！

ブリュの公式ブログ.netにお越しいただきまして、ありがとうございます。

このサイトでは、ITについて特化したサイトを運営しています。

今回は、WordPressをSL化してインストールする方法を説明します。

WordPressのSSL化は、WordPressのセキュリティにおける、基本中の基本となります！

WordPressのSSL化の必要性

当サイトでは以前に何度か説明していることですが、WordPressにおいて、SSL化を行うことは、WordPressセキュリティの基本となります。

WordPressは、ログイン画面でユーザー名とパスワードを入力してログインします。

もしもWordPressをSSL化していなければ、WordPressのユーザー名とパスワードが、平文で送信されることになります。

平文とは、誰でも読める状態のことであり、通信内容をサーバーまでの経路上で盗み見られると、その情報を利用してWordPressがハッキングされます。

よく、暗号化されていないサイトではクレジットカードの情報を入力してはいけないと言われていますね。

このことは本質的に同じことです。

平文通信では、クレジットカードの情報が誰にでも読める状態ですから、非常に危険です。

SSL化は、パソコンやスマートフォンとサーバー間の通信を暗号化するシステムで、たとえ通信中に盗巣見られたとしても暗号解読が不可能なため、安全にパスワードを送信できます。

つまり、WordPressのセキュリティにおいて、パスワードを第三者に漏れないようにするための、重要な基礎部分といえます。

サーバー側のSSL設定

SSLを導入するには、サイトでのSSL設定が必要です。

Let’s Encryptなどの無料SSLを導入しているサーバー会社も多いでしょう。

当サイトで確認したところ、ヘテムル、ロリポップ！、コアサーバー、エックスサーバー、スターサーバーなどの主要サーバーではLet’s Encryptを利用できます。

また、スターサーバーの場合には、スタードメインでドメインを取得した際の特典となる無料サーバーでもLet’s Encryptを利用できます。

Mixhostでは、COMODO社の無料SSLが利用できます。

無料のSSLで大丈夫なのか不安になるかもしれませんが、無料のSSLで安全性においては何の問題もありません。

無料のSSLは通信の安全性を確保する暗号化技術。

有料のSSLは、通信の暗号化とサイトの安全性、健全性を証明するものと考えてください。

サイトのセキュリティでいえば、無料のSSLで大丈夫です。

まずは普通にWordPressをインストール

まずは普通にWordPressのインストールを行います。

WordPressのインストール方法の詳細は、下記の記事で詳細を説明しているので参考にしてください。

→WordPressのインストール方法

ここでは、WordPressのインストール手順を簡単に説明します。

サーバーでのデータベースの設定

サーバーでデータベースの設定を行います。

画像はヘテムルです。

レンタルサーバーの管理画面でデータベースを作成し、データベース名、データベースのユーザー名、データベースのパスワードを設定します。

サーバー管理画面での作業はこれだけですが、データベースのホスト名、データベース名、データベースのユーザー名、データベースのパスワードは、WordPressの5分間インストールの際に必須となるので、かならずメモを取っておいてください。

WordPressのダウンロードと解凍

WordPressの公式サイトから、最新版のWordPressをダウンロードします。

→WordPressのダウンロード

そして、ダウンロードしたWordPressを解凍します。

これで、アップロードする準備が完了しました。

WordPressのアップロード

FFFTPを利用してアップロードします。

FFFTPの使い方は、FFFTPの使い方を参考にしてください。

WordPressの5分間インストール

WordPressの5分間インストールを行います。

先ほどサーバーで設定したデータベースのホスト名、データベース名、データベースのユーザー名、データベースのパスワードを入力します。

WordPressへのログイン

WordPresのログイン画面からログインします。

これで、通常のWordPressのインストールは完了しました。

ここから、WordPressのSSL化を行っていきます。

サーバーがSSL接続可能か確認する

今インストールしたWOrdPressサイトのトップページのhttpをhttpsに変更してアクセスしてみてください。

保護された通信と表示されてサイトが表示されていれば、サーバーのSSL化は完了しています。

403エラーや、保護されていない通信などと表示されている場合には、サーバー側での処理が完了していません。

サーバー側でのSSL化が完了し、httpsでアクセスできるようになるまで、しばらく待ちます。

通常は、数分～10分程度で完了します。

WordPressの管理画面の設定

サーバー側のSSL化が完了したら、WordPressの管理画面よりSSL化を行います。

WordPress管理画面で、サイドメニューの「設定」→「一般」をクリックします。

WordPress アドレス(URL)と、サイトアドレス(URL)をhttp://～から、https://～に変更します。

https以外の部分は変更しないでください。

サイトが表示されなくなります。

変更したら、画面一番下の「変更を保存」をクリックします。

再度ログイン画面になります。

先ほどはhttp://～でアクセスしたのに対し、今回はhttps://～になったので、WordPress側で再認証が行われます。

WordPressのユーザー名とパスワードを入力し、ログインします。

正常にログイン出来れば、WordPress側の設定は完了です。

.htaccessでhttpsへの301リダイレクトの設定

現状でもSSL化したWordPressを利用できますが、httpの平文でアクセスしてきたときに、強制的にhttpsにリダイレクトを行う方法を説明します。

まずはサーバーにGTP接続を行います。

ドメイン直下まで移動すると、.htaccessがあります。

.htaccessの先頭に、次のコードを書き加えてください。

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
</IfModule>

RewriteEngine on

RewriteCond %{HTTPS} !=on [NC]

RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

</IfModule>

これで、SSL化されたhttpsへの301リダイレクトが行えます。

注意点

・.htaccess内のコードを削除しない！

.htaccessは、サーバーの挙動を制御するファイルであり、WordPressの動作のために必要な情報が書かれています。

誤ってコードを削除しないように注意してください。

・.htaccessがない場合

WordPressをサブディレクトリをトップページとして運用する場合、ドメイン直下に.htaccessがありません。

その場合には、.htaccessを作成し、上記コードをアップロードしてください。

WordPressをSSL化してインストールのする方法のまとめ

ここまで、WordPressをSSL化してインストールする方法について説明してきました。

WordPressのSSL化は、パスワードの漏洩を防ぎ、WordPressへのアタックを防止するセキュリティの基本的な部分です、

手順は多く、面倒に感じるかもしれませんが、一度SSL化してしまえば安心です。

以上、WordPressをSSL化してインストールする方法について、参考になれば幸いです。