【ロリポップ】WordPressサイトをhttps化して無料常時SSLに対応する方法

2018/10/13 2018/10/13

今更ですが、格安レンタルサーバーのロリポップで運営しているWordPressブログをhttps化する、そのための設定方法の手順について解説です。

Google が「HTTPS（暗号化通信）をランキングシグナルに使用します」と発表してから、SEO（検索順位）にも影響が出るというので、サイトを常時SSLに変更している人も多いと思います。
ちょっと前までは高い料金を払わなければ常時SSLにできなかったので企業のサイトがメインだったわけですが、ロリポップでも無料の独自SSL機能が利用できるようになったので、https化の検討もしどころです。

ただ、独自SSLにしたらサイトがブッ飛んだとか、順位が下がったなんて話もよく聞くので、SSL化するべきかやらないべきか悩んでいる人も多いはずwww。

ぶっちゃけかなりの数の自分のサイトをhttps化しましたが、特別問題は起きませんでしたよ。
よほど特殊なカスタマイズをしたテンプレートを使っているアフィリエーターだと何か起こるのかもしれないですが、私みたいにホワイトハットしかやってないような腰抜けサイトでは特に何も起こらず、ちょっと残念www。せっかくネタになると思ったんだけどなぁwww。

まあ、何か起こっても責任は取れないので自己責任でお願いしますwww。

一番気にしてるのは「このままhttpのままだと検索順位が下がってしまうんじゃないか?」ということなんじゃないですかね。
これについても今のところ聞いたこと無いんですよね。検索第１位だったのが２位になったというのはあるみたいなんですが、４位以降では特に変化らしいものはないみたい。そもそも１位から２位だってホントにそれが原因か疑わしいところですけどね。
逆にhttps化して順位が上がった? というのも、微妙www。

Google ウェブマスター向け公式ブログ
HTTPS ページが優先的にインデックスに登録されるようになります

↑ここではこう書かれていますが、サイト評価が１～２点上がるぐらいなので、具体的にはSEO対策というより、ユーザー側からのサイトの信頼性を上げる対策というのが正しい考え方なのかもしれないですね。
早急に必要なのはショッピングサイトやカード使用のサイトでしょうか？
将来的に一般に認知されてきたら変化があるのかもしれませんが・・・。

ちなみにこのサイトはまだhttps化してませんwww。
https化してないとどんな風に表示されるかわかりやすいでしょwww。
いやいや冗談ですww、実はこのサイトを載せているサーバはロリポップじゃないんです。かなりきわどいことも書きたいと思って日本の法律内であればグレーなことまでOKというFUTOKAサーバーを使ってます。おかげで残念ながら、まだ無料SSLに完全対応してないので「待て! ハウス!!」を食らってますよwww。
そのうち解禁になると思うので、それまではちょっと待っててください。FUTOKAでのSSLのやり方も載せると思うのでwww。

サイトのhttps化はもはや必須！GoogleはChromeでhttpsに対応していないサイトに警告表示すると発表

Google Chrome 68から、SSLで暗号化されていないサイトへアクセスすると、アドレスバーに「(SSLによる暗号化で)保護されていません」との文字列が表示されるようになりました。

実際どんな感じかというとこんな感じです↓

Google Chrome、Firefox、Microsoft Edge、Iexplore、このサイトのブラウザごとの見え方ですwww。
Chromeは勝手に自動更新されてしまうので、いつの間にか「保護されていません」と出るようになりました。
他のブラウザはIE以外今のところ(！)が表示されてます。

SSL化するとこんな感じになりますね↓

https://cyberpon.info/

https://～の前の鍵マークがポイント！
このサイトは私の知り合いのサイトで、WordPressのインストールのやり方から分かんなくて立ち上げからいろいろ手伝ったサイトですわwww。報酬は毎回飯おごってもらうぐらいですwww。
自分じゃSSL化できないというので代わりに私がSSL化しました、ちゃんと鍵マークが出てるでしょ?
今回このサイトを例にして解説します。

この鍵マーク状態になるように変更してください。

今回はGoogleもマジでHTTP接続を駆逐するつもりみたいなので、今のうち変更しておいた方がいいかもしんないですね。そのうちデカデカと警告表示するとかアドレスバーが赤くなるとか本気でやってきそうで怖いですもんwww。

ロリポップサーバーは無料の独自SSLを導入、手順は意外と簡単♪ でも新規サイトは楽だけどWordPressで記事数のあるサイトは結構大変

実際やってみると分かりますが、超めんどくせ～！

もう新規にサイトを立ち上げるときは、手慣れた手順でサクサクッと最初からSSLにしちゃってます。
新規のサイトはドメインをサーバーに当てた段階でSSL申請が通っちゃうので、後は.htaccessにリダイレクトのコードをコピペして終了。
新規のサイトは超簡単です。
これから新しくサイトを立ち上げようって人は、最初からhttpsにしといた方がいいですよ。

問題は、すでにWordPressでサイトを立ち上げていて、結構な記事数を書いている場合です。
実はhtmlで自分で作ったコンテンツサイトなんかは、新規サイト同様、意外と簡単に変更できてしまいます。
WordPressは一種のCMS化されているパッケージソフトなので、リンクはフルパス直リンクで統一されているため、アップロードした画像全部と内部リンク全てのリンクを変更する必要があるという超面倒な作業が待ってます。

これからその手順を紹介しますが、事前情報として間違えないように一度流れを理解しておいた方がいいと思います。

サイトをhttps化したとき気になる点

https化したとき、１つだけ気になることがありました。

https化すると、その後しばらくアクセス数が一旦落ちる

ということです。
これはhttps化すると検索順位が落ちるという話と関係していると思います。
ザックリ言うと、Googleのクローラーはhttp://～とhttps://～を別サイトとして最初認識するみたいで、一旦消えて、再認識されてもう一度順位が上がってくるという手順を踏むようです。
ペラサイトやLPサイトなんかは致命的な打撃を一度味わうようですが、コンテンツサイトの場合は、複数コンテンツが存在してるおかげかそれほどでもないな、というのが実感です。

サイト順位が上がってくるのに、私のサイトでは最短で３日、長いのだと半年ぐらいかかったものもあります。
外部リンクだけはどうしようもないので、.htaccessのリダイレクト、結構重要なので忘れないようにしてくださいwww。

ロリポップサーバーのSSL化手順

前置きが長くなってしまいましたが、ロリポップで、記事がある程度入っているWordPressブログのSSL化の手順を解説します。

ロリポップサーバーでのSSL化

ロリポップのユーザー専用ページに入り、左メニューの
「セキュリティー」→「独自SSL証明書導入」をクリック。

独自SSLページに入ると、独自SSL(無料)と独自SSL(PRO)とに分かれてますので、独自SSL(無料)の方を見てください。
SSL化したいURLのチェックボックスにチェックを入れ「独自SSL(無料)を設定する」をクリック。
この時、同じドメインの「www.～」のサブドメインも一緒にチェックします。

↑チェックを入れると「独自SSL(無料)を設定する」がボタンとして有効化されるのでクリック。

これでSSLがインストールされ、サーバ側のSSL化は終了です。
新規サイトの場合はすぐ終了しますが、すでに記事が入っているサイトだと全ページ割り振っていくらしいので、しばらく時間がかかりますね。
今回は200ページほど入っているサイトのSSL化だったので、30～40分ほど時間がかかってしまいました。
ロリポップサーバーは今のところ終了してもリロードがかからないようなので、終了したのかどうか気がつかないんですよね。30分ほどしたらページのリロードをかけて終了したか確認してくださいw。

SSL化が終わったらリンクから一度サイトを開いてhttps://～になっているかどうか確認。

新規サイトはこれで終わりです。.htaccessファイルでリダイレクトをかけるだけ。
あとはコンテンツをアップロードするか、WordPressをインストールしていってください。

すでにWordPressでページがありSSL化した人は、ここからもうちょっと面倒な作業がありますよw。

WordPressの一般設定を変更する

次にWorsPressの設定を変更します。

WorsPressの管理ページに入り、左メニューの「設定」→「一般」で一般設定に入ります。

WordPress アドレス (URL)とサイトアドレス (URL)の２カ所のURLを
「http://～」から「https://～」に変更し、保存してください。

URLを変更すると、一度強制ログアウトされますので、もう一度ログインしてください。

アップロードした画像と内部の直リンクをすべてhttpsに変換する

この段階でサイトを表示しても、新規サイトでない限り、まだ鍵マークが表示されないと思います。

内部リンクや外部へのフルパスのURLがhttps://～に変更されていないと、鍵マークにはなってくれません。
まあ、ある意味ちゃんとSSL化できているか目安にもなるんですけどね。

この鍵マークが出るように、内部のURLを変更しなければいけません。
多少手作業は入ってきますが、面倒な作業が入ってきます。

定番プラグイン、Search Regex で一括置換を行う

変更で一番最初にやらなければならないのが、アップロードした画像や内部リンクのURLをすべて「http://～」から「https://～」に変更するという作業です。
アップロード画像と内部リンクはすべてフルパスで書かれているので、過去記事をすべて書き換える必要があるんですよね。
手作業で１ページごとに書き換えていってもいいんですが、そんな面倒なことはやってられないので、プラグインを使って一括変換してしまいましょう。

定番は「Search Regex」

プラグインをインストールして有効化すると、左メニューに
「ツール」→「Search Regex」が追加されるのでこれをクリックしてください。

Search Regexで入力するのは２カ所だけ。

Search pattern に置換前のURL
Replace pattern に置換後のURL

あとはデフォルトのままで大丈夫。

ボタンは
「Replace」が置換テスト。
「Replace ＆ Save」が全置換です。

「Replace」で一度変換確認をした後、「Replace ＆ Save」で全置換してみてください。

これで終了！って言いたいところなんですが、まだ終わってません。
ここで一度サイトを開いて鍵マークになっているか確認してみてください。
鍵マークになっていれば終了。(!)のままだったらまだ続きます。

「Search Regex」は記事内の文章しか検索してないので、それ以外のパーツ内を修正していく必要があります。

ウィジェット、メニューをチェック

記事以外で一番URLが入ってそうなのは、ウィジェットの中です。
次に入ってそうなのはメニュー関係、css内の画像リンクなどです。
このパーツ類は手作業で一つずつ変更していかないといけない部分です。

それ以外でも心当たりがありそうな部分があれば変更してください。
とにかくありとあらゆるURLをhttpsに変更していく必要があります。

それでもどうしても鍵マークにならない、問題のある場所が分からないという場合は、ブラウザで
クロームの右クリックの中にある「検証」、もしくは
Firefoxの右クリックの中の「要素を調査」の「コンソール」で問題個所を洗い出す裏技があります。

Firefoxの方はコードでの操作までエラーとして検出してしまうからちょっと細かすぎてムズイかなぁ？
クロームでチェックしてそれでも鍵マークにならなければFirefoxで徹底的に調べるっていう順番がいいかもw。

気をつけたいのは、外部リンクとアフィリエイトバナー。

記事内などから他サイトへリンクを貼っている外部リンクも結構曲者です。
リンク先サイトがhttpsになっていればいいのですが、httpのままだと、場所によってはエラー扱いになってしまうことがあります。メニューの中だったら結構絶望的w。リンクを一度消してみて、鍵マークになるかどうか確認してみてください。

また、最近はアフィリエイトもSSLに対応している場合が多いのですが、古いバナーをそのまま使っていると、SSL未対応でエラーが出てしまう場合があります。アフィリエイトバナーは最新のものに切り替えた方がよさそうです。

また、よくあるのはSNSリンクやSNS画像などを外部から呼び込んでいる場合。
新しくダウンロードして個別のサイト内にアップロードしたりcssを書き換えたりとかなり手間な作業がチマチマとありますよww。

最終的に鍵マークが出るようになったら完了です！

外部リンクにリダイレクトをかける

これで終わった！と思ったら、まだ甘いw。

このままだと、「http://～」と「https://～」の二つのリンク先がネット上に存在してしまいます。
「http://～」の方の元のリンクはエラーが出てしまうということが起こってしまい、SEO的にはマズい。

なので、https://～の方へ集約するためにリダイレクトをかける必要があります。

.htaccessファイルに書き込むだけなので、ロリポップのSSLマニュアルにも書いてある方法で書き込みます。
ただし.htaccessファイルはものすごく重要なファイルなので、壊さないように気をつけてください。
編集する前にバックアップを取っておきましょう。

まず、ロリポップユーザー専用ページに入って、
「サーバーの管理・設定」→「ロリポップ！FTP」をクリックしてください。

ページが変わってFTPページになると思います。
ドメイン名のフォルダをクリックし、第一階層にある.htaccessファイルをクリック。

ここに下記のコードを記入します。

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R,L]
</IfModule>

これで「http」にアクセスされた場合「https」にリダイレクトさせられます。
ロリポップのマニュアルに書いてあるコードなので間違いは無いでしょうwww。

↑入れる場所やイメージが分からないという人もいるので、一応.htaccessファイルのスクリーンショットです。
これで保存してもらえばOK。

試しにブラウザにhttp://ドメイン名で入力してみて、https://にリダイレクトされるか確認してみてください。

これで被リンク対策は完了です。
ただ、自分の作った他サイトから被リンクを送っている場合が多いと思うので、これらはマメにhttpsに張り替えをした方がSEO的には有効ですよwww。

解析ソフトのサーチコンソールとアナリスク、アクセス解析もURLの変更をする

最後に、ブラウザ型のアクセス解析なども変更しましょう。
これは結構忘れがちなのである日、アクセスがおかしなことになってパニックになりますよwww。
特にGoogleのサーチコンソールとアナリスクの登録URLを入れ替えておいてください。
また、アクセス解析やキーワード検索などのソフトを使っている場合は、そちらのURLも変更しておいた方がいいです。
ホントにうっかりそのままということが多いので、気をつけましょう。