オープンソース活用研究所 | 【セミナーレポート】WordPressサイトを常時SSL化する方法

【セミナーレポート】WordPressサイトを常時SSL化する方法

オープンソース活用研究所

2018年10月09日
オープンソース活用研究所 所長 寺田雄一

2018年6月5日(火)に、「WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題」セミナーが開催されました。

https://osslabo.doorkeeper.jp/events/74294

本レポートでは、寺田が説明させていただいた、このセミナーの前半部分「WordPressサイトを常時SSL化する方法」の内容についてピックアップしてお伝えします。

常時SSL化とは

常時SSL化とは「Webサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化すること」を意味します。

従来は「フォーム送信の部分だけをSSL化」というパターンが多かったと思いますが、最近では「Webサイト全体をSSL化」の流れに進んできており、常時SSL化はすべてのWebサイトの必須事項となってきています。

■常時SSL化すべき理由①「セキュリティ強化」

常時SSL化すべき理由として、基本的に「セキュリティ強化」という目的があります。

Webサイトのなりすまし防止

Webサイトの実在証明をした上で証明書を発行する「企業認証SSL」などを利用することで、HTMLコピー悪用サイトでのフィッシングなどを防ぐことが可能になります。

データの盗聴防止

Cookieにはさまざまな情報が含まれているため、暗号化されていないHTTP通信時にも機密データが流れている場合があります。

サイト全体をSSL化して暗号化することで、データの盗聴防止効果があります。

暗号化されていないWiFi通信対策

公共WiFiや、カフェのWiFiなどは、暗号化されていないケースも多く、盗聴されたり、アクセスポイントを偽装されたりする場合があります。

サイト全体をSSL化することで、このようなケースに対するセキュリティを向上できます。

■常時SSL化すべき理由②「SEO施策」

Googleは、2014年に、「検索順位にSSL化されているかについて反映する」と発表し、「すべてのサイトをSSL化してください」という方針になっています。

これは、SSL化したほうが検索上位に表示されやすくなることを意味しているため、SSL化はSEO施策にもつながります。

■常時SSL化すべき理由③「ブラウザからのセキュリティ警告回避」

7月以降のChromeバージョンでは、「すべてのHTTPページで警告を出す」仕様となる予定になっています。

同様に、Firefoxでも、同様の警告が出るようになってきています。

自社のサイトなどにセキュリティ警告が出てしまうと、企業の信用イメージ悪化につながりかねないため、未対応の場合は、早期のSSL化が必要とされています。

SSL化手順の概要

WordPressサイトのSSL手順の概要について紹介します。

■一般的手順

基本的に以下の手順でサイトSSL化を行います。
①SSLサーバー証明書を入手
②サイトデータバックアップ
③WordPressの設定変更(http→https)
④リンク書き換え
⑤リダイレクト設定
⑥その他作業(GoogleAnalyticsなどの管理ツールの設定変更) など

■リダイレクト設定の重要性

自社サイトのSSL化を行っても、外部サイトから自社サイトへのリクエストは従来のHTTPで行われるため、適切にリダイレクトさせる必要があります。

また、過去に蓄積されたGoogleの評価を引き継ぐことにつながるため、重要な設定となります。

■プラグインの活用

SSL化を行うWordPressプラグインを利用できます。ほぼボタンクリックのみで完了できる機能を備えています。

主なSSL化WordPressプラグイン
・Really Simple SSL
・WP Force SSL
・SSL Insecure Content Fixer など

まとめ

以上、WordPressサイトの常時SSL化に関してご紹介しました。

■講演資料

講演資料は、以下のURLより無料で取得していただけます。

ぜひご参考いただければと思います。

https://majisemi.com/e/c/mubit-20180605

■マジセミセミナー予定

マジセミでは、サイトSSL化関連も含めて、今後もさまざまなテーマに関するセミナーを開催していきます。セミナー開催予定をチェックしていただいて、お時間の都合が合えば、ぜひご参加ください。

https://osslabo.doorkeeper.jp/events/upcoming


OSSNEWSに広告を掲載しませんか?

著者プロフィール

オープンソース活用研究所 所長 寺田雄一

1993年、株式会社野村総合研究所(NRI)入社。 インフラ系エンジニア、ITアーキテクトとして、証券会社基幹系システム、証券オンライントレードシステム、損保代理店システム、大手流通業基幹系システムなど、大規模システムのアーキテクチャ設計、基盤構築に従事。 2003年、NRI社内に、オープンソースの専門組織の設立を企画、10月に日本初となるオープンソース・ソリューションセンター設立。 2006年、社内ベンチャー制度にて、オープンソース・ワンストップサービス 「OpenStandia(オープンスタンディア)」事業を開始。オープンソースを活用した、企業情報ポータル、情報分析、シングルサインオン、統合ID管理、ドキュメント管理、統合業務システム(ERP)などの事業を次々と展開。 オープンソースビジネス推進協議会(OBCI),OpenAMコンソーシアムなどの業界団体も設立。同会の理事、会長や、NPO法人日本ADempiereの理事などを歴任。 2013年、NRIを退社し、株式会社オープンソース活用研究所を設立。

最新TOPICS

【講演資料を公開】11/8『「認証」について熱く語る!秋のLT大会(Around the Auth) ~宣伝、技術解説、動向分析、夢を語る!なんでもありのイベント~』(2018年12月08日 10:15)

2018年11月8日(木)16:50〜20:00 コンフォート新宿RoomAにて 『「認証」について熱く語る!秋のLT大会(Around the Auth) ~宣伝、技術解説、動向分析、夢を語る!なんでもありのイベント~』と題したセミナーが開催されました。 「認証」をテーマにした8つのライトニングトークと、懇親会で構成された、本セミナーは、 終始リラックスした雰囲気で、みなさまにお楽しみ...

関連オープンソース

Shibboleth(シボレス)

  • シングルサインオン

Shibboleth(シボレス)とは、シングルサインオン機能を提供するソリューションです。連合アイデンティティソリューションとして世界で広く展開されており、ユーザーを組織内外の両方のアプリケーションに接続します。

OpenVAS(オープンバス)

  • セキュリティソフト

OpenVAS(オープンバス)とは、脆弱性スキャンツールです。包括的で強力な脆弱性スキャンを行うことで脆弱性管理をサポートします。

ClamAV(クラムエーブイ)

  • その他

ClamAV(クラムエーブイ)とは、アンチウイルスエンジンです。さまざまな「ウイルス」「マルウェア」「悪意のある脅威」などを検出します。

Google Authenticator(グーグルオーセンティケーター)

  • 認証サーバ

Google Authenticator(グーグルオーセンティケーター)とは、Googleが開発している2段階認証(2要素認証)用トークンソフトウェアです。

Nmap(エヌマップ)

  • ネットワーク系ツール

Nmap(エヌマップ)とは、ネットワークポートスキャナ(セキュリティスキャナ)であり、ネットワークの検出とセキュリティ監査を行います。

OpenVPN(オープンブイピーエヌ)

  • ネットワーク系ツール

OpenVPN(オープンブイピーエヌ)とは、オープンソースのVPN(Virtual Private Network)構築ソフトウェアです。「堅牢なセキュリティと安定性」が特徴です。

Gluu(グルー)

  • シングルサインオン

Gluu(グルー)とは、オープンソースの認証ソリューションです。アイデンティティおよびアクセス管理を行います。多くの認証プロトコルに対応しています。

OpenAM(オープンエーエム)

  • シングルサインオン

OpenAM(オープンエーエム)とは、オープンソースの認証ソリューションです。認証/アクセス認可/フェデレーションなどの高機能を備え、シングルサインオン機能を提供します。

Keycloak(キークローク)

  • シングルサインオン

Keycloak(キークローク)とは、シングルサインオン機能を提供するフレームワークです。「OAuth2」や「OpenID Connect」などの方式をサポートしており、「ソーシャルログイン」にも対応しています。

Snort(スノート)

  • セキュリティソフト

Snort(スノート)とは、ネットワーク型IDS(不正侵入検知システム)です。ネットワーク上を流れるパケットをキャプチャーして、不審なパケットの検出を行います。

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)

  • シングルサインオン

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)とは、シングルサインオンソリューションです。アプリケーション/API/クラウド/モバイル間で統合ID管理を行います。

LibreSSL(リブレ エスエスエル)

  • ネットワーク系ツール

LibreSSL(リブレ エスエスエル)とは、SSL/TLSプロトコルのオープンソース実装(通信用ソフトウェア)で、「OpenSSL」の派生改良版です。圧倒的シェアを持つが問題が多い「OpenSSL」を代替できるものとして期待されています。

Vuls(バルス)

  • セキュリティソフト

Vuls(バルス)とは、脆弱性スキャンツールです。Linux(FreeBSD)系OS/各種ミドルウェア/各種フレームワークなどに対する脆弱性存在を検査し、詳細情報をレポーティングします。

OpenSSH(オープンエスエスエイチ)

  • ネットワーク系ツール

OpenSSH(オープンエスエスエイチ)。ネットワーク経由通信を暗号化する「SSH」のオープンソース実装です。おもにUNIX/Linuxサーバに対するネットワーク経由でのリモートログインに使用します。

FreeRADIUS(フリーラディウス)

  • 認証サーバ

FreeRADIUS(フリーラディウス)。オープンソースの高機能RADIUSサーバです。認証用プロトコル「RADIUS」機能を実現するデファクトスタンダードとして広く使われています。

OpenSSL(オープンエスエスエル)

  • ネットワーク系ツール

OpenSSL(オープンエスエスエル)。オープンソースSSL/TLS暗号化ライブラリです。世界中のWebサイトで圧倒的シェアを持っており、事実上の業界標準となっています。

Apache DS(アパッチディーエス)

  • 認証サーバ

Apache DS(アパッチディーエス)。オープンソースのLDAP(ディレクトリ)サーバです。「Apache Directory」プロジェクトで開発されています。

389 Directory Server(389ディレクトリサーバ)

  • 認証サーバ

389 Directory Server(389ディレクトリサーバ)。オープンソースディレクトリサーバです。「Fedora Directory Server」の後継で、商用製品の流れを受けており、ユーザフレンドリーなGUIツールの充実などが特徴です。

OpenIDM(オープンアイディーエム)

  • ID管理

OpenIDM(オープンアイディーエム)。高い柔軟性と拡張性を備え、エンタープライズ/クラウド/モバイル/ソーシャル/レガシーなど多様な環境において、ユーザアカウントのプロビジョニングとライフサイクルの一元管理を実現するID管理製品です。

LISM(リズム)

  • ID管理

LISM(リズム)。シンプルな使いやすさが特徴のID統合管理ソリューションです。

OpenLDAP(オープンエルダップ)

  • 認証サーバ

OpenLDAP(オープンエルダップ)。最も多くの導入実績があり、ディレクトリサービスを提供するオープンソースLDAPサーバです。

OpenDJ(オープンディージェー)

  • 認証サーバ

OpenDJ(オープンディージェー)。OpenAMに内蔵されており、先進的なレプリケーションアーキテクチャや「REST API」を搭載したLDAP準拠の高機能オープンソースディレクトリサーバです。

バックナンバー

関連記事

  • オープソース書籍(サイド)

facebook

twitter