オープンソース活用研究所 | 【セミナーレポート】WordPressサイトを常時SSL化する方法

【セミナーレポート】WordPressサイトを常時SSL化する方法

オープンソース活用研究所

2018年10月09日
オープンソース活用研究所 所長 寺田雄一

2018年6月5日(火)に、「WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題」セミナーが開催されました。

https://osslabo.doorkeeper.jp/events/74294

本レポートでは、寺田が説明させていただいた、このセミナーの前半部分「WordPressサイトを常時SSL化する方法」の内容についてピックアップしてお伝えします。

常時SSL化とは

常時SSL化とは「Webサイト内のログインページやフォームなど特定のページだけでなく、その他すべてのページをSSL/TLS化すること」を意味します。

従来は「フォーム送信の部分だけをSSL化」というパターンが多かったと思いますが、最近では「Webサイト全体をSSL化」の流れに進んできており、常時SSL化はすべてのWebサイトの必須事項となってきています。

■常時SSL化すべき理由①「セキュリティ強化」

常時SSL化すべき理由として、基本的に「セキュリティ強化」という目的があります。

Webサイトのなりすまし防止

Webサイトの実在証明をした上で証明書を発行する「企業認証SSL」などを利用することで、HTMLコピー悪用サイトでのフィッシングなどを防ぐことが可能になります。

データの盗聴防止

Cookieにはさまざまな情報が含まれているため、暗号化されていないHTTP通信時にも機密データが流れている場合があります。

サイト全体をSSL化して暗号化することで、データの盗聴防止効果があります。

暗号化されていないWiFi通信対策

公共WiFiや、カフェのWiFiなどは、暗号化されていないケースも多く、盗聴されたり、アクセスポイントを偽装されたりする場合があります。

サイト全体をSSL化することで、このようなケースに対するセキュリティを向上できます。

■常時SSL化すべき理由②「SEO施策」

Googleは、2014年に、「検索順位にSSL化されているかについて反映する」と発表し、「すべてのサイトをSSL化してください」という方針になっています。

これは、SSL化したほうが検索上位に表示されやすくなることを意味しているため、SSL化はSEO施策にもつながります。

■常時SSL化すべき理由③「ブラウザからのセキュリティ警告回避」

7月以降のChromeバージョンでは、「すべてのHTTPページで警告を出す」仕様となる予定になっています。

同様に、Firefoxでも、同様の警告が出るようになってきています。

自社のサイトなどにセキュリティ警告が出てしまうと、企業の信用イメージ悪化につながりかねないため、未対応の場合は、早期のSSL化が必要とされています。

SSL化手順の概要

WordPressサイトのSSL手順の概要について紹介します。

■一般的手順

基本的に以下の手順でサイトSSL化を行います。
①SSLサーバー証明書を入手
②サイトデータバックアップ
③WordPressの設定変更(http→https)
④リンク書き換え
⑤リダイレクト設定
⑥その他作業(GoogleAnalyticsなどの管理ツールの設定変更) など

■リダイレクト設定の重要性

自社サイトのSSL化を行っても、外部サイトから自社サイトへのリクエストは従来のHTTPで行われるため、適切にリダイレクトさせる必要があります。

また、過去に蓄積されたGoogleの評価を引き継ぐことにつながるため、重要な設定となります。

■プラグインの活用

SSL化を行うWordPressプラグインを利用できます。ほぼボタンクリックのみで完了できる機能を備えています。

主なSSL化WordPressプラグイン
・Really Simple SSL
・WP Force SSL
・SSL Insecure Content Fixer など

まとめ

以上、WordPressサイトの常時SSL化に関してご紹介しました。

■講演資料

講演資料は、以下のURLより無料で取得していただけます。

ぜひご参考いただければと思います。

https://majisemi.com/e/c/mubit-20180605

■マジセミセミナー予定

マジセミでは、サイトSSL化関連も含めて、今後もさまざまなテーマに関するセミナーを開催していきます。セミナー開催予定をチェックしていただいて、お時間の都合が合えば、ぜひご参加ください。

https://osslabo.doorkeeper.jp/events/upcoming


OSSNEWSに広告を掲載しませんか?

著者プロフィール

オープンソース活用研究所 所長 寺田雄一

1993年、株式会社野村総合研究所(NRI)入社。 インフラ系エンジニア、ITアーキテクトとして、証券会社基幹系システム、証券オンライントレードシステム、損保代理店システム、大手流通業基幹系システムなど、大規模システムのアーキテクチャ設計、基盤構築に従事。 2003年、NRI社内に、オープンソースの専門組織の設立を企画、10月に日本初となるオープンソース・ソリューションセンター設立。 2006年、社内ベンチャー制度にて、オープンソース・ワンストップサービス 「OpenStandia(オープンスタンディア)」事業を開始。オープンソースを活用した、企業情報ポータル、情報分析、シングルサインオン、統合ID管理、ドキュメント管理、統合業務システム(ERP)などの事業を次々と展開。 オープンソースビジネス推進協議会(OBCI),OpenAMコンソーシアムなどの業界団体も設立。同会の理事、会長や、NPO法人日本ADempiereの理事などを歴任。 2013年、NRIを退社し、株式会社オープンソース活用研究所を設立。

最新TOPICS

【OSS】Fugue、AWS向けセキュリティ(コンプライアンス)チェックツール「Regula」をオープンソース公開---CI/CDツールと連携して動作(2020年01月23日 11:26)

「Regula」とは Regulaは、AWS環境において、展開前に「セキュリティ構成ミス」や「コンプライアンス違反の可能性」について、インフラストラクチャ定義ツール「Terraform」を使用して評価できるツール。 CI/CDパイプラインに統合することで、セキュリティおよびコンプライアンスの慣行に違反する可能性のあ...

関連オープンソース

バックナンバー

関連記事

  • オープソース書籍(サイド)

facebook

twitter