SSLやTLSという言葉は耳慣れないという方も多いかもしれませんが、ネット上で個人情報などを奪う犯罪などはニュースなどでも聞いたことがあるのではないでしょうか。
特にビジネスとしてもサイトを使用するフリーランスの方は、サイトや利用してくれるお客さんの情報を守るために、SSL・TLSの存在をしっかり理解してセキュリティを強化しましょう。
今回は、SSL/TLSの基本知識と、これから新しくワードプレスでブログやサイトを作る人が最初にしておくべきサーバーでの設定についてご紹介します。
【1】SSL/TLSって何? https:// 表示にしよう
まず最初にこのSSLとTLSとはいったい何のことなのでしょうか?
SSL(Secure Sockets Layer)とTLS(Transport Layer Security)は、インターネット上でデータを暗号化して送受信する仕組みのことをいいます。
個人情報やクレジットカード情報などの他人に知られたらいけないデータを暗号化することで、そのサイト内での情報のやりとりを安全に行うことができます。
SSL/TLSの実装がされているサイトは、サイトのURLがhtttps://から始まっているはずです。実装されていないサイトはhttp://で”s”が抜けているのが目印。(※”s”はセキュリティ(Security)のS)
Google Chromeのブラウザでサイトを見ている方は、左上のURLの部分に緑色で「保護された通信」と書いてあるのがサインです。
iPhoneのSafariの場合も、上のURLの左横にカギのマークが入っていればSSL/TLSが実装済みの証拠です。
反対に、この[i]マークがついているサイトは要注意。危険サイトではないものの、情報を読み取られてしまうリスクが上がってしまいます。
ちなみにGoogle検索では、2018年7月からhttps:// に対応していない全てのサイトは「保護されていません(Not Secure)」と表示されるようになります。
さらに2018年10月からはGoogle Chromeのブラウザで、https:// に対応していないサイト内でメールアドレスなどの個人情報データを入力しようとすると、赤色で「保護されていません」の警告が出るようになってしまうそうです。
https:// への対応がまだの方はお急ぎを!
【2】SSL/TLSをしてないとどうなる?
サイト上のデータを暗号化して第3者に見えないようにすることがSSL/TLSの役割なので、サイト上で何らかの個人情報をやりとりする可能性があるのなら、SSL/TLS実装は必須です。
ちなみに、自分のビジネスを宣伝したり、知ってもらう個人事業主(フリーランス)の方のサイトも、サイトを通じて予約をしてもらったり、メール問い合わせの際にはお客さんに名前などを書いてもらいますよね。
なので、もしこのSSL/TLSを実装していないと、大事なお客さんの名前やメールアドレス、電話番号といった重要な個人情報が、そのサイトから漏洩してしまい、商売の評判もがた落ち。最悪の場合、お客さんの情報が悪用されて、大きなクレームやトラブルになる危険性もあるのです。
サイトを作成した時点で、かならずSSL/TLSを実装しておきましょう。
でも、どうやって実装するの?時間やお金もかかる?
心配いりません。実装はサーバー側の設定で5分もあれば無料で簡単にできます。
【3】5分で完了!サーバーのSSL/TLS実装手順
それでは、早速ここからSSL/TLSを実装する手順をご紹介します。
当サイトでもおすすめしている、ロリポップサーバーとエックスサーバーはいずれも無料で実装が可能。それぞれの実装手順を見ていきましょう。
ロリポップサーバーの場合
①ロリポップサーバーのユーザー専用ページにログインします。
②サイドメニューのセキュリティの中から「独自SSL証明書導入」を選びます。
③SSL保護したいサイトアドレスにチェックを入れて、右の「独自SSL(無料)を設定する」ボタンを押します。
↓↓↓
④「SSL設定作業中」のマークが出るので、しばらく(10~15分ほど)待ちます。 ⑤ページを更新して、「SSL保護有効」の文字が出ていればサーバー側の設定は完了です。 ⑥ワードプレスのアドレス(URL)設定 SSL/TLSの実装をしたいワードプレスサイトにログインします。 管理画面に入れたら、サイドバーのメニューに中から「設定」を選び、その中の一般をクリックします。 WordPressアドレス(URL)とサイトアドレス(URL)の両方を、https://に書き換えましょう。 最後に設定保存のボタンを押すと、再び上記のようなログイン画面になるので、ユーザー名とパスワードを入力して無事ログインできれば完了です。 ①エックスサーバーの「サーバーパネル」にログインします。 ②ドメインメニューの中の「SSL設定」をクリックします。 ③SSLを設定したいドメインを選択します。まだSSLに設定されていないドメインは、表の独自SSLの欄に「0個」と表示され、すでに設定済みのドメインは「1個」と表示されます。 ④「独自SSL設定の追加」タブを選んで、設定対象ドメインを確認の上、右下の「独自SSL設定を追加する(確定)」ボタンを押します。 ※表の下の「CSR情報(SSL証明書申請情報)を入力する」は、特にチェックを入れなくても大丈夫です。 ⑤確定ボタンを押した後、「SSL設定の一覧」のタブに”https://”から始まるアドレスに変更されていれば設定完了です。 ⑥ワードプレスのアドレス(URL)設定 SSL/TLSの実装をしたいワードプレスサイトにログインします。 管理画面に入れたら、サイドバーのメニューに中から「設定」を選び、その中の一般をクリックします。 WordPressアドレス(URL)とサイトアドレス(URL)の両方を、https://に書き換えましょう。 最後に設定保存のボタンを押すと、再び上記のようなログイン画面になるので、ユーザー名とパスワードを入力して無事ログインできれば完了です。 初期でサイトを作る方は、最初にサーバー側の設定をしてワードプレス側のURLを書き換えるだけで問題ないのですが、すでにある程度ワードプレスサイトを作り込んでいる方は、サイト内の画像のアドレスや、内部リンク先のアドレスもくまなく[https://]に書き換える必要があります。 すでにサイトを作って記事や画像をアップしてある状態で、サーバーのSSL/TLSを実装しても、サイトのURLは以下のような表示になります。 (i) https://la-la-clip.com/_______ このサイトへの接続は完全には保護されていません このサイトで目にする画像は、悪意のあるユーザーによって差し替えられたものである可能性があります。 https://表示にはなっているのに、URLの左側には(i)マークが出ており、完全に保護されていませんというメッセージが出てきています。 これは、サーバー側だけの設定では修正できないので、ワードプレス側で1ページずつ確認して、挿入してある画像やリンクのURLを修正する必要があります。 こちらは記事数・画像数・内部リンク数が多ければ多いほど修正が大変なので、別記事でご紹介したいと思います。 以上、フリーランスの方がワードプレスサイトを作る上で覚えておきたいセキュリティ対策・SSL/TLSについてと、設定方法についてご紹介しました。 Googleのアップデートでhttps://へのSSL/TLS化はもはや必須。これから新しくサイトを作る方は、最初にサーバー側の設定を忘れずに行いましょう。 ロリポップサーバーもエックスサーバーもワードプレスとの相性がよく、6つの設定手順でラクラク♪ 是非、サイトのセキュリティ強化のために、参考にしてみて下さい!
[出典:ロリポップサーバー公式サイト]
エックスサーバーの場合
【4】すでに作成済みのワードプレスサイトをhttpsを書き換える場合
まとめ:フリーランスの事業サイトはSSL/TLS設定必須!!