【SSL】とは・・・情報を暗号化して送受信してくれる仕組みです。
例えば、Webサイト上で「個人情報」や「クレジットカード番号」などを登録するさいに、暗号化して送受信してくれます。
これによって、第三者から盗み見らていても、暗号化されているので、情報を特定される事はありません。
また【HTTPS】とは、ブラウザを利用してWebサイトと通信するための仕組みです。
「HTTP」と違う部分は、通信が暗号化されるか・されないかの違いです。【HTTPS】では通信が暗号化されるので、安全です。
ネットショップなどの「個人情報」や「クレジットカード情報」などを登録するページでは、ほとんどが【HTTPS】で通信されています。
今回の記事では、Wordpressの管理画面(ログイン画面も)を、【WordPress HTTPS(SSL)】プラグインを利用して、SSL通信にするための手順を解説していきます。
以下、目次です。
- WordPressのログイン・管理画面を、SSL通信(HTTPS)にするメリット
- WordPress管理画面を、https(SSL)に設定する手順
- 【WordPress HTTPS(SSL)】プラグイン、設定後の問題点
WordPressのログイン・管理画面を、SSL通信(HTTPS)にするメリット
WordPressの管理画面(ログイン画面も)を、SSL通信にする事で、ログイン情報が暗号化されるので、盗み見られても、ログイン情報(アカウント)を特定される事がなくなります。
もし、SSL通信でなかった場合、ログイン情報を盗み見られてしまったら、不正ログインが容易にできてしまうので、非常に危険です。
なので、なるべく「Wordpressのログイン・管理画面」を、SSL通信(HTTPS)に設定しておきましょう。
WordPress管理画面を、https(SSL)に設定する手順
※事前に・・・今回解説する内容は、ロリポップのレンタルサーバーを利用していて、ロリポップから提供されている【共有SSL】を利用した解説内容になっています(共有SSLについては、こちらで解説しています→【SSLとは?仕組みから、共有・独自SSLの違い、証明書についてが分かるまとめ】)
では、設定手順に入っていきます。
まずは、SSLのドメイン(URL)を確認して下さい。
下図は、ロリポップが提供している共有SSLのドメイン(URL)になります。
次に、Wordpressの管理画面を開いて、メニュー「プラグイン」から「新規追加」をクリックして下さい(下図参考)
そして、「WordPress HTTPS(SSL)」とプラグイン検索して、「いますぐインストール」をクリックしてください。
すると、下図のようにインストール画面が表示されるので、インストールが完了したら「プラグインを有効化」を選択してください。
すると、管理画面のメニューに「HTTPS」という項目が追加されていますので、こちらをクリックしてください(下図参考)
下図のように設定画面が開いたら、3つの項目を設定していきます(下図参考)
以下、各項目の説明です。
-
【SSL HOST】・・・こちらに、先ほど確認したSSLのドメインを設定しますが、注意しなければならないのが、SSLに設定したいサイト(独自ドメイン)の「公開ディレクトリのURL」を設定してやる必要があります。
※独自ドメイン・・・このサイトであれば「https://viral-community.com/」が独自ドメインになります。
また、公開ディレクトリとは、独自ドメインにアクセスがあった場合に、参照されるディレクトリになります。例えば、独自ドメインの公開ディレクトリが、「/viral-community/wordpress」であった場合、ここで設定すべき「SSL HOST」は、「lolipop-●●●●●●.ssl-lolipop.jp/viral-community/wordpress」になります。
もし、間違ったURLを設定してしまった場合、管理画面を開いた際に「指定されたページ(URL)は見つかりませんん」とエラーが出てしまいます(下図)
その場合の対処法としては、インストールしたプラグインのディレクトリ「wordpress-https」の権限を “0” に設定しましょう(下図参考)
そうすれば、プラグイン「wordpress https」が機能しなくなるので、管理画面が開けるようになります。
- 【Force SSL Administration】・・・こちらをチェックすることで、管理画面(ログイン画面も)をSSL通信にすることができます
- 【Force SSL Exclusively】・・・こちらをチェックすることで、動的に「HTTPS⇔HTTP」の切り替えが行われます。
例えば、「HTTP」で管理画面を開こうとした場合、自動で「HTTPS」に切り替わってから管理画面が開きます。
設定が終われば、「Save Changes」ボタンをクリックしましょう。
すると、下図のようにURLが「HTTP」→「HTTPS」に切り替わります。
以上で、設定は完了です。
【WordPress HTTPS(SSL)】プラグイン、設定後の問題点
私が、発見したのは一点だけです(他にもある可能性はあります)
記事(投稿)編集画面で、記事を「プレビュー表示」することができるのですが、それができなくなってます(下図)
個人的に、使用頻度の高い機能だったので、改善してほしい、、、改善方法を知っている方がいれば、コメントください。
まとめ
今回の記事では、Wordpressのログイン・管理画面を、SSL通信にするための手順を解説してきました。
これによって、ログイン情報を、第三者から盗み見らていても、暗号化されているので、情報を特定される事はありません。
また、今回は「Wordpressのログイン・管理画面」が対象だったので、無料の「共有SSL」で良いのですが、
もし、ネットショップのように、ユーザーに個人情報を入力してもらう画面がある場合は、「独自SSL」を利用してください。
当然、「独自のSSL証明書」を取得する必要がありますが、昨今では「3,000円 / 円」といった低価格で取得することができます。
お金は掛かりますが、個人情報を扱う以上、サイトとして安全性・信頼性は担保する必要があるので、できるだけ取得しておいてください。
また、Webサイト(ブログ)を運営している方は、まだまだ複数のセキュリティ対策をしておく必要があります。
ですが、「何をやれば良いか分からない、、、」といった方も大勢いると思いますので、「やっておかなければならないセキュリティ対策の一覧」をこちらにまとめています→【ハッキング対策まとめ!自分のサイトを守るための9つの方法】
ぜひ、確認しておいて下さい。
また、Wordpressを利用している方は、”Wordpressに特化したセキュリティ対策”もまとめています→【WordPressのセキュリティ対策でしておくべき9つの項目】
はじめまして。
この場所で質問させていただいてよいものかわからないのですが・・・
wordpressでHP製作を試みておりますが、超初心者で困っており投稿させていただきました。
製作途中のHPを非公開にするプラグインを有効にしようとしたところWAFの設定によりできませんでしたので、
これを安全に解除する方法がないか調べていたところ、下記サイトに方法が載っておりましたので、
これを参考にして、WordPress HTTPS(SSL)をインストール、設定をしておりました。
しかし、この後wordpressの管理画面にログインができなくなってしまいました。
下記サイトの管理者にも質問してみましたが、返信がなくネットでいろいろ調べておりましたところ、
貴サイトにたどり着きました。
インストールしたプラグインのディレクトリ「wordpress-https」の権限を “0″ に設定
これをしようとしたのですが、(これはロリポップのFTP画面からでよいのでしょうか?)
「wordpress-https」という項目が見当たりません。
超初心者でちんぷんかんぷんな質問で本当に申し訳ないのですが、考えられる事がありましたら
お教えいただけると助かります。
何卒宜しくお願いいたします。
参考にしたサイトです。→http://blog.hash-c.co.jp/2012/12/how-to-protect-your-wordpress-on-lolipop.html
>インストールしたプラグインのディレクトリ「wordpress-https」の権限を “0″ に設定
>
>これをしようとしたのですが、(これはロリポップのFTP画面からでよいのでしょうか?)
>「wordpress-https」という項目が見当たりません。
ロリポップのFTP画面で良いです。
「wordpress-https」ディレクトリは、下記パスを参考にしてください。
・/wordpress/wp-content/plugins/wordpress-https/
「wordpress-https」ディレクトリを削除するか、「現在の属性」という部分を「000」にすれば、とりあえず管理画面にはアクセスできるはずです。
チャンさん様
早々にお返事いただいていたのに、返信ができておらず大変失礼いたしました。
今教えていただいたように設定してみたところ、無事ログインすることができました!!
助かりました。
本当にありがとうございます。
HP製作めげずに頑張ってみます。