【2023年9月21日更新】WordPressをインストールするときのおすすめテーマに、『Nishiki Pro』を追加しました。
この記事のレベル
| 初心者 | (4.0) |
| 重要度 | (4.0) |
| 難しさ | (2.0) |
こんにちは、編集長のカワウソです!
ホームページのURLを「https」にするべきかどうか、お悩みではないでしょうか?
「https」から始まるURLのホームページは、安全にアクセスできる証明になります。
ユーザーの安全や信頼に繋がるため、ホームページを作るうえで必須の設定です!
この記事では、httpsの仕組みや重要性を分かりやすく解説します。
カワウソ
この記事は次のような人におすすめ!
- 会社ホームページをこれから作る人
- ホームページのURLをhttpsにするか悩んでいる人
- ホームページをSSL化したい人
また、初心者の方でも簡単にhttpsのホームページを開設できる方法を紹介するので、ぜひ参考にしてくださいね。
それでは、どうぞ!
httpとhttpsはホームぺージの通信規約
httpsの重要性を理解するために、まずはその意味や仕組みについて理解しましょう。
httpとは「HyperText Transfer Protocol」の略で、ホームページの表示に利用する通信規約(ルール)のことです。
ホームページを表示するときは、サーバーとブラウザの間でデータの通信が行われます。
ホームページの情報を保管したり配信したりする、いわば「データの保管庫」です。
「この情報が見たい」といったブラウザのリクエストに対し、保管しているデータから適切な情報を返します。
厳密に言うと、ホームページの情報を保管する「Webサーバー」という種類で、他には「メールサーバー」「データベースサーバー」などがあります。
サーバーについて詳しくは、以下の記事で解説しています。
共通で認識できる「http」というルールで通信することにより、ホームページが正しく表示されるのです。
そのhttpに、安全や厳重といった意味を持つ「Secure(セキュア)」の頭文字が追加されたのが、「https」になります。
つまり、httpによるデータ通信を安全にした仕組みが「https」なのです。
詳しくはこのあと解説します。
httpとhttpsの違いは「暗号化」の有無
httpとhttpsの違いは、ホームページの通信が暗号化されているかどうか。
httpsによる通信は、SSLという仕組みにより、データが暗号化されるため安全です。
「Secure Sockets Layer」の略で、インターネット上で送受信する情報を暗号化する仕組みのこと。「SSL/TLS」と表記される場合もありますが、同様のものとして解釈して問題ありません。
TLSとは「Transport Layer Security」の略で、SSLからバージョンアップした暗号化通信の仕組みです。現在SSLと呼ばれている通信は、厳密に言うとTLSの仕組みを利用しています。
しかし、暗号化通信=SSLとして周知されているため、「SSL」や「SSL/TLS」と表記されることが多いのです。
ホームページ上の通信をSSLにより暗号化することを、「SSL化(HTTPS化)」と言います。
SSL化したホームページには「SSL証明書」が発行され、httpsによる通信が可能になるのです。
SSL通信に利用される電子証明書で、正式には「SSLサーバ証明書」と言います。
「ホームページ所有者の実在性証明」や「SSLによる暗号化通信」の役割があり、SSL化するうえで欠かせないものです。
SSL化しない状態でもホームページの表示や利用はできます。
しかし、さまざまなリスクを避けるために、ホームページのSSL化は必須だと言えるでしょう。
ホームページをSSL化しないリスクは、次に詳しく解説します。
SSL化の設定をしていないホームページでは、URLの最初に「https」を付けても表示できないので注意しましょう。
ホームページをSSL化する理由
ホームページをSSL化する理由は、以下のとおりです。
SSL化しないリスクもあわせて、それぞれ解説します。
セキュリティを担保する
SSL化により通信を暗号化すれば、ユーザーがホームページを利用するうえでのセキュリティを担保できます。
ユーザーがホームページ上のフォームから、個人情報を送信するケースを例に考えてみましょう。
SSL化されていないホームページでは、ユーザーが送った情報が暗号化されません。
もしも、通信途中で第三者に情報を盗み見られたとき、ユーザーが送った内容がそのまま閲覧できてしまうのです。
それによりユーザーの個人情報が外部に漏れ、悪用されるおそれがあります。
カワウソ
名前、住所、電話番号などはもちろん、クレジットカードや銀行口座などのお金に関する情報が漏れると大変ですよね!
一方で、SSL化されたホームページでは、ユーザーが送った情報が暗号化されます。
第三者が通信途中の情報を盗み見たとしても、何の情報なのか分かりません。
このようにSSL化は、ホームページの通信情報を守るために重要なのです。
ユーザーに安心感を与える
SSL化されたホームページは、通信が暗号化されていることがユーザーに伝わるため、信頼度が高いです。
ホームページがSSL化されているかどうかは、ブラウザのアドレスバーを見れば一目瞭然。
以下は、ホームページにアクセスしたときに表示される、アドレスバーの違いを表した画像です。(GoogleChrome利用)
SSL化したホームページ
SSL化されたホームページの場合、鍵アイコンや保護されている旨のメッセージが表示されます。
SSL化していないホームページ
一方で、SSL化されていないホームページだと、アドレスバーに「保護されていない」旨が表示されます。
これでは、ユーザーが不安を覚えてしまいますよね。
その結果、問い合わせフォームだけでなく、ホームぺージへのアクセスさえ避けられるおそれもあります。
安心してホームぺージを利用してもらうためには、まず信頼が必要なことを理解しておきましょう。
httpsはSEOのランキング要素の一つ
SEOで不利にならないためにも、ホームページはSSL化すべきです。
「Search Engine Optimization」の略で、日本語では「検索エンジン最適化」と言われます。
検索エンジンの検索結果で、自社のホームページが上位表示されるように対策することです。
SEOについて詳しく知りたい方は、以下の記事をご覧ください。
Googleは2014年に、SEOのランキング要素にhttpsを加えました。(参考:Google 検索セントラル「ランキングシグナルとしての HTTPS」)
つまり、ホームぺージがSSL化されているかどうかが、SEOにとって重要だと言えます。
また、2020年11月にGoogleから発表された以下の内容からも、httpsがランキング要素に継続して使用されていることを確認できますよ。
新しいページ エクスペリエンス シグナルは、ウェブに関する主な指標と既存の検索シグナル(モバイル フレンドリー、HTTP セキュリティ、煩わしいインタースティシャルに関するガイドラインなど)を組み合わせたものです。
(引用:Google 検索セントラル「Google 検索へのページ エクスペリエンスの導入時期」)
検索結果での上位表示は、ホームページへのアクセス増加に繋がります。
集客の観点でも、ホームページはSSL化する必要があると言えるでしょう。
初心者の方におすすめなSSLの種類
ここからは、初心者の方におすすめなSSLの種類をご紹介します。
どれもレンタルサーバーで使用できるので、わざわざ業者に依頼する必要はありません!
要点は、以下のとおりです。
それぞれ詳しく解説するので、自社のホームページに適用するSSL選びの参考にしてくださいね!
独自SSLと共有SSL
SSLの種類には、大きく分けて「独自SSL」と「共有SSL」の2つがあります。
会社ホームページなら、信頼性の高い独自SSLがおすすめです。
以下の表は、独自SSLと共有SSLの特徴をまとめたものです。
| 独自SSL | 共有SSL | |
| 説明 | 独自ドメインに対するSSL証明書 (自社専用の証明書) |
サーバー会社が取得したSSL証明書を 複数の企業で共有して使う |
| 信頼性 | 〇 ホームぺージ所有者の証明ができる |
× ホームぺージ所有者の証明ができない |
| 対象ドメイン | 独自ドメイン (自社が所有するドメイン) (例)https://〇〇〇.com 自社専用のオリジナルの 文字列のドメインが使える |
共有ドメイン (サーバー会社所有のドメイン) (例)https://〇〇〇.▲▲▲.com ▲▲▲に自社とは関係のない 文字列が入ってしまう |
違いをそれぞれ解説します。
独自SSL
独自SSLは、ホームページ運営者自身が所有する「独自ドメイン」に対して、SSL証明書が発行されます。
世界に1つしかないオリジナルのドメインのことです。
ホームページのURLとしてはもちろん、メールアドレスにも利用できます。
つまり、SSL証明書でホームページ所有者の実在性が確認できるため、信頼性が高いのです。
共有SSL
一方共有SSLとは、サーバー会社が所有するSSL証明書を、複数のユーザーで共有する方法のこと。
SSL証明書で確認できるホームページの所有者は、「利用しているサーバー会社」となります。
共有SSLでは実際のホームページ所有者が確認できず、独自SSLに比べて信頼性が低くなってしまうのです。
また、共有SSLの証明書は、サーバー会社が所有する共有ドメインに対して発行されるため、独自ドメインのホームページには利用できません。
1つのドメインを複数ユーザーで「共有」して利用するドメインです。
たとえば、はてなブログに登録した人全員が利用できる「hatenablog.jp」は、共有ドメインとなります。
共有SSLを提供しているレンタルサーバーは減っているものの、会社によっては利用可能なところもあります。
共有SSLはデメリットが多いので、避けましょう。
ドメインについて詳しく知りたい方は、以下の記事をご確認ください。
3種類ある独自SSL
独自SSLには、認証レベルや費用が異なる「ドメイン認証SSL」、「企業認証SSL」、「EV SSL」の3種類あります。
なかでも、創業期のホームページには「ドメイン認証SSL」がおすすめです。
以下は、SSL証明書の3つの種類と特徴です。
| 独自SSLの種類 | 認証 レベル |
費用 (年間) |
説明 |
| ドメイン認証SSL (DV) |
★☆☆ | 無料~ 約1.5万円 |
ドメインの使用権を証明できる。インターネット上で認証手続きが済むため、素早いSSL認証の取得が可能。 |
| 企業認証SSL (OV) |
★★☆ | 約3.3万円~ | ドメインの使用権に加えて、ホームページ運営者が法的に実在する企業であることを証明できる。 |
| EV SSL | ★★★ | 約8.4万円~ | ドメインの使用権に加えて、OVよりさらに厳しい基準でホームページ運営者の実在性を証明できる。 |
※上記費用はエックスサーバー利用の場合(参考:オプション独自SSL)
このように、認証レベルが高くなるほど審査が厳しくなり、ユーザーに高い信頼性をアピールできます。
また、費用に関しては、認証レベルや証明書を取得する認証局(ブランド)によりさまざまです。
なお、証明書の種類による、暗号化の強度に違いはありません。
そのため、無料のものでもデータ通信におけるセキュリティは担保されますし、SEOとしてもデメリットはないでしょう。
以上のことから、創業期のホームページなら、無料のドメイン認証SSLでも問題ないと言えます。
無料の独自SSLでも品質は十分
無料のSSLでは、品質に不安な方もいるでしょう。
しかし、『Let’s Encrypt』という無料のSSL証明書が採用されているなら、質が担保されているため安心できますよ。
▲出典:Let’s Encrypt
『Let’s Encrypt』は、米国の団体「ISRG(Internet Security Research Group)」が運営する認証局のこと。
ホームページの通信を安全に行えることを目的として運営しており、無料でドメイン認証SSL証明書を提供しています(参考:Let’s Encrypt について)。
ISRGは、MetaやGoogle Chromeなど、世界中の大手IT企業から出資されている非営利団体です。
そのため、無料でも安定したSSL(TLS)通信の提供が可能で、信頼性においても安心だと言えるでしょう。
カワウソ
当社『エックスサーバー』の無料独自SSLでも、『Let’s Encrypt』の証明書を採用しています。
ホームぺージをSSL化する流れ
本来ホームページをSSL化するには、以下のような複雑な流れになりますが、ほとんどのレンタルサーバーでは簡単に設定できる機能を備えていますよ。
- SSL証明書の取得申請
- 審査や認証手続き
- サーバーにSSL証明書をインストール
- ホームページ側のSSL化設定
各工程の詳しい手順は、利用するサーバーや証明書の種類などにより異なります。
また、サーバーによってはSSL化に対応していない場合もあるため、事前に確認が必要です。
無料独自SSLをご検討の初心者の方は、レンタルサーバーのSSL設定機能を利用しましょう。
当社『エックスサーバー』にも、無料の独自SSL証明書を利用する場合に、上記1~3を簡単に行える無料独自SSLの機能があります。
ぜひご利用をご検討ください。
ホームぺージをSSL化する方法(エックスサーバー)
ここからは、WordPressのホームぺージを『エックスサーバー』で作ることを想定し、SSL化の設定方法を解説します。
WordPressは、初心者の方でも簡単にホームページの制作や更新ができる、無料のシステムです。詳しく知りたい方は、以下の記事をご覧ください。
WordPressのホームページをSSL化するには、以下の手順が必要になります。
なお、『WordPressクイックスタート』を使うと、わずか10分でサービスの申し込みや上記の手順すべてが完了しますよ。
レンタルサーバーに申し込むだけで、WordPressがインストールされるだけでなく、SSL化まで自動でされるのでおすすめです。
『WordPressクイックスタート』の詳しい申し込み手順は、以下の記事で詳しく解説しています。
『WordPressクイックスタート』は、「無料お試し期間」がありません。また、あらかじめ「ドメイン名」を決めておく必要があります。
ここでは、『WordPressクイックスタート』を使わない方向けに、上記の手順を一つずつ解説しますね。
レンタルサーバーの契約やドメインの取得がまだの方は、以下の記事を参考に申し込みを先に済ませてください。
1. ドメインを設定する手順(無料独自SSL設定)
取得したドメインをサーバーで利用するための、設定手順を解説します。
この工程で、無料独自SSLもあわせて設定が可能です。
「無料独自SSLを利用する(推奨)」にチェックが入っているか、確認しましょう。
また、「高速化・アクセス数拡張機能“Xアクセラレータ”を有効にする(推奨)」もチェックしたままで問題ありません。
カワウソ
もしチェックを忘れた場合は、後で設定も可能です。
ドメイン設定後のSSL化手順は、のちほど解説します。
設定するドメインに間違いがないか確認し、追加するをクリックします。
この画面が表示されれば、ドメインの設定は完了です。
なお、SSLの設定がサーバーに反映されるまで、最大で1時間程度かかります。
反映完了後に「https~」のURLでアクセスできるため、しばらくお待ちください。
完了画面で、無料独自SSLの設定に失敗した旨のメッセージが表示された場合は、再度SSL化の設定が必要です。
次に紹介する手順にて、SSL化設定を行いましょう。
あとでSSL化する手順
ドメイン設定時にチェックを忘れたり、失敗したりした場合は、以下の手順でSSLを設定してください。
SSL設定するドメインの「選択する」をクリックしてください。
「設定対象ドメイン」と「サイト」の欄に設定するドメインが表示されていることを確認し、変更をクリックしてください。
再度設定するドメインに間違いがないか確認し、ONにするをクリックしましょう。
設定中は「SSL新規取得申請中です。」のメッセージが表示されます。
設定完了まで画面を切り替えずに、そのままお待ちください。
以下の画面が表示されれば、設定完了です。
2. WordPressをインストールする
「WordPress簡単インストール」の機能を使って、設定したサーバー上にWordPressをインストールする手順を解説します。
WordPressをインストールするドメインの「選択する」をクリックします。
WordPressインストールのタブをクリックし、WordPressの情報を入力しましょう。
入力する情報は、以下を参考にしてください。
- サイトURL
/より右側の入力欄は空白で構いません - ブログ名
サイト名のことです。あとから変更できます - ユーザー名
WordPress管理画面のユーザー名です - パスワード
WordPress管理画面のパスワードです - メールアドレス
WordPress管理用のメールアドレスです - キャッシュ自動削除
そのまま「ON」で構いません - データベース
そのまま「自動でデータベースを生成する」で構いません
作成済みのデータベースを利用する場合は、事前にデータベースを手動で作成しておく必要があります。詳しくは、マニュアルの「MySQL(データベース)の設定」をご覧ください。
インストールするテーマを選択します。
- テーマ
デザインテンプレートのこと - テーマオプション
子テーマをインストールする場合はチェックを入れます
テーマをカスタマイズするときに使うファイルのこと。
子テーマを利用すれば、元となる親テーマを直接編集せずにカスタマイズが可能です。
テーマの更新などにより、カスタマイズ内容が消えてしまう心配がないため、特別な理由がない限りは、子テーマも一緒にインストールしておくとよいでしょう。
入力が完了したら、確認画面へ進むをクリックしてください。
企業ホームぺージを自作する場合、テーマは『Lightning(ライトニング)』『Snow Monkey(スノーモンキー)』『Emanon Business(エマノン・ビジネス)』『Nishiki Pro(ニシキプロ)』がおすすめです。
それぞれ、以下の記事で解説しています。
「WordPress簡単インストール」で有料テーマをインストールする場合は、以下の手順になります。
(1)「WordPress簡単インストール機能」でデフォルトのテーマをインストール
(2)エックスサーバーアカウントからテーマを購入
(3)「WordPressテーマ管理」でインストール
※各リンクからマニュアルをご覧いただけます。
入力内容に間違いがないか確認し、インストールするをクリックします。
インストールしたWordPressの各種情報は、「インストール済みWordPress一覧」のタブからご確認いただけます。
WordPressのインストールが完了したら、管理画面にログインが可能です。
ログイン方法が分からない場合は、以下の記事を参考にしてください。
WordPress管理画面の基本的な操作やカスタマイズ方法などについては、以下の記事で詳しく解説しています。
また、WordPressをインストールしたあとは、初期設定を行いましょう。
以下の記事では、企業ホームぺージをWordPressで作るうえで最低限必要な初期設定について解説しているので、あわせて参考にしてください。
3. WordPressのアドレス(URL)のhttpからhttpsへの変更
URLにアクセスできるようになったら、常時SSL化を進めましょう。
ホームぺージを構成するすべてのページをSSL化すること。
WordPress簡単インストールの利用後は、URL設定を「http」から「https」に変更が必要です。
URL設定を変更しないと、管理画面のURLやWordPressの機能で作成されたリンクなども「http」になります。
つまり、暗号化されていないページになってしまうのです。
そのため、以下の手順でWordPressのURLをhttpsに設定しましょう。
WordPressの管理画面にログインしましょう。
ログインURLが分からない場合は、サーバーパネルの「WordPress簡単インストール」>「インストール済みWordPress一覧」で確認できます。
管理画面のメニューから「設定」をクリックします。
「WordPress アドレス (URL)」と「サイトアドレス(URL)」内のURLを「https」に変更し、変更を保存をクリックします。
「WordPressアドレス(URL)」と「サイトアドレス(URL)は、基本的に「http」を「https」に変更するのみで構いません。
「WordPressアドレス(URL)」のドメイン名や階層を変更してしまうと、WordPressの管理画面にログインできなくなるおそれがあるので、注意しましょう。
万が一、WordPressにログインできなくなった場合は、以下の記事を参考に対処してください。
URLを変更すると、管理画面から自動的にログアウトされます。
再度ログインし、一般設定の画面で「WordPress アドレス (URL)」と「サイトアドレス(URL)」を確認しましょう。
URLが「https~」になっていれば、設定完了です。
4. httpからhttpsへのリダイレクト設定
httpのURLにアクセスがあったときに、リダイレクトする設定をしましょう。
サーバーやWordPressの設定でSSL化が完了した状態では、「http~」「https~」両方のURLにアクセスできてしまいます。
そのため、「http~」のURLにアクセスしたユーザーを、自動的に「https~」に転送する設定が必要なのです。
サーバーパネルにログインし、「.htaccess編集」をクリックします。
リダイレクト設定をするドメインを選択します。
「.htaccess編集」のタブを表示しましょう。
入力欄に以下のコードを記述し、確認画面へ進むをクリックしてください。
RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
(1).htaccessには、サーバーパネルで提供している一部機能の設定に関する記述や、WordPressなどのプログラムによる記述が自動的に行われている場合があります。
心当たりがない記述であっても不用意に削除しないようにご注意ください。
(2)編集前に記述内容をコピーしておくことをおすすめします。.htaccessが原因でエラーになった場合でもすぐ戻せます。
(3).htaccessに記述するコードは順番によって処理が変わります。httpsへの転送コードは、WordPressのコードよりも、先に書いてください。
あとに書いてしまうと、WordPressのコードが優先されて正しく処理されない場合があります。
設定する内容に間違いがないかを確認し、実行するをクリックします。
以下の画面が表示されれば、リダイレクトの設定は完了です。
.htaccess編集後は、ホームページが正常に表示されるかを必ずご確認ください。
もし、編集後にホームページが表示ができなくなった場合は、.htaccessの内容を元に戻して更新しましょう。
ホームページのSSL化を確認する方法
以下の2つの方法で、ホームページのSSL化が問題なくできているか確認しましょう。
それぞれの確認方法を詳しく解説します。
https~でアクセスしてブラウザの表示を確認
まず、「https~」から始まるホームページURLにアクセスしましょう。
ホームページが正しく表示され、アドレスバーで保護されている旨が確認できれば、ホームページのSSL化ができています。
なお、保護されていない旨が表示されていたり、ホームページが表示できなかったりするときは、以下の原因が考えられます。
状況に合わせて、それぞれの対処法をお試しください。
アドレスバーに「保護されていない」旨が表示される
| 原因 | ホームページ内の画像ファイルやJavaScriptなどのファイルを、「http~」のURLで指定している可能性があります。 |
| 対処法 | 「http~」になっている画像ファイルやJavaScriptなどのURLを、「https~」に変更することで解消されます。ホームページ内の記述を確認しましょう。 |
ホームページが表示できない
| 原因 | SSL化の設定ができていないか、反映されていない可能性があります。 |
| 対処法 | SSLを設定してから間もない場合は、時間をおいてからアクセスしてください。(無料独自SSLの場合は、設定後1時間程度でアクセスできます。) 時間が経っても表示が変わらない場合は、正しくSSL化の設定ができているか確認しましょう。 |
http~でアクセスしてリダイレクトされるか確認
常時SSL化できているか確認するため、「http~」のURLでホームページにアクセスしてください。
httpsのURLに自動でリダイレクトされれば、常時SSL化ができています。
もし、「http~」のホームページにアクセスできてしまう場合は、.htaccessのコードに間違いがある可能性が高いです。
.htaccessにリダイレクトのコードが正しく記述できているかを、ご確認ください。(参考:4. httpからhttpsへのリダイレクト設定)
まとめ
今回は、httpsの仕組みやホームページをSSL化する方法について、解説しました。
- httpsによる通信は、ホームページ上での情報の通信を暗号化できる(SSL化)
- ユーザーに安心してホームページを利用してもらうためにSSL化は必須
- https(SSL化)はSEOのランキング要素の一つ
- 無料の独自SSLで暗号化の質は十分
- WordPressクイックスタートは、SSL化まで自動でできるため初心者におすすめ
ホームページを運営するうえで、SSL化は当たり前だといっても過言ではありません。
無料かつ初心者の方でもホームページのSSL化はできるので、当記事を参考に設定してみてくださいね!
以上、最後までお読みいただきありがとうございました。
ホームページの開設を検討している方へ
エックスサーバーは、高速かつ高い安定性を誇る「高性能レンタルサーバー」です。
国内シェアNo.1※のレンタルサーバーであり、19万社の導入実績があります。
2024年5月1日12時まで、サーバー利用料金が最大30%オフとなる割引キャンペーンを実施中です!
今なら月額693円~とお得にホームページを開設できます!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※ 2023年10月時点、W3Techs調べ。
法人向けレンタルサーバー「Xserverビジネス」なら、
「ホームページ無料制作サービス」が付いているため、
申し込むだけで2日でホームページが完成します!
Xserverビジネスだと「.com」以外にも「.co.jp」や「jp」などのドメインも無料になります。
当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
これから始める方はこちらのホームページの作り方をぜひご覧ください!
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
カワウソ
当メディアはリンクフリーです。貴社のSNSやブログでご紹介いただけると嬉しいです。
