サーバー

ロリポップ!の無料独自SSLと忘れてはいけない常時SSLの設定方法

ロリポップ!のサーバのレンタル契約を済ませ、WP(ワードプレス)をインストールしたら、必ず無料独自SSLは設定しましょう。

SEO対策にもなりますが、何よりも安全第一ですから。

無料独自SSLの設定

 1. ロリポップ!サーバーにログインします。

 2. 左メニューの[セキュルティ]をクリックします。

 3. [独自SSL証明書導入]をクリックします。

002-lolipopssl.png

4. 右側の[無料独自SSLを設定する]をクリック

5. [SSL保護されていないドメイン]を選びます。

6. SSL化したいドメインにチェックを入れ、右側にある横長ボタン
「独自SSL(無料)を設定する」をクリック

7. [×SSL保護無効]の表示が、→[SSL設定作業中]に表示が変わります

8. 数分待って、[SSL保護有効]の表示に変われば完了です。

が、私はここですべてが完了したと思ってしまいました。

もちろん、

https://~でアクセス、表示できれば一応SSLになってはいます。

しかし、完全ではありません。

GoogleAdsenseのサイトで完全ではないことを知り、あわてて調べました。

忘れてはいけない常時SSLの設定

常時SSLになっていなかったことがわかりました。

常時SSLとは、すべてのページとファイル等がSSLになっていなければなりません。

では常時接続を設定しましょう。

そのためには、サイト内の内部リンクや画像のリンクをすべてhttpsへ書き換えねばなりません。

WordPressプラグインの「Search Regex」を使って、一括で置換します。

たとえば「http://xyz.com」→「https://xyz.com」と検索置換(Replace & Save)します。

search.pngSearch Regexの設定画面。WPダッシュボード左側の[設定]をクリックし、Search Regexの画面へ

https://~が鍵マークになれば常時SSLが完了したことになります。

元の「http://~」全ページを、新しい「https://~」各ページにリダイレクトするよう設定します。

全てhttpsへリダイレクトさせる

ロリポップ設定画面で[ロリポップFTP]をクリックします。

作業したいドメインのルートフォルダを開き、「.htaccess」ファイルをクリックします。

ソースコードの画面が開きますので、htaccessファイルの最上段に、以下のコードをコピペします。

RewriteEngine on
RewriteCond %{HTTPS} !=on [NC]
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

ウェブアプリケーションのやり取りにおける不正侵入を防ぐことができ、サイト改ざん対策の一つとしても有効なWAF(ウェブアプリケーションファイアウォール)も設定しておきましょう。