「安全ではありません」を消す為に自力でも常時SSL設定できました（Xサーバー編）

当サイトにご訪問いただきありがとうございます。

iPhoneのブラウザアプリ「Safari」で、ブログ開設当初から検索バーに「安全ではありません」と表示があり、ネット上で紹介されていた解決策を色々試みたものの、なかなか解決せず困っておりました。

調べていくうちに、IT初心者向けに有料で消去（解決）してくれるサービスがあることも分かりました。

しかし、これからWordPressを運営していく上で、できる限り自分で解決したいと更に調べを進めたところ、ようやく消去方法が分かり、無事消去できました。

そこで、同じように困っている方に役立てばと、参考までに、ITスキルの全くない私でも出来た消去方法を初心者向けにご紹介致します。

Contents

「安全ではありません」となぜ表示されているのか？
初めにバックアップを必ず取る
サーバーサイトでSSL設定
WordPressでURLを「http://」から「https://」に変更する
「https://」に変換しても「安全ではありません」が依然として表示される場合
Google アナリティクスなど外部連携サービスの設定変更

「安全ではありません」となぜ表示されているのか？

そもそも、どういう理由でこの様に表示されてしまっているのでしょう。

一言で言いますとネット上の危険が益々高まっている中で、安全の基準が厳しくなったということが言えます。

というのも、今や誰もがパスワードや個人情報をネット上で入力するようになった為、大事な情報が盗まれたり、悪用されないよう、ネット上でやりとりされる情報の暗号化（SSL化）が促進されているのです。

そして、従来の暗号化されていないサイトのURLは「http://」で始まるのに対して、暗号化されているサイトは「https://」とs（safe）が追加されたURLとなっているため、iOS12.2より「http://」で始まるサイトは自動的にこの安全ではありませんと表示されてしまうようになったのです。

そこで「安全ではありません」の表示を消すには、簡単に言ってしまえば、「http://」から「https://」にで始まるURLに変更する手続きが必要なのです。

以下順を追って、ご説明いたします。

注意：操作に当たっては必ずバックアップを取り、不具合が生じた時の為に復元できる状態にした上で、自己責任で行ってください。

初めにバックアップを必ず取る

今回に限らず、普段から、何かあった時のために定期的にバックアップを取っておくことをお勧めします。

私は、バックアップのために多くのWordPressユーザーが下記のプラグインBacKWPupを入れているということを知って、早速使っていますが、

定期的に自動でバックアップを取ってくれるなど、このプラグインを入れたことでとても安心感があります。導入されてない方は、これを機に入れてみてはいかがでしょう。

バックアップ及び復元の仕方は、BackWPupの画面に分かりやすい動画の説明がありますし、プラグインBackWPupの使い方で検索すれば、丁寧に紹介されているサイトがたくさん出てくるのでここでの説明は省略させていただきます。

サーバーサイトでSSL設定

不具合が生じた場合に復旧が可能となるようバックアップが取れたところで、早速、SSL設定に入ります。

まずはXサーバー、サーバーパネルを開きドメイン欄のSSL設定を選択します。

次に、SSL設定をするドメインを選択します。

次に、対象となるドメインが表示されていることを確認したら、独自SSL設定追加を選択し、確認画面に進むをタップします。

すす

すると、サイトアドレスの後に反映待ちと表示さるので、とりあえず手続きは完了し、サーバー側の処理が完了されるのを待っている状態になります。

最大で１時間程と記載されていますが、私の場合は約20分後に確認したところ、反映待ちは消えていました。

その後、反映待ちが消えれば、SSL化が完了し、URLは「htpps://」に変更されたことになります。

WordPressでURLを「http://」から「https://」に変更する

次に、WordPressのURLも変更しなければなりません。

ダッシュボードの設定から一般を選択し、WordPressアドレス（URL）とサイトアドレス（URL）いずれも「https://」に変更します。

URLを変更したら、左下変更を保存します。

以上で、URLの「https://」への変更は完了して、情報が暗号化されるようになったことになります。

「https://」に変換しても「安全ではありません」が依然として表示される場合

しかし、URLを変更する手続きについては、多くのサイトでその方法について紹介していて、私も簡単に行えたものの、残念ながらそれだけでは「安全ではありません」の文字は消去出来ませんでした。

その後調べたところ、単にURLを変えただけでは、同じドメインでありながら「http://」と「https://」２つのURLが存在している状態にあり、また内部リンクや外部リンクに記載されたURLに「http://」が含まれている場合（mixed content状態）なども、依然として「安全ではありません」の文字が表示されるということです。

また、サイトがSSL化できたとしても、従来のURL「http://」へのアクセスがエラーになってしまっては、リンク元に迷惑がかかる上、ブックマークを貼ったりしてくれていたユーザーに失礼です。

そこで、「安全ではありません」の文字を消すためにも、また「http://」にアクセスがあっても、エラーにならないよう、「https://」に繋げる、リダイレクトという処理をする必要があり、

それでも状況が変わらない場合は、加えて内部リンクや外部リンクに含まれる「http://」を全て「https://」に変更していく処理もしていかなくてはなりません。

リダイレクトの設定

この手続きは上級者のみ行える設定とあり、初めそれを知った時には実行するのを躊躇してしまいました。

実際には、コードを追加するだけなので、コピペが出来ればいいのですが、それだけでは解決しない場合もある為、プログラミングについての知識がない場合など、所謂初心者には勧めないといったところのようです。

しかし、事前にバックアップをとって、いざとなった時に戻せるようにした上で行えば、そんなに怖がることはないでしょう。

まずは、Xサーバーのサーバーパネルを開いて、ホームページ欄のhtaccess編集をタップします。

すると、ドメイン選択画面が表示されるので、対象となるドメインを選択します。

するとこの機能は上級者向けの機能ですと注意喚起のメッセージが表示されます。

ここでは既にバックアップも取っていて、何か不具合があった時に、復旧できることが前提で先に進めます。

まず、右上関連マニュアルからWebサイトの常時SSL化を選択します。

次に、目次最上段のWebサイトの常時SSLを再度選択します。

すると、下記の画面が出てくるので、枠で囲われたコードをコピーします。

次に、htaccess編集に戻って、編集画面を開きます。

編集画面が表示されたら、一番最初、＃BEGIN WpFastestCacheの前にコピーしたコードを貼ります。

下記のようにコピーぺしたコードの最終行と張る前の最初の行が同じ行にならないように貼れたら、右下の実行をタップします。
そして、次の画面が表示されれば操作は完了です。

以上を行ったことにより、当サイトは無事検索バーから「安全ではありません」の表示が消えて、URLの前に鍵のマークが表示されるようになりました。

しかしながら、上記リダイレクト設定を行っても依然として「安全ではありません」が表示される場合は、更に次の手続きが必要になってくるかもしれません。

mixed contentを解消する手続き

私の場合は、まだ10記事程度の始めたばかりのサイトであったのと、貼ってあった外部リンクも「https://」だったので、この手続はせずとも「安全ではありません」の文字は消えたのですが、

上記のリダイレクト設定を行ってもなお、解決していない場合は、リンク内に「http://」が含まれている可能性があるためこの状態を解消しなければなりません。

この場合、リンクを１つ１つ確認していくのは大変なので、Serch RegexというWordPressプラグインで一括変換する方法が一般的のようです。

私はこの手続きは実際に行っていない為、Search Regex　常時SSL化で検索すると具体的な操作方法がたくさん出てきますので、そちらを参考にされてください。

HTTP（Strict Transport Security）の設定

更に、常時SSL化にあたり、HSTSという機能も紹介されています。

このHSTSとはどういう機能かというとユーザーが常時SSL化された「https://」ではじまるサイトに「http://」でアクセスしてしまうことを減らすようにする仕組みのことで、

この設定をすると初め「http://」にアクセスしたユーザーが次回以降アクセスする際「https://」に接続されるようにブラウザに通知されるようになるそうです。

この設定もリダイレクト同様、htaccessにコードを貼るのですが、不具合を生じる危険もあるとのことなので、私はこの設定はしていません。

もしこの設定もされたい場合は、HTTPで検索すると、設定方法が色々と紹介されているので、そちらを参考にされてください。

Google アナリティクスなど外部連携サービスの設定変更

上記より無事、「安全ではありません」が消え、URLの前に鍵マークがついたところで、Googleアナリティクスなどの外部サービスにも連動させなくてはなりません。

早速、アナリティクスのHOME画面を開きます。

次に、左下管理ボタン（車輪マーク）をクリックすると、下の画面が表示されるので、中央のプロパティ設定の項目をクリック。

次に、プロパティ設定画面が表示されたら、デフォルトのURLをhttpsに変更します。

変更出来ましたら、忘れずに左下保存ボタンをクリックします。

以上の手続きを行ったことにより、「安全ではありません」が消え、鍵マークがつき、実際にサイトが暗号化された上で、Googleアカウントと紐づくことができました。

あくまで、IT知識のない初心者の私でもできたという体験談の為、不適切な表現や、説明もあるかもしれませんが、こんな記事に早く出会っていたら、もっと早くに解決できたであろうということを意識してまとめてみました。

IT知識に乏しい初心者の方で、同じように、検索バーに「安全ではありません」の表示やその他注意喚起を促す表示が出てしまって困っている方の参考になれば幸いです。

とはいえ、申し訳ありませんが、何か不具合が起こった場合の責任は負えませんので、手続きするにあたっては、くれぐれも自己責任でお願いいたします。

最後までお読みいただきありがとうございました。

Te irá bien