セキュリティ」タグアーカイブ

WordPressのSSL化

投稿日時: 投稿者:
返信

WordPressのSSL化

ブログも今や常時SSL をすることが望まれる時代になってきました。
Google社はSSLで保護されているWebサイトかどうかを検索順位を付ける際の要素とすると言っていますし。
また、WordPress環境を提供してくれるレンタルサーバー会社も無料のSSLを提供してくれるなど、常時SSL化の流れができているようです。

WordPressのSSL化の方法

WordPressをSSL化は、以下の手順で行います。
1)SSLサーバー証明書の入手/設定
2)WordPrssでの設定

SSL証明書の入手/設定

まずは、SSL証明書を入手する必要があります。
現在は、無料のものもありますし、もちろん有料のものもあります。

一方、最近はWordPress環境を提供してくれるレンタルサーバー会社も無料のSSLを提供してくれるところがあります。
私が使用している、IXWebHosting + StarDomain の組み合わせでもSSL化できます。
また、最近契約した StarServer では、ボタンクリックのみでSSLの環境を提供してくれます。
StarServer では、StarDomain 契約で StarServer で DNS を管理している場合にのみですが、SSL証明書入手して、そのままWebサーバーに設定するまでの作業を自動で行ってくれます。

自分の環境に合わせ、SSL証明書を手に入れ、Webサーバーに設定します。

参考までに StarDomain での「Let’s Encryptで無料のSSLを取得する」を紹介しておきます。
また、「IX Web Hosting SSLを設定する(初回設定)」も合わせて紹介しておきます。

WordPrssでの設定

プラグインでの設定が一番間違いないと思います。
お勧めのプラグインは Really Simple SSL です。
Really Simple SSL は、設定なしでサイトを SSL 対応にする軽量プラグインです。
※2018-05-11追記
Search Console Accelerated Mobile Pages に『ページにユーザー作成の JavaScript がある(重大な問題)ページからカスタム JavaScript のコードをすべて削除してください。AMP ページにカスタム JavaScript があると、Google 検索結果に AMP 固有の表示機能が表示されないことがあります。 詳細』と以下のような通達が来ました。

重大な問題のある AMP ページ

重大な問題のある AMP ページ


Really Simple SSL は設定によってJavaScriptを出力します。他のサイトでも Really Simple SSL を使用しているのですがこの警告?通達?通告?は出ていないので Really Simple SSL が悪さをしているとは限りませんが、他のプラグインでJavaScript を出力するものは無いので。。。
そのうち改修されるかも知れませんが、私は Really Simple SSL を使うのを止めました。
※2018-05-11追記終了

その他のお手軽な方法は.htaccessを使う方法があります。
httpからhttpsへの301リダイレクトさせます。
リダイレクトの設定は.htaccessに以下のように追加します。

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://(ドメイン名)/$1 [R=301,L]

もしくは、

RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

その後、WordPressの設定→一般のWordPress アドレス (URL)とサイトアドレス (URL)を Https に書き換えます。
また、内部で参照している画像等を http → https にしないと「保護されていません」とか「i」表示とかになり、「保護された通信」となりません。
チェックの仕方はありますがかなり面倒かと。。。
チェックの仕方は Google chrome の場合は、「F12」を押し、「console」を見るとエラーや警告が色づけされ表示されます。
一枚を直すのは苦じゃないですが大量にあると苦行になります。。。

Really Simple SSL の設定方法

プラグインの新規追加から Really Simple SSL を検索し、インストールします。

WordPressSSL化-Really Smiple SSLインストール

WordPressSSL化-Really Smiple SSLインストール

インストール後、有効にするボタンをクリックします。

WordPressSSL化-Really Smiple SSL有効化

WordPressSSL化-Really Smiple SSL有効化

すると、以下のような確認メッセージとともに表示されますので、

Really Simple SSL - SSLを化有効にする

Really Simple SSL – SSLを化有効にする

「はい、SSLを有効化します」ボタンをクリックします。

以上でSSL化が有効化され、かつ http から https への 301リダイレクト されるそうです。

また、上の.htaccess で行った時と決定的に違うのが、内部で参照している画像等を http → https に自動で行ってくれるので修正する必要がありません。
非常に便利です。

念のため、WordPressの設定→一般のWordPress アドレス (URL)とサイトアドレス (URL)を Https に書き換えましょう。

以上、WordPressのSSL化の紹介でした。

プラグイン Akismet について

投稿日時: 投稿者:
返信

Webサイト(ブログサイト)を始めると、検索順位が上がるにつれてスパムコメントが増えてくるそうです。(上がらなくても増える?)そんな時に役に立つのがプラグイン「Akismet」です。

Akismetとは

Akismetとは、コメントやトラックバックの内容をサーバーでチェックして、スパムコメントだったら除外してくれるサービスです。私のWordPress4.2.2では標準でついてきていました。標準で付いてくるほどですから、使っておいた方が良いと思います。

先ほど見たら、「新しいバージョンの Akismet が利用可能です。バージョン 3.1.2 の詳細を見るか今すぐ更新します。」と出ていたので早速、更新しました。

 Akismetを使うには

Akismetを使うには、
1) Akismetの「有効化」リンクをクリック
2) サインアップして Akismet API キーを取得
3) Akismet の設定ページに移動して API キーを保存
の3つを行います。

1) Akismetの「有効化」リンクをクリック

ダッシュボード>プラグイン>インストール済のプラグイン
Akismet設定01
「有効化」をクリック

2) サインアップして Akismet API キーを取得

ちょっとだけ。と言っても2分もかからないくらいで取得できます。
Akismet設定01_1
「サインアップして Akismet API キーを取得」をクリック

下の画面(そのうち変わると思いますが。。。)が立ち上がります。Akismet設定02
「GET AN AKISMET API KEY」をクリック

下の画面(そのうち変わると思いますが。。。)が立ち上がります。Akismet設定03
これはどうやら、WordPress.comへのサインアップも兼ねているようです。
それぞれを入力して「Sign up」をクリック

Sign upすると、すぐにメールでアカウントを有効化しろと案内が来るのですが、しなくても大丈夫そうです。WordPress.comに興味のある方は。。。有効化すると、どうなるんだろう?

「I already have a WordPress.com account」をクリックするとどうなるんだろう?やって無いのでわかりません。

「Sign up」をクリックすると、下の画面(そのうち変わると思いますが。。。)が立ち上がります。
Akismet設定04

要件が有るようです。月に50,000件もチェックは要らないので、Basicで。

SIGN UPをクリックすると、下の画面(そのうち変わると思いますが。。。)が立ち上がります。Akismet設定05
赤丸で囲ったスライドバーを左へ移動して、$0.00/yrにする。
あっ、もちろん気持ちですから援助は大歓迎だと思います。

スライドして0にすると、下の画面(そのうち変わると思いますが。。。)になります。
Akismet設定06
それぞれ記入して「CONTINUE」をクリック

CONTINUEをクリックすると、下の画面(そのうち変わると思いますが。。。)になります。Akismet設定07
Akismet API キーが表示されます。
メールも合わせてくるので、とりあえずコピペするために、コピーだけしておきましょう。

Akismet API キーが貰えたので、再度自分のWordPressに戻ります。

あっ、Akismetの設定をクリックする画像を取り忘れました。。。わかりますよね?
先ほどの有効化したのと同じところに、設定と停止が有ると思います。その設定をクリックします。
下のような画面になります。
Akismet設定08
先ほど取得したAkismet APIキーを入力してください。
もし忘れたりしてたら、メールが来ているのでそこからもらってきてください。
「変更を保存」をクリックします。

下のような画面が表示されて設定終了です。
Akismet設定09

これであなたのWebサイト(ブログサイト)はスパムから守られました。もし、超人気が出て一月に50,000件を超えるようになったら、Basicから上にアップグレードしましょう。
そうなると良いですね^^

WordPress バージョン4.2.2では二つのセキュリティの問題を解決しました

投稿日時: 投稿者:
返信

今回はセキュリティについてです。

WordPressのセキュリティについて

WordPressにてセキュリティに関する脆弱性が発表されました。
WordPress 4.2.2 セキュリティとメンテナンスのリリースで説明されてます。私には読んで簡単に理解できない内容だったので説明できません。詳しく知りたい方が直接読んでください。

「これは以前のすべてのバージョンに対する重大なセキュリティリリースですので、ただちにサイトを更新することを強く推奨します。」と出ています、できるなら早急にバージョンアップした方が良さそうですね。
尚、WordPress 4.2.2は4.2からの13のバグの修正も含まれているそうです。

まだ最新のバージョンでない人は、早くバージョンアップしましょう。