私のした常時SSL化の手順

私はある法人のWEB担当の仕事をしています。今回のやった常時SSL化の手順を書いておこうと思います。WEB担当を主に一人でなさっている方に何かお役に立てればと思いました。それとともに言葉が間違っていたり、方法が変だったりしているところはご容赦ください。教えて下さるとうれしいです。

常時SSL化の手順について今回参考にさせていただいたのは、昨年9月のWordCamp Tokyoでのセッション
常時SSL化の事前確認・注意点・手順 〜WordPressとその周辺で必要なこと〜
もっと聴きたい30分の講義でした。前川 昌幸さん　古里 武士さんありがとうございました。動画も公開してくださっています。

常時SSL化するにあたり説明が必要でした

どうして常時SSL化が必要なのか？　一般的なセキュリティが高くなることやグーグルの検索順位を下げないというだけでは説明不足で、自社サイトにあてはめて、どういうメリットがあるかの説明資料と、毎年更新が必要な費用があること常時SSL化した際に起こりうる不具合についての資料を用意しました。

社内の環境のあらかじめの変更、サーバーの会社への相談

サーバー内で、SSL化した自社サイトがスパムとして認識されることがないように、保守管理をしてくださっている業者さんにサイト監視のソフトに自社サイトがチェックされない設定を念のためお願いしました。

サーバーをお借りしている会社に上司と行って、打ち合わせをしました。SSL証明書の購入とWEBへの反映、リダイレクトの設定をお願いしてスケジュール確認しました。たくさんアドバイスをいただいて本当にありがたかったです。

常時SSL化の作業の開始

サイトをクローズさせての作業は常時SSL化後のアクセスが集中し、アクセスできない場合の対応がむずかしいという意見があって、講義での「無停止でSSL化の手順」に沿って、ノンストップでSSL化することにしました。

バックアップ　

最初にフォルダ全体をバックアップ　作業中はプラグインを使わず　xml sql　を毎日バックアップし、リビジョンも全部残す設定をしました。毎日する記事の更新は止めずにやりました。

SSL証明書を取得、運用をはじめる

httpとhttps を並行稼働させました。httpsについては社内のIPアドレスのみhttpsもアクセス可能にし、それ以外はhttpのみアクセス可能で、httpsにアクセスした場合、httpにリダイレクトするよう設定。 その後、常時SSL化の予告告知をしました。おおよその公開予定。ホームぺージはクローズしないこと。入力が暗号化されることなどをサイトのページに告知したりメールで知らせたりしました。

httpsで表示させて、表示の崩れをチェック。クロームの開発ツールで混合コンテンツのチェック

WordPressのテンプレートやエントリー内の変更 テンプレートは変更後FTPで上書きするつもりだったのですが、http:// ではじまる作り方をしていなかったので、チェックだけすみました。 エントリー内の変更は必ずhttp の管理画面でしました。 httpからhttps の書き換えについては講義通りにはしないで、SSL認証が外れた場合の復旧も考えてドメイン後の/から始まる形になおしました。
静的なページもまじっていて、そちらも書き換えが必要でした。プラグインで全部一括で変更するのは怖かったので小分けして変えていきました。混合コンテンツでひっかかったのはプラグインのCSSで読み込まないものがあったこと。こちらはプラグインの使用をやめました。

すべてチェックをしてから　WordPressの設定変更　リダイレクトの設定を行う

WordPressの設定変更すると管理画面に入れないことがあるときいていたので、設定変更するときは気休めになるかどうかわかりませんでしたが、PC3台に同じ設定画面を出して、更新ボタンをおしました。結局大丈夫でした。

WEB上に完了のお知らせをしました。それと同時に社内のメールの署名の変更、メールニュースを流す際のURL変更をお願いしました。

検索エンジンへの登録

グーグルサーチコンソールの新しいプロパティをつくって　サイトマップの再送信　 Fetch as　Google 設定　　グーグルの検索でおおよそhttpsに変更されるまでに1週間かかりました。

10年ほど前にWordPressで作ったサイトで、その後入れ子になっているWordPressのサイトも作って、静的ぺージや別のphpのページもあって、心配したのですが「保護された通信」とアドレスバーに全ページ表示されたときはうれしかったです。やった～