Chrome で「安全ではありません」という Web サイトのメッセージを修正する方法
公開: 2024-11-11Chrome の「安全ではありません」という Web サイト メッセージは訪問者にとって非常に恐ろしく見え、ほとんどの訪問者を追い払ってしまうほどです。その結果、コンバージョン、売上、新規購読者など、達成しようとしていたあらゆることに別れを告げることができます。
言い換えれば、広告コピー、UX デザイン、サイトのパフォーマンスの最適化にどれだけの労力を費やしたとしても、「安全ではありません」というメッセージが表示されればサイトはほとんど役に立たなくなります。気になることはありませんか?ありがたいことに、原因も解決策も非常に簡単です。
このエラー メッセージは、サイトの Secure Sockets Layer (SSL) 証明書または HTTPS 構成に問題がある場合に表示されます。
この記事では、Chrome の「安全ではありません」ウェブサイト メッセージについて、その意味や修正方法など、知っておくべきことすべてについて説明します。また、サイトをさらに保護するために実行できるその他のセキュリティ対策や、どのツールを使用する必要があるか (Jetpack セキュリティ スイートなど) についても説明します。
Web サイトの「安全ではありません」というメッセージは何を意味しますか?
Chrome の「安全ではありません」というメッセージは、WordPress で構築されているか、その他のプラットフォームで構築されているかに関係なく、どの Web サイトでも表示される可能性があります。これは、Web サイトが HTTPS を使用していないか、アクティブな SSL 証明書がないことを示しています。
HTTPS の使用は現在、すべての Web サイト所有者にとって基本的に必須です。検索エンジンを持っていない場合、検索エンジンはランキングを下げたり、サイト訪問者に警告したりすることでペナルティを課します。
そして、訪問者がこれらの警告のいずれかを見た場合、おそらくサイトに留まらないと言っても過言ではありません。場合によっては、ブラウザで許可すらされないこともあります。
Web サイトでこのエラーが発生した場合は、すべてを停止して解決策を見つける必要があります。
HTTPSとは何ですか?
HTTPS は HTTP の安全なバージョンです。 「Hypertext Transfer Protocol Secure」の略です。 HTTPS を使用すると、サイトは送受信するデータに対してより安全な通信チャネルを提供します。
これは訪問者を保護するための最新の標準であり、ブラウザーと検索エンジンの両方が基本的にこれを使用することを要求します。
サイトで HTTPS を有効にするには、まず SSL 証明書が必要です。これは、サイトの ID と所有権を検証する一種のデジタル証明書です。
ほとんどの信頼できる Web ホストは SSL 証明書の自動構成を提供しており、これはホスティング プランの一部として無料で行われます。証明書の期限内更新など、ほとんどの作業は彼らが引き受けてくれます。
これは、優れたホスティング プロバイダーを選択する多くの理由の 1 つにすぎません。
HTTPS が Web サイトのセキュリティにとって重要なのはなぜですか?
サイトのセキュリティを向上させるためにできることはたくさんあります。ソフトウェアを最新の状態に保ち、2 要素認証を有効にし、セキュリティ プラグインを使用し、サイトを定期的にバックアップするなどのことができます。
ただし、HTTPS を有効にすることは、最も基本的でありながら効果的な対策の 1 つです。 「安全ではありません」という警告を防ぐだけでなく、次の理由から HTTPS を使用することをお勧めします。
- データの暗号化が容易になります。 HTTPS を有効にすると、訪問者とサイトのサーバー間で送信されるすべてのデータが暗号化されます。つまり、たとえ誰かがデータを傍受できたとしても、その内容を理解することはできないということです。
- データの改ざんを防ぎます。データの暗号化は改ざんの防止にも役立ちます。一部の一般的なサイバー攻撃 (リプレイ攻撃やパケット インジェクションなど) では、転送中のデータに変更を加えて脆弱性を悪用します。
- データ認証を提供します。 HTTPS を使用すると、フィッシング詐欺やその他の種類の偽のコンテンツではなく、意図した Web サイトに接続していることを確認できます。
- 信頼とセキュリティの信号を有効にします。 SSL 証明書を設定して HTTPS を使用すると、一部のブラウザではナビゲーション バーに信頼シグナルが表示されます。これらのシグナルを確認すると、訪問者が安心して購入や別の重要な行動を起こすことができるようになります。
アクセスしているサイトが HTTPS を使用しているかどうかはどうすればわかりますか?
Chrome を使用している場合は、ナビゲーション バーの左側にあるアイコンをクリックします。これは、訪問しているサイトのアドレスのすぐ隣にあります。
そのアイコンをクリックすると、サイトが安全な接続を使用しており、有効な SSL 証明書があるかどうかが表示されます。 「安全ではありません」というメッセージが表示された場合は、HTTPS 構成または SSL 証明書のいずれかに問題があることを意味します。
Web サイト訪問者向け: 「安全ではありません」というメッセージが表示された場合の対処方法
Chrome で「安全ではありません」というメッセージが表示された場合は、所有者が修正するまでその Web サイトにアクセスしないほうがよいでしょう。これは通常、サイトの SSL 証明書または HTTPS 構成に問題があることを示しています。
場合によっては、これは単純な見落としである可能性があります。ウェブサイトの所有者が SSL 証明書の更新を忘れた場合、サイトは安全であるにもかかわらず、問題が解決されるまで Chrome はユーザーに警告を発します。
エンド ユーザーは、「安全ではない」エラーが間違いであるかどうかを判断する方法がいくつかあります。 Chrome では、サイトの SSL 証明書をチェックして、その詳細がサイトと一致しているかどうか、有効期限が切れているかどうかを確認できます。
「安全ではない」とマークされたサイトにアクセスするかどうかは、ご自身の判断で決定してください。それでも、安全ではない Web サイトにアクセスした場合は、エラーが修正されるまでパスワードなどの機密情報を入力しないでください。
ウェブサイト所有者向け: Chrome で「安全ではありません」ウェブサイト メッセージを修正する方法
Web サイトに「安全ではありません」エラーが表示されている場合は、すぐに修正する必要があります。ほとんどの訪問者はあなたのサイトを避け、代わりに競合他社のサイトにたどり着く可能性があります。
前述したように、Chrome で「安全ではありません」というメッセージが表示されるのは、サイトの SSL 証明書 (証明書がないなど) または HTTPS 構成の問題が原因です。まずは証明書について話しましょう。
SSL 証明書を購入してインストールします (または無料のものを入手します)
Web サイトに SSL 証明書を使用するかどうかについては、交渉の余地がありません。コストが心配な場合は、Let's Encrypt などの機関から無料の SSL 証明書をセットアップできます。
これらの証明書 (エントリー レベルの証明書はドメイン検証済み (DV) 証明書として知られています) は、個人および中小企業の Web サイトに最適です。
大企業、大量のトラフィックを伴う e コマース ストア、またはエンタープライズ プロジェクトの Web サイトを運営している場合は、組織検証 (OV) または拡張検証 SSL 証明書など、より堅牢なタイプを選択することをお勧めします。
これらにはコストがかかり、アプリケーションにはある程度の検証とセキュリティ テストが必要になる場合がありますが、多くの場合、コンプライアンスの観点から必要となります。
SSL 証明書をインストールし、更新を管理してくれる Web ホストをお探しの場合は、ホスティング パートナーをご覧ください。
HTTPS URL のみを提供するように Web サイトを更新します。
サイトに SSL 証明書を設定したら、HTTPS 経由で読み込まれるように証明書を構成する必要もあります。そうしないと、使用しているブラウザに関係なく、Web サイトにアクセスしようとするとエラー メッセージが表示されます。
HTTPS を使用してコンテンツのみを提供するように Web サイトを構成するには、いくつかの方法があります。サイトで Apache サーバーを使用している場合は、その を変更できます。 htaccessファイルを使用して、すべての HTTP コンテンツを HTTPS 経由でリダイレクトします。
このアプローチを使用する場合は、コードの一部を編集する必要があるため、最初にサイトのバックアップを作成することが重要です。 WordPress では、Jetpack VaultPress Backup を使用してこれを行うことができ、サイトに変更を加えるたびにリアルタイムのバックアップも作成されます。
次に、ファイル転送プロトコル (FTP) 経由でサイトに接続します。サイトのルート ディレクトリに移動し、その中にある.htaccessファイルを探します。
テキスト エディタを使用してそのファイルを開きます。以下のスクリーンショットのようになりますが、サイトの設定に応じていくつかのカスタム構成が含まれる可能性があります。
次に、次のコード スニペットをコピーし、# END WordPress 行の前に追加します。他のコードには触れないように注意してください。
RewriteEngine On RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
このコードは 301 または永続的なリダイレクトを実装して、すべての HTTP トラフィックを HTTPS 経由でルーティングします。 301 リダイレクトを使用するのは、これが永続的な変更である必要があり、この方法でリンク エクイティを HTTPS URL に渡すことになるためです。
WordPress Web サイトをお持ちの場合は、プラグインを使用して HTTPS トラフィックのみを処理することもできます。たとえば、Really Simple SSL を使用すると、ファイルを手動でいじらなくても、ダッシュボードから無料の SSL 証明書をインストールしたり、サイトに 301 リダイレクトを追加したりできます。
混合コンテンツをチェックする
場合によっては、サイトの構成に問題があるため、すべてではなく一部のコンテンツが HTTPS 経由で読み込まれることがあります。その結果、混合コンテンツ エラーが発生し、Chrome で「安全ではない」という Web サイト メッセージの形で表示されることがあります。
混合コンテンツ エラーを確認するには、Chrome を使用してサイトにアクセスし、ページの 1 つを検査してブラウザの開発者ツールを開きます。
[セキュリティ]タブに移動し、 [セキュリティの概要] → [リソース]で内容を確認します。
理想的には、「セキュリティがすべて提供されています」というメッセージが表示されるはずです。混合コンテンツの警告は、サイトでの HTTPS の使用方法を再検討する必要があることを意味します。また、サイトで使用され、HTTP 経由で読み込まれるサードパーティのリソースに問題がある可能性もあります。
開発者ツールのコンソールを使用して、Web サイトにどのアセットが読み込まれているかを確認できます。コンソールでは混合コンテンツ リソースが強調表示されるので、それらを簡単に識別できます。
Apache サーバーの HTTPS 経由で HTTP トラフィックをルーティングする方法について以前に共有したコードは、すべてのコンテンツで機能するはずです。そのコードを使用した場合は、そのコードがサイトの.htaccessファイルに正しく追加されたことを再確認してください。
WordPress ユーザーの場合、混合コンテンツの警告が表示される可能性がある理由は他にもあります。場合によっては、古いメディア ファイルが頑固に HTTP を使用し続けることがあります。これらのファイルを再アップロードするか、Really Simple SSL などのプラグインを使用して、すべてのコンテンツを HTTPS 経由で強制的に読み込む必要がある場合があります。
サイトが Chrome によって安全であると認識されていることを確認します
上記の修正のいずれかを実装した後、Chrome でエラーが継続するかどうかを確認してください。 「安全ではありません」という Web サイト メッセージがまだ表示される場合は、実装した修正が機能しなかったことを意味します。
「安全ではない」メッセージは SSL 証明書または HTTPS の問題に関連付けられているため、両方がサイトで機能していることを確認する必要があります。有効な証明書が設定されており、すべてのコンテンツが HTTPS 経由で読み込まれるように適切に設定されている場合、エラー メッセージは完全に消えるはずです。
Web サイト所有者向けの追加の重要なセキュリティ対策
SSL 証明書と HTTPS の使用は、優れたセキュリティ対策です。しかし、サイトを安全に保ち、訪問者を悪意のある攻撃者から守るためにできることはたくさんあります。
ウェブサイトをさらに保護する効果的な方法をいくつか見てみましょう。
1. セキュリティ プラグインをインストールして、24 時間 365 日の保護を提供します
このアドバイスは WordPress ウェブサイト向けです。 WordPress を使用していない場合でも、サイトを保護するために活用できる素晴らしいセキュリティ ツールやサービスがたくさんあります。適切なオプションを見つけるだけで十分です。
どこから始めればよいかわからない場合は、このセクションで説明する機能のいくつかを含むツールを探してください。 WordPress ユーザーとしての最善の策は、Web サイトを多面的に保護するセキュリティ ソリューションを見つけることです。
Jetpack Security は、Web サイトを攻撃者から保護し、問題が発生した場合にコンテンツを復元するように設計された WordPress ツールのスイートです。これには、ダウンタイム監視、アクティビティ ログ、ブルート フォース攻撃に対する保護に加え、リアルタイム バックアップ ソリューション、リアルタイムのマルウェア スキャンと修正、スパム保護が含まれます。
特定のセキュリティ上の懸念がある場合は、バンドル内の個別の製品を選択することもできます。たとえば、VaultPress Backup は専用プラグインとして提供されます。単独で、または Jetpack Security の一部として、リアルタイムのバックアップを提供します。そのため、行ったすべての変更、受け取ったコメント、または受け取った注文は常に安全です。
一方、Jetpack Scan は、WordPress の脆弱性に関する最大のデータベース (定期的に更新されます) を利用して、Web サイトに何らかの脆弱性があるかどうかをチェックします。また、プラグインを使用すると、数回クリックするだけで既知の問題の大部分を修正できます。
Jetpack スイートには、Akismet Anti-Spam も含まれています。このプラグインは機械学習を使用してサイト上のテキスト送信 (コメント、フォーム、ユーザー登録も) をレビューし、99.99% の精度で迷惑な CAPTCHA を使用せずにスパムを自動的にブロックします。
Akismet Anti-Spam は、それを使用するサイトのネットワーク全体で 1 時間あたり約 750 万件のスパム送信をブロックします。また、すべてのデータのおかげで、新しい形式のスパムを検出する方法を継続的に学習します。
2. ソフトウェア、テーマ、プラグインを常に最新の状態に保つ
WordPress を使用している場合は、そのすべてのコンポーネント (コア ソフトウェア、インストールして有効化するプラグインやテーマなど) が常に最新であることを確認する必要があります。
ダッシュボードにアクセスし、 [更新]タブに移動すると、利用可能な更新をすばやく確認できます。これにより、更新が必要なサイト上のすべての要素の概要が得られます。
ソフトウェアの更新にはセキュリティ修正が含まれることが多いため、ソフトウェアの更新は不可欠です。開発者は、最初は気づかなかった脆弱性を発見したり、攻撃者が発見したセキュリティの抜け穴を塞いだりする可能性があります。
プラグインまたはテーマが更新されない時間が長くなるほど、脆弱になる可能性が高くなります。 WordPress も同様です。たとえば、まだ WordPress 5.0 を使用している場合は、既知の脆弱性の長いリストにさらされることになります。
もちろん、何かを更新する前に、更新によってエラーが発生した場合に復元できるようにバックアップを作成する必要があります。 Jetpack VaultPress Backup をお持ちの場合、作業はすでに完了しています。
いずれにしても、WordPress を頻繁に更新するようにしてください。理想的には、ダッシュボードにログインするたびに更新を確認する必要があります。
3. 管理アクセスに 2 要素認証 (2FA) を使用する
Web サイトへの管理アクセス権を持つ全員が 2FA を使用する必要があります。これにより、パスワード以外の別のセキュリティ要素が追加され、攻撃者がユーザーの資格情報を入手した場合でも、サイトにアクセスすることが困難になります。
おそらく、アクセスする Web サイトの一部ですでに 2FA を使用しているでしょう。認証アプリの使用を求めるサイトもあれば、電子メールまたは SMS で確認コードを送信するサイトもあるなど、実装はさまざまです。
2FA は一部のユーザーにとっては作業を少し難しくする可能性がありますが、サイトのバックエンドにアクセスできるすべての人にとっては不可欠です。これらは、より多くの管理者権限を持つユーザー アカウントです。攻撃者がこれらにアクセスすると、Web サイトに多大な損害を与える可能性があります。
WordPress を使用している場合は、Jetpack プラグインを利用して、管理者に WordPress.com アカウントでのサインインを要求できます。その後、2 段階認証の要件を有効にすることができます。
この機能は無料の Jetpack プラグインで利用できるため、誰でも使用できます。これは、より安全な WordPress ログイン プロセスを作成するための迅速かつ簡単な方法です。
私たちはあなたのサイトを守ります。あなたはビジネスを経営しています。
Jetpack セキュリティは、リアルタイム バックアップ、Web アプリケーション ファイアウォール、マルウェア スキャン、スパム保護など、使いやすく包括的な WordPress サイト セキュリティを提供します。
サイトを保護する4. Web アプリケーション ファイアウォール (WAF) をインストールする
Web アプリケーション ファイアウォールは、一連のルールに基づいてサイトへの接続を監視し、ブロックするソフトウェアです。最高の WAF 製品とプラグインは、通常、既知の攻撃者の大規模なデータベースを備えているため、多くの悪意のあるトラフィックをブロックできます。
WAF によっては、攻撃パターンや不審なユーザー アクティビティを識別できる場合もあります。全体として、適切な WAF を使用すると、Web サイトのセキュリティを大幅に向上させることができます。
WordPress を使用している場合、Jetpack プラグインには Web サイトの保護に有効にすることができる WAF が含まれています。これは、プラグインの設定から直接オンに切り替えることができるオプションです。
Jetpack ファイアウォールを使用すると、既知の攻撃者の大規模なデータベースを活用できます。自動ルールを有効にするには、Jetpack Scan または Jetpack Security ライセンスが必要です。
5. ウェブサイトを定期的にバックアップする
サイトの最新のバックアップを作成することは、セキュリティの問題や脆弱性を回避する最良の方法の 1 つです。攻撃者がアクセスに成功した場合、多くの場合、最近のバックアップを復元し、その時点から追加のセキュリティ対策を実装することで問題を解決できます。
バックアップに関する最大の問題は、サイトを以前の状態に復元するときにデータが失われることが多いことです。これは、最後にバックアップを作成したのが数週間前である場合に特に当てはまります。
Jetpack VaultPress Backup は、WordPress Web サイトのリアルタイム バックアップを提供します。これは、サイトに変更を加えるたびに、プラグインがそれを保存することを意味します。
VaultPress Backup を使用すると、最近のバックアップにアクセスできないという問題が解消されます。また、オフサイトのバックアップも保存されるため、サーバーに問題が発生した場合でも、サイトのコピーは安全に保たれます。
WordPress サイト向けの Jetpack セキュリティ
Jetpack Security は、WordPress サイトの保護に役立つ製品の完全なスイートを提供します。これらには、Jetpack Scan、VaultPress Backup、Akismet Anti-Spam などが含まれます。
Jetpack スキャンを使用すると、Web サイトでマルウェアと脆弱性の自動スキャンを実行し、クリックするだけでほとんどの問題を迅速に修正できます。このプラグインは、WordPress のセキュリティ脆弱性に関する既知の最大のデータベースを利用して、サイトを安全に保ちます。
Jetpack Scan を使用すると、プラグインの Web アプリケーション ファイアウォールの自動ルールにもアクセスできます。これらのルールは、Jetpack の既知の悪意のある攻撃者のデータベースのおかげで、攻撃者からサイトを保護するのに役立ちます。
VaultPress Backup を使用すると、サイトに変更を加えるたびにプラグインがサイトを安全に保ってくれるので、安心できます。このリアルタイム バックアップ テクノロジーにより、Web サイトを以前の状態に復元する必要がある場合でも、重要なデータを失うことがなくなります。
Jetpack Security を使用すると、ダウンタイムの監視とアクティビティ ログも利用できるため、Web サイトで起こっていることをすべて確認し、問題の原因となった可能性のあるアクション (および実行者) を特定できます。誰かがサイトにログインしたり、ページを更新したり、構成を変更したり、コア ファイルにコードを追加したりするたびに、そのすべてがアクティビティ ログに記録されます。
Jetpack Security は、2,700 万以上のインストール数を誇る WordPress にとって理想的な包括的なセキュリティ ソリューションです。
よくある質問
Chrome で「安全ではありません」という Web サイトのメッセージを修正する方法や、一般的にサイトを保護する方法についてまだ質問がある場合は、このセクションで答えます。
HTTPS とは何ですか? HTTP との違いは何ですか?
HTTPS は HTTP の安全なバージョンです。 HTTPS 経由で送受信するデータは、改ざんを防ぐために暗号化されます。 HTTPS を使用する Web サイトは、有効な SSL 証明書があることも意味します。
SSL 証明書は Web サイト上の情報をどのように保護しますか?
SSL 証明書は、Web サイトが本物であることを証明するデジタル証明書です。 HTTPS の使用を有効にすることで、Web サイト上の情報を保護できます。安全な HTTPS 接続はサイバー攻撃に対して脆弱ではありません。
Web サイト用の SSL 証明書を購入するにはどうすればよいですか?
サイトとその範囲によっては、SSL 証明書の料金を支払う必要がある場合があります。しかし、多くのサイトでは無料のものを使用できます。 Let's Encrypt などの一部の認証局は、Web サイトに簡単に設定できる無料の証明書を提供しています。
無料の SSL 証明書を使用できますか? それは安全ですか?
ほとんどのサイトでは無料の SSL 証明書を使用できますが、大規模な e コマース ストアなど、より高いセキュリティが必要なプロジェクトにはお勧めできません。ほとんどのサイトでは、無料の SSL 証明書ですべての要件が満たされます。
SSL 証明書の有効期限が切れることはありますか?その場合、更新を自動化できますか?
SSL 証明書には有効期限があります。サイト所有者が Web サイトを引き続き運営していることを確認できるように、セキュリティの問題として定期的に更新する必要があります。それでも、ほとんどの証明書の更新プロセスを自動化できます。無料の証明書を提供する Web ホストを使用している場合は、証明書も更新してくれる可能性があります。
Web サイトに「混合コンテンツ」の警告が表示された場合はどうすればよいですか?
サイトに混合コンテンツの警告が表示される場合は、そのすべてのコンポーネントが HTTPS 経由で読み込まれていることを確認してください。リクエストが HTTPS を経由するように強制するか、エラーの原因となっているコンテンツを特定して置き換えるには、リダイレクトを実装する必要がある場合があります。
Web サイトを保護するには、他にどのようなベスト プラクティスに従う必要がありますか?
SSL 証明書と HTTPS を使用する以外に、サイトのバックアップを定期的に作成することが常に最善です。また、悪意のあるトラフィックをブロックし、スパム防止ツールを使用し、2FA を有効にし、Web サイトのコンポーネントを最新の状態に保つために WAF を設定する必要があります。
Web サイトのセキュリティを強化するにはどのような種類のツールが推奨されますか?
サイトのセキュリティ ソリューションを探す場合は、リアルタイム バックアップ、マルウェアおよび脆弱性スキャナー、アクティビティ ログ、2FA、WAF を提供するオプションを検討してください。 Jetpack Security には、これらすべての機能とそれ以外の機能が含まれています。
Jetpack セキュリティ: WordPress ウェブサイトを安全にする迅速かつ簡単な方法
Chrome の「安全ではありません」という Web サイト メッセージは、発生する可能性のある複数の SSL エラーの 1 つです。 SSL 証明書と HTTPS は、最新の Web サイトにとって不可欠なセキュリティ対策ですが、サイトを保護できるのはそれだけではありません。
SSL 証明書を設定して HTTPS を有効にしたら、他のセキュリティ対策に進みます。 Jetpack Security を使用すると、単一のツール スイートで複数のセキュリティ改善を実装できます。これには、リアルタイム バックアップとマルウェア スキャン、ダウンタイム監視、ブルート フォース攻撃保護、アクティビティ ログなどが含まれます。
WordPress サイトを安全に保ちたい場合は、Jetpack セキュリティ スイートを試してみてください。 Jetpack VaultPress Backup、Jetpack Protect、Akismet Anti-Spam などの個別のプラグインを介して選択した機能にアクセスすることもできます。今すぐサイトのセキュリティを強化しましょう。