混合コンテンツの警告と WordPress の SSL 設定の解決

公開: 2017-04-03

混合コンテンツの警告と WordPress の SSL 設定の解決

有能なウェブサイトを作成するには、サイトの所有者、サイトを作成するために雇われた人、サイトの管理者またはマネージャー、そして最も重要な視聴者に至るまで、さまざまな問題を考慮する必要があります.

一般に、ほとんどのオンライン ショッパーとユーザーは、オンライン セキュリティについてますます懸念を抱くようになっています。 SSL 証明書は、意味のあるすべての e コマース ストアまたは Web サイトに必要な形式になっています。

実際、これは Web サイトが PCI に準拠するために定められた条件の 1 つです。 オンライン ユーザーは、機密情報をサイトと共有する前に、「HTTPS」、ロック アイコン、拡張 SSL 証明書の緑色のバーなどの SSL 証明書の手がかりを探します。

オンラインで成功するには、自分のセキュリティとサイトへの訪問者のセキュリティの両方に注意を払う必要があります。 「サイト ダウン」エラー メッセージや Web ブラウザの警告は誰も見たくありません。 サイトを SSL 証明書で保護するだけでは十分ではありません。 Web ブラウザーまたは Web サーバーで適切に構成されていることを確認する必要があります。

この記事の目的は、安全な Web ページと、スクリプト イメージやフォームなどの安全な資産を提供する方法、およびブラウザーのセキュリティ エラーを見つけて解決する方法を示すことです。

HTTPS の基本

Hypertext Transfer Protocol Secure または HTTPS は、インターネット上の安全な通信に使用されます。 HTTPS を使用するページにアクセスすると、URL に https:// が表示され、ブラウザにロック アイコンが表示されます。

パスワード、クレジット カード番号、その他の機密ユーザー情報などの機密情報は、HTTPS を使用して安全に送信する必要があります。 HTTPS ブラウジングを有効にするには、SSL 証明書を購入して Web サーバーにインストールする必要があります。

ページは、キャッシングの理由から HTTPS フォームを含めても HTTP 経由で提供できます。 これの欠点は、セキュリティで保護されたサイト (南京錠のアイコンと緑色のバーのアドレス) に関連付けられたキューがユーザーに表示されないことです。

最も重要なことは、フォーム、スクリプト、画像などの HTTP アセットを含む Web ページが HTTPS 経由で提供されると、ブラウザーが警告を表示することです。 ブラウザの警告メッセージは、一部のサイト訪問者に警告を発し、トランザクションやフォームを完了させない原因となる可能性があります。

WordPress HTTPS

サーバーに SSL 証明書を正常にインストールしたら、WordPress サイトに HTTPS を実装する必要があります。 プロセスを進めるための 3 つの有効な方法を次に示します。

オプション 1: すべてのページを強制的に HTTPS にする

すべてのページを強制的に HTTPS にするのが最も簡単なオプションです。 ただし、HTTPS ページではキャッシュが有効になっていないため、適切ではありません。 WordPress の一般設定に移動し、WordPress アドレス (URL) とサイト アドレス (URL) を HTTP から HTTPS に変更することで、HTTPS 経由で WordPress のすべてのページを提供できます。

オプション 2: 個々のページを HTTPS に制限する (最も一般的)

ほとんどの場合、SSL 証明書を必要としない残りのページはデフォルトで HTTP を介してロードされますが、HTTPS を介してロードする必要がある機密情報を含むページがいくつかあることがわかります。

サーバー側を使用してこれを有効にするか、チェックボックスを提供するプラグインを利用できます。 プラグインを使用すると、ページを HTTPS でロードする必要がある場合にチェックボックスを簡単にオンにするか、HTTP ロードの場合はオフのままにしておくことができます。 このようなプラグインの良い例は次のとおりです。

  • ワードプレス HTTPS (SSL)
  • より良い WP セキュリティ

オプション 3: HTTPS ログインを強制する、または HTTPS ログインと HTTPS 管理の両方を強制する

ログインページは、フィッシングなどのサイバー攻撃から保護する必要があります。 そのため、ログイン ページと管理ページを保護することが理想的です。 次の 2 つの wp-config.php 定数を設定することで、ログイン ページと管理ページで HTTPS を強制することができます。

  • define ('FORCE_SSL_LOGIN,' true);
  • define ('FORCE_SSL_ADMIN,' true);

FORCE_SSL_ADMIN定数を設定すれば、FORCE_SSL_LOGINは同梱されているので別に設定する必要はありません。

HTTPS ページでの HTTP アセットの識別

あなたが待ち望んでいた記事の重要な部分は次のとおりです。

  1. すでに SSL 証明書を正しくインストールしており、アドレス バーに手動で入力して HTTPS 経由で閲覧できる場合は、 と
  2. HTTPS プラグインと a/orwp-config.php 定数がセットアップされ、機能しています。
  3. ブラウザに「安全でないコンテンツ」または「暗号化されていないコンテンツの警告」が表示されます。

次に、Web サイトに非 HTTPS コンテンツがあることを証明します。 混合コンテンツに関するブラウザのセキュリティ警告を解決するいくつかの方法を次に示します。

1.ソースを表示

この方法では、HTTPS 経由でページを読み込み、ページの任意の場所を右クリックします。 次に、ブラウザに応じて、[ページのソースを表示]、[ソースを表示]、または [ソース] をクリックします。

「検索」コマンド (編集 -> 検索または Ctrl+F または Cmd+F) を使用して、以下を検索します。

src="http:

(二重引用符で)

src='http:

(一重引用符付き)

この方法では、HTTPS ではなく HTTP 経由で提供される画像、iframe、スクリプト、およびその他のアセットを手動で探します。 二重引用符と一重引用符が見つからない場合は、他の HTTPS ページに移動して、ソース ビューを検索するのと同じ手順を繰り返すことができます。

2. プラグインを使用する

次のように、利用可能なプラグインのいずれかを使用して、ソースを表示し、ページから非 HTTP コンテンツを見つけることができます。

  • WordPress HTTPS (SSL) (上記も参照)
  • WordPress HTTPS テスト
  • SSL の安全でないコンテンツ フィクサー

これらのプラグインを使用して HTTPS 経由でサイトを閲覧すると、プラグインは HTTP アセットの通知を表示します。 一部のプラグインは管理者にのみ表示され、他のプラグインはすべての訪問者に警告を表示するため、テストしていない間はプラグインをアクティブのままにしないように注意してください。

3.サードパーティのウェブサイトを使用して安全でない資産をテストする

ページの URL をサード パーティの Web サイトに貼り付けてテストすることで、サード パーティの Web サイトを利用して安全でないアセットをテストできます。

このようなサード パーティ サイトの良い例は、''Why No Padlock?'' です。Why No Padlock は、安全に読み込まれていないすべてのアイテムのリストを提供する無料のテスト サイトです。 テーマまたはプラグインの赤い X をすべて修正してから、[URL をもう一度テスト] ボタンをクリックして、赤い X を完全に削除する必要があります。

4. Google を使用してウェブサイトを調査する

Google を使用することは、高速で簡単で、アクセスできるどのページでも使用できるため、最良の方法の 1 つです。 Google Chrome のインスペクターには [コンソール] タブがあります。 以下の 2 列目と 3 列目でわかるように、HTTPS ページのアドレス バーに黄色または赤が表示されている場合は、コンソールを開いて安全でないアセットを見つけてください。

Google インスペクト

安全に読み込まれていないアセットを修正する方法

テーマまたはプラグインを保持することにした場合は、次の方法を使用して修正できます。

  1. プラグイン開発者に連絡して、エラーを報告してください。 必ずプラグインを無効にしてください。
  2. 開発者の助けを借りて一部のファイルを変更したり、問題を修正したりできます
  3. ウェブサイトのテーマを変更すると役立つ場合があります
  4. 現在インストールされているテーマのファイルを変更することもできます。

アセットを HTTP から HTTPS に変更する

問題のあるアセットを見つけたら、次のように、プロトコルを尊重するように変更するか、常に HTTPS によって提供されるように変更できます。

1: 相対 URL を使用する

アセットがテーマまたはプラグインにハード コードされている場合は、「http://site.com/assets/logo.png」から「//site.com/assets/logo.png」に変更できます。

この修正は、API スクリプト、iframe、Google スクリプトなどの他のサーバーからのアセットを含める場合に最適です。

2: 適切な WordPress コーディング標準の使用

最後に、一部の頑固なエラーは、相対 URL を使用しても解決できません。 次の方法でエラーを解決できます。

  • home_url() と関連する関数
  • is_ssl()
  • WordPress Function Reference (赤字のものは非推奨なので避けてください)
  • WP_DEBUG cab も役に立ちます