ssl-icatch セキュリティ
       
         

【SSL化が簡単にできる】Really Simple SSLでセキュリティ強化

今回は、WordPress の強化、脆弱性の検出、SSL 証明書の生成により、サイトを「https」に簡単におこなうことができます。

また、設定をおこなうことでWordPress のセキュリティを簡単に向上することができます。

今回のポイント
  • ワンクリックで、サイトを「https」にすることが可能
  • 設定をおこなうことで、WordPress を強化
  • Really Simple SSL の有料版を使用するとさらに強化が可能

有料版とは

ここで、「有料版」について少しご説明します。

  • Agency:代理店。25のドメイン。また、エージェンシー無制限ライセンスには、別のマルチサイト プラグインがバンドルされています。
  • Professional:プロフェッショナル。5つのドメイン。
  • Personal:パーソナル。シングルライセンス。

以上となります。3種類違いは、ライセンスの違いになります。また、「無料版」との違いは全ての機能が使用できるところにあります。

「無料版」にはない主な機能は

  • HSTS プリロード リスト
  • セキュリティ ヘッダー
  • 混合コンテンツ修正プロ
  • HTTP 厳格なトランスポートセキュリティ
  • 高度な強化機能
  • 脆弱性対策
  • ログイン保護
  • プレミアムサポート

などになります。これらは「無料版」で設定できないようになっています。

それではさっそく、紹介していきたいと思います。

Really Simple SSL ダウンロードとインストール

まず、WordPress管理画面にある「プラグイン」の「新規プラグイン」を選択します。

【WordPress管理画面】プラグイン

次に、右上にある検索ボックスに「Really Simple SSL」と入力します。

【プラグイン】Really Simple SSL

インストール後は「有効化」にしてください。すると、WordPress 管理画面にある「設定」に「SSL セキュリティ」という項目が追加されます。

Really Simple SSL 簡単設定

それでは、Really Simple SSL の簡単設定をおこないます。

プラグインを「有効」にすると、SSL の設定に関する画面が表示されます。「SSL を有効化」を選択します。

もし、ホスティング会社のSSL の設定ができておらず証明書の検出ができなかった場合、次のような画面が表示されます。

【Really Simple SSL】証明書の検出ができなかった場合

SSL を有効化すると続いて、次にReally Simple SSL 一部機能の有効化をおこないます。

【Really Simple SSL】 一部機能の有効化

次に、適当なメールアドレスを設定します。

【Really Simple SSL】メールアドレスの設定

最後に、追加のプラグインを入れるかになります。これは、同意管理、法的文書、分析などのプライバシーに重点を置いたプラグインなどです。

【Really Simple SSL】追加するプラグイン

必要であれば「インストール」。そうでなければ「スキップ」で良いでしょう。

以上で簡単設定は以上です。

Really Simple SSL ダッシュボード

では次に、ダッシュボードについてです。

Progress 作業状況

【ダッシュボード】作業状況

これらは、どの作業が完了しているか「タスク」で表示しています。そして、パーセント表示で進捗率を表示しています。

終わっていない「タスク」は、「作業待ち」となっています。

ちなみに、「作業待ち」となっている「タスク」は選択できるようになっています。できるだけ「完了」の「タスク」にしましょう。

Status 状態

【ダッシュボード】状態

次に、これらは「サイトのスコア」を表しています。

まず、「Check SSL Health」(SSL の状態を検診)を選択することで現在のスコアを確認することができます。

また、「Qualys SSL Labs」では詳細なスコアを確認することができます。

Vulnerabilities 脆弱性

【ダッシュボード】脆弱性

そして、これらは「システム 全体の脆弱性を表示」を表しています。

例えば、WordPress のプラグイン、テーマなどアップデートについてなどです。

問題がなければ、緑色のアイコンでチェックが入ります。もし何かあれば、緑以外の色でアイコン表示されます。また、「Settings」や「Update」などの表示されます

Really Simple SSL 設定

それでは次に、設定について説明したいと思います。「有料版」の箇所は割愛させていただきます。

全般

まず、「全般」についてです。尚、画面右側にはNotifications(通知)が表示されています。

これは、設定項目に対する通知になり設定する際のヒントになるので活用しましょう。

【設定】全般
全般
  • すべての通知を無視する…OFFに設定
    • 通知が無効になります。
  • システムの状態
    • 現在のシステム状態をダウンロードできます。
  • プラグイン削除時にすべてのデータを削除…自由に設定
    • Really Simple SSL を削除時に設定ファイル含めすべて削除されます。
  • .htaccess ファイルの編集を中止…自由に設定
    • .htaccess ファイルの編集がおこなえなくなります。
メール
  • メールアドレス…適当なメールアドレスを設定
    • 設定したメールアドレスになります。
  • メール認証…認証設定する
    • メールアドレスの認証するため、「送信」をおこないます。
  • メールで通知…ONに設定
    • 重要な変更や更新などを通知します。

この個所では、「メール認証」をおこなってください。

「送信」ボタンを選択すると、任意設定したメールアドレスに「メールを認証する」リンクが送信されるので認証すること完了となります。

SSL

次に、「SSL」の設定になります。

【設定】SSL
Redirection
  • 転送方法…301 .htaccess 転送
    • 古いURLにアクセスしたユーザーを新しいURLに転送するための機能。
Mixed content
  • 混合コンテンツ修正機能…ONに設定
    • 保護されたサイト(https)に、保護されていないサイト(http)を介して読み込まれる要素がある場合などを修正する機能。
  • 混在コンテンツ修正機能 – init のフック…OFFに設定
    • フロントエンドの混在コンテンツ修正されない場合のみ有効にする。
  • 混在コンテンツ修正機能 – バックエンド…OFFに設定
    • WordPress の管理環境に混在コンテンツがある場合のみ有効にする。

この個所では、「転送方法」「混合コンテンツ修正機能」の2つを設定しましょう。

転送方法について

301 .htaccess リダイレクト」設定を有効にすると、Really Simple SSL は最適なリダイレクトを検出します。

しかし、検出されたリダイレクトによってループが発生する可能性があります。結果、サイトロックアウトという現象がまれに起きるようです。

対処方法

それでは、対処法ですが以下のようにおこなうことで対応できます。

対処法
  1. FTPソフトを使用して.htaccess ファイルを開く。
  2. .htaccess ファイルを開き #Begin Really Simple Security という行を探す。
  3. #BEGIN#END の 間を全て削除し、保存します。
  4. Really Simple SSL が .htaccess をこれ以上編集できないようにする。
    • ルート直下にあるwp-config.php を開く。
    • 先頭の PHP タグ の後に次の行を追加します。
      • <?php define( ‘RSSSL_SAFE_MODE’, TRUE );
  5. Really Simple SSL の設定を「301 PHP リダイレクト」に変更。
  6. wp-config.php ファイルからセーフモード定数を再度削除。

Security Headers

次に、「Security Headers」ですが以下の設定項目がありますが全て「有料版」となるため割愛させていただきます。

  • 推奨するセキュリティヘッダー
  • HTTP Strict Transport Security
  • Permissions Policy
  • Content Security Policy
  • Cross Origin Policy

脆弱性

次に、「脆弱性」についてになります。デフォルトで「ONに設定」されていると思いますが、以下の内容を確認して、OFFになっている場合は「ONに設定」しましょう。

【設定】脆弱性
Vulnerability scan
  • Enable vulnerability scanning…ONに設定
    • プラグイン、テーマ、またコアの脆弱性に関する情報を取得して通知する機能。
【設定】通知
Configuration-通知
  • プラグイン概要から通知…ONに設定
    • プラグイン、テーマの概要から通知が可能。
      • Really Simple SSL ダッシュボード…初期設定
      • サイト全体、管理者通知…初期設定
      • メール…初期設定

堅牢化

それでは次に、「堅牢化」になります。この設定はどこかしらの影響がでやすい箇所になります。

【設定】堅牢化

基本的には、「全てONに設定」で良いと思いますが、環境にあわせてOFFいすることで良いと思われます。

例えば、「組み込みのファイルエディターを無効化」をONにすると「テーマファイルエディター」が表示されなくなります。

【設定】組み込みのファイルエディターを無効化

ですので、「テーマフィルエディター」を使用する場合はそこだけOFFにするなど環境にあわせて設定すれば良いでしょう。

【テーマエディター】管理画面に表示されない原因はコレだった
テーマエディターが管理画面にあるらしいけど表示されていない。なぜだろうと思ったらプラグインが原因だった。原因から解決方法まで紹介。

Login Protection

次に、「Login Protection」ですが以下の設定項目がありますが全て「有料版」となるため割愛させていただきます。

  • Two-step verification
  • Password security
  • Limit Login Attempts

Access Control

そして最後に、「Access Control」ですがこちらも以下の設定項目は全て「有料版」となるため割愛させていただきます。

  • Region restrictions

まとめ

いかがだったでしょうか。

サイトを「https」に簡単におこなうことができます。

また、設定をおこなうことでWordPress のセキュリティを簡単に向上させることができます。

その設定についても、シンプルな設計になっているため簡単に設定できると思います。

今回のポイント
  • ワンクリックで、サイトを「https」にすることが可能
  • 設定をおこなうことで、WordPress を強化
  • Really Simple SSL の有料版を使用するとさらに強化が可能

ここまでお読みいただき、ありがとうございました。

コメント

タイトルとURLをコピーしました