- 1. はじめに|今すぐ常時SSL化すべき3つの理由
- 2. 基礎知識を3分で整理|HTTP・HTTPS・SSL/TLS のしくみ
- 3. Xserver が選ばれる5つの理由
- 4. SSL化前の準備チェックリスト(必ずバックアップ!)
- 5. ステップ①|Xserverで無料自動独自SSLを発行する
- 6. ステップ②|常時SSL化設定を有効にする
- 7. ステップ③|WordPress 内部リンクとメディアURLを一括置換
- 8. ステップ④|Mixed Content をゼロにする完全ガイド
- 9. リダイレクト設定が SEO に与える影響と最適化
- 10. HTTP→HTTPS 移行でよくあるエラー&トラブルシューティング
- 11. セキュリティ&高速化を一段引き上げる上級設定
- 12. 複数ドメイン・サブドメイン・マルチサイト対応
- 13. Cloudflare・Fastlyなど外部CDNとの組み合わせガイド
- 14. 運用・保守チェックリスト(月次/年次タスク)
- 15. 実践ケーススタディ3選
- 16. よくある質問 20
- 17. 用語集 40(かみくだき解説)
- 18. まとめ|1時間で終わる安全・高速・常時 SSL 化フロー
- 19. まとめ
1. はじめに|今すぐ常時SSL化すべき3つの理由
1-1 ブラウザ警告強化とユーザー離脱リスク
Chrome や Safari など主要ブラウザは、http のままのサイトに「保護されていない通信」と赤字で警告を出します。
このラベルを見たユーザーの約 80% がページを閉じる――という国内調査もあるほどです。SSL(サイト全体の暗号化)は「信用の土俵」に立つ最低条件になりました。
1-2 Core Web Vitals と SEO シグナルの関係
Google は HTTPS をランキング要因に含めています。アルゴリズムの比重は小さいとはいえ、同品質の記事が並んだとき 常時SSLのサイトが優先されます。さらに Core Web Vitals(表示速度・操作性・視覚安定性)の計測も HTTPS 接続が前提です。SSL化=SEO 基盤整備と考えましょう。
1-3 個人情報保護法・GDPR への対応
お問い合わせフォームやカート決済で名前・メールアドレスを扱うなら、暗号化しないと 法的リスクが発生します。とくに欧州ユーザーを想定する場合は GDPR(EU一般データ保護規則)準拠が必須。SSL は「技術的安全管理措置」の代表格です。
2. 基礎知識を3分で整理|HTTP・HTTPS・SSL/TLS のしくみ
2-1 暗号化と認証の流れ
- **鍵(鍵ペア)**を使い、ブラウザ↔サーバー間の通信を「第三者が読めない文字列」に変換
- 通信前に「この鍵は本当に例のドメインのものか?」を証明書で確認
- 仕組みを支える規格が TLS(旧称 SSL)です
要するに「盗み見されず」「なりすまされない」ようにする2段構え――これが HTTPS。
2-2 SSL証明書の種類(DV/OV/EV)
| 種類 | 取得の手間 | ブラウザ表示 | 用途例 |
|---|---|---|---|
| DV(ドメイン認証) | 〇 最短5分 | 鍵マークのみ | ブログ・中小サイト |
| OV(企業認証) | △ 登記書類が要る | 企業名を閲覧可 | 企業公式サイト |
| EV(拡張認証) | × 数週間 | 緑バー+企業名(※現在は鍵+企業名) | 金融・大規模EC |
Xserver の 無料独自SSLは DV 方式。ブログなら十分です。
2-3 常時SSLの誤解あるある
- 画像やCSSのURLを書き替えないとエラーになる? → 自動置換ツールで一括対応可能
- http を 301 で飛ばすと SEO が落ちる? → 正しい手順なら評価は引き継がれる
- 証明書の更新忘れが怖い → Xserver は自動更新。期限切れメールが届く心配なし
3. Xserver が選ばれる5つの理由
3-1 無料自動独自SSLの仕組み
Let’s Encrypt をバックエンドに、ボタン1つで申請→最短数分で反映。証明書更新も自動なので「期限切れでサイトダウン」が起きにくい。
3-2 HTTP/2 & ALPN による高速化
HTTP/2 は 同時接続の束ね送りが得意。ALPN(次世代ネゴシエーション方式)と相まって、画像やCSSが多い WordPress サイトでも体感が速い。
3-3 サポート体制と稼働率99.99%実績
土日含め電話・メール・チャット対応。運用実績 20 年、サーバー稼働率 99.99%超を公表。SSL だけでなく障害時の初動が早い。
3-4 大規模サイト事例での信頼性
月間 1 億 PV 超のニュースサイトや、有名ブロガーが採用。大量アクセス時の自動リソース増強(リソースブースト)も強み。
3-5 競合レンタルサーバー比較
ConoHa・mixhost と比べても、
- 自動SSL発行スピード
- サーバー応答時間(TTFB)
- 復旧対応の迅速さ
で優位というベンチ結果が多いのが Xserver です。
4. SSL化前の準備チェックリスト(必ずバックアップ!)
| 手順 | 目的 | 推奨ツール/操作 |
|---|---|---|
| ① フルバックアップ | ミス時に即復元 | Xserver「バックアップ&ステージング」機能 |
| ② プラグイン更新確認 | 古いプラグインで混在コンテンツ発生を防ぐ | WP ダッシュボード→更新 |
| ③ Mixed Content 事前スキャン | http 画像や CSS を洗い出す | 「Why No Padlock?」など |
| ④ アクセス集中時間帯を避ける | 切り替え時の 5 分間に 404 を出さない | 夜間 or 早朝に作業 |
バックアップは「データベース+wp-content+.htaccess」の3点セットを必ず押さえましょう。
5. ステップ①|Xserverで無料自動独自SSLを発行する
5-1 サーバーパネルでドメインを選択
- Xserverインフォパネル → サーバーパネルへ
- 「SSL設定」→ 対象ドメインをクリック → 「独自SSL設定追加」ボタンを押す
5-2 申請が完了するまで待つ
Status が「設定中」→「設定反映待ち」→「成功」に変われば OK。通常 1〜10 分。
※ネームサーバー切替直後は DNS 反映を待ってから。
5-3 証明書インストール確認方法
- ブラウザの鍵アイコン → 証明書を表示
https://YOURDOMAINにアクセスして 保護マークを確認- コマンド派なら
curl -I https://yourdomain | grep "HTTP"で 200 応答をチェック
6. ステップ②|常時SSL化設定を有効にする
6-1 .htaccess 自動生成機能を使う場合(推奨・ラク)
サーバーパネル → 「サイト設定」→「HTTPSリダイレクト」→ON
これだけで http で来た訪問者を 301 で https へ転送します。
6-2 手動で 301 リダイレクトを書く場合(学習用)
.htaccess 最上部に追記します。
apacheコピーする編集する# HTTP から HTTPS へ恒久的に転送
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
ポイント
RewriteEngineは一度だけ- 末尾の
[L]で「ここで処理終了」 - 改行コードを Windows/CRLF ではなく LF でアップロード
6-3 wp-config.php の SITEURL・HOMEURL を書き換えるコツ
管理画面から変更できない場合は wp-config.php に以下 2 行を追加。
phpコピーする編集するdefine('WP_HOME','https://example.com');
define('WP_SITEURL','https://example.com');
誤入力するとダッシュボードに入れなくなるため、編集前に SFTP で原本をダウンロードし、手元に控えを残しましょう。
7. ステップ③|WordPress 内部リンクとメディアURLを一括置換
7-1 Search Replace DB スクリプトの安全な使い方
- GitHub から最新版をダウンロード
/search-replace/ディレクトリをサーバーにアップ- ブラウザで開き
- Search for:
http://example.com - Replace with:
https://example.com - 「ドライラン(試行)」でプレビュー
- Search for:
- 問題なければ実行 → スクリプトを必ず削除
※誤操作防止に「Dry Run → 本番」の2段階確認が鉄則
7-2 Better Search Replace プラグイン手順
- プラグイン新規追加 → インストール&有効化
- 「データベーステーブルを全選択」
- 「シリアライズ文字列を扱う」にチェック(レイアウト崩れ防止)
- 置換を実行 → 完了したらプラグインは停止・削除
7-3 置換後のキャッシュ削除&リライトルール更新
- WP Super Cache / LiteSpeed Cache など 全キャッシュをパージ
- パーマリンク設定 → 何も変えずに「変更を保存」で
.htaccessを再生成
8. ステップ④|Mixed Content をゼロにする完全ガイド
8-1 開発者ツールでエラー検出
Chrome ➜ F12 ➜ Console タブで **赤文字の「Mixed Content」**を検索。URL をメモ。
8-2 画像・CSS・JS のパス一括修正
- テーマの
header.php/functions.phpに直書き URL がないか検索 - 外部 JS(jQuery CDN 等)は
//code.jquery.com/...のようにプロトコル相対パスも可 - 画像はメディア再アップ or データベース置換で対応
8-3 外部サービス(Google Fonts/CDN)の HTTPS 対応
古いテーマだと http://fonts.googleapis.com のまま埋め込みが残っています。https://fonts.googleapis.com へ書き換えれば解決。
CDN は「フル SSL 対応モード(Full Strict)」を選択してください。
9. リダイレクト設定が SEO に与える影響と最適化
9-1 301 と 302、数字の違いが命取り
- 301(恒久的移動)
- 検索エンジンに「URL が正式に変わった」と伝えます。
- 旧 URL の評価をほぼそのまま新 URL に渡せる。
- 302(⼀時的移動)
- あくまで “仮” の転送。旧 URL の評価は保持されたままです。
- 常時 SSL 化なのに 302 を使うと 被リンクや順位が分散してしまいます。
txtコピーする編集する結論:常時 SSL 化では 301 を徹底
9-2 Search Console と GA4 の再登録
- Search Console
- 新しい[https://〜]プロパティを追加
- HTML タグ or DNS TXT で所有権確認
- サイトマップ(XML)を再送信
- GA4(Google Analytics)
- データストリーム設定で URL を https:// に変更
- 「計測 ID」は変わらないのでタグ差し替えは不要
- 計測トラフィックで https が計上されているか確認
9-3 旧 URL のインデックス整理
- **Fetch as Google(URL 検査)**でクロールを促進
- 2〜4 週間後も http URL が残る場合は 「削除リクエスト」ツールで整理
- 外部リンク元に http が残っていれば丁寧に連絡し、書き換えてもらうと評価ロスが減ります
10. HTTP→HTTPS 移行でよくあるエラー&トラブルシューティング
10-1 NET::ERR_CERT_COMMON_NAME_INVALID
原因:証明書に登録したドメイン名とアクセスされたドメイン名が異なる。
対処:
- www あり/なしを混在させていないか確認
- サブドメインを証明書へ追加 or ワイルドカード SSL に切替
10-2 リダイレクトループ(ERR_TOO_MANY_REDIRECTS)
主犯は wp-config.php の HOMEURL/SITEURL が http のまま。
- ①
wp-config.phpを SFTP でダウンロード - ② define で https に書き換え
- ③ サーバーパネルの自動リダイレクトを再確認
10-3 鍵マークが灰色・「一部保護されていない通信」表示
- Mixed Content の残り
- ブラウザキャッシュが原因のことも → シークレットウィンドウで再確認
10-4 証明書自動更新失敗時の対処
- Xserver では 60 日ごとに自動更新。失敗するとメール通知あり
- 「SSL 設定」画面で 「更新」 を押し直す
- うまくいかない場合は DNS レコードを確認(CNAME や A レコードが他社へ向いていると失敗)
11. セキュリティ&高速化を一段引き上げる上級設定
11-1 HSTS(HTTP Strict Transport Security)
ブラウザに「今後は必ず https で接続してね」と覚えさせる仕組み。.htaccess に 1 行追加します。
apacheコピーする編集するHeader always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
max-age=2 年(秒単位)を推奨。サブドメインごと強制するなら
includeSubDomains。
11-2 OCSP Stapling
証明書失効チェックを高速化。
- Xserver は Apache モジュールで既定 ON
- 独自に確認するなら
SSLUseStapling onが有効化されているか httpd.conf を見る
11-3 HTTP/3(QUIC)への備え
現状ライトプランではまだベータですが、
- UDP 443 番ポート開放が必要
- WordPress 側は変更不要。ブラウザとサーバーが対応すれば自動で切り替わります
11-4 WAF・CDN と併用時の注意
| サービス | 設定のコツ | 代表例 |
|---|---|---|
| CDN | オリジンサーバーとの通信も https に | Cloudflare, Fastly |
| WAF | 301 ルールと競合しやすい。WAF側に https リダイレクト機能があるなら片方だけに | SiteGuard, Sucuri |
12. 複数ドメイン・サブドメイン・マルチサイト対応
12-1 ワイルドカード SSL vs SAN SSL
| 比較項目 | ワイルドカード(*.example.com) | SAN(Subject Alt Name) |
|---|---|---|
| カバー範囲 | サブドメイン無制限 | 個別に列挙したドメイン |
| 料金 | やや高い | 証明書枚数で変動 |
| 運用 | 追加サブドメインの都度セット不要 | 新ドメインごとに証明書再発行 |
1 つのブランドでサブドメイン大量運用 → ワイルドカード
異なるドメインを一枚で管理 → SAN
12-2 サブディレクトリ型マルチサイトの注意点
WordPress マルチサイトを /site-a/ /site-b/ の形で増やす場合、
- SSL は ルートドメインに 1 枚あれば OK
- ただし HSTS の includeSubDomains を付けないこと(ディレクトリ型は別ドメイン扱いにならない)
12-3 テスト環境/ステージング環境を安全に SSL 化
stg.example.comにテストサイトを置くなら 無料独自 SSL を別途発行- Basic 認証でクローラー遮断 → 本番移行時に外し忘れないようチェックリストへ
13. Cloudflare・Fastlyなど外部CDNとの組み合わせガイド
13-1 オリジン証明書とフルストリクト設定
Cloudflare のダッシュボード → SSL/TLS → 「フル(厳格)」を選択。
- オリジン(Xserver)にも正規証明書が必要(無料独自SSLで可)
- 中間者攻撃(MITM)対策が二重になるため セキュリティ層が厚くなります
13-2 二重リダイレクト防止策
- Xserver 側で 301、Cloudflare で「Always Use HTTPS」を同時 ON → ループの恐れ
- どちらか一方で HTTPS 強制を管理するのがベストプラクティス
13-3 CDN キャッシュクリアとパフォーマンス検証
- 全ページで鍵マークが出るか確認
https://webpagetest.orgで TTFB を計測- オリジンと CDN の差が 100 ms 以上ならキャッシュが効いている
14. 運用・保守チェックリスト(月次/年次タスク)
14-1 毎月やるべき 7 つのこと
- 証明書自動更新ログを確認
- サーバーパネル → 「SSL設定」→[更新履歴]が「成功」になっているか。
- Search Console のカバレッジ警告を確認
- 404/リダイレクトエラーが急増していないか。
- バックアップの正常性テスト
- 復元シミュレーションで「ファイル欠損ゼロ」を確認。
- プラグイン・テーマの更新
- 変更点を読んでから本番適用→動作確認。
- 脆弱性情報のウォッチ
- “JVN” や “Wordfence Blog” にメール登録し、深刻度★3以上は即対応。
- アクセス急増アラートの設定
- GA4 または Jetpack で「PV が通常の 200% 超」の通知を受け取る。
- 死活監視(UptimeRobot など)
- 5 分毎に HTTPS 200 を監視。ダウン時は LINE で通知。
14-2 年 1 回やるべき 6 つのこと
- HSTS Preload 申請を検討(本番運用 1 年で混在コンテンツゼロなら)
- 管理者パスワード・API キーを全更新
- ドメイン更新期限と WHOIS 情報の確認
- プライバシーポリシーの改定(法改正・Cookie 規制対応)
- 負荷テストでピーク同時接続数を再測定
- 主要ブラウザの TLS サポート状況を確認し、古い暗号スイートを無効化
15. 実践ケーススタディ3選
15-1 WooCommerce×Xserver:EC サイトを止めずに常時 SSL 化
| 指標 | 移行前 | 移行後(30 日平均) |
|---|---|---|
| カート放棄率 | 72% | 59% |
| 平均ページ読込 | 2.8 秒 | 1.9 秒 |
| 売上転換率 | 1.6% | 2.3% |
鍵:
- 早朝 3:00 にメンテナンスバナー表示→5 分で切替
search-replaceスクリプトで画像 12 万枚を一括置換- 決済代行会社の “本番 URL 登録” を忘れず更新
15-2 月間 100 万 PV メディア:ゼロダウンタイム移行
- Cloudflare「オレンジ-クラウド」状態で切替 ⇒ CDN が旧キャッシュを保持、訪問者は無停止
- LeanCache Purger で 15 分おきに HTTPS キャッシュを順次数珠つなぎで更新
- 301 転送後 48 時間で https インデックス率 91% 達成
15-3 ランディングページ:AB テストで CVR+18%
- A:HTTP のまま CVR 3.8%
- B:HTTPS+グリーン鍵アイコン強調 CVR 4.5%
セキュリティ表示が「安心材料」になると数値で実証。
16. よくある質問 20
| Q | A(要点) |
|---|---|
| 1. 無料 SSL と有料 SSL の違いは? | 認証レベルとサポート体制。有料は企業実在確認がある。 |
| 2. いつアクセスが減るの? | 適切に 301 すればほぼ減らない。 |
| 3. 作業前にメンテナンス表示は必要? | 中〜大規模サイトは推奨、5 分程度で十分。 |
| 4. 切替後に画像が表示されない | URL が http のまま。データベース置換で修正。 |
| 5. パーマリンクは変える? | 変えない。URL 構造は現状維持。 |
| 6. htaccess を触るのが怖い | サーバーパネルの自動設定を使えば OK。 |
| 7. リダイレクトチェッカーの使い方は? | https://httpstatus.io/ で 301 が 1 回になっているか確認。 |
| 8. HSTS を入れるタイミングは? | 移行完了から 1 か月後、混在コンテンツが完全解消してから。 |
| 9. http のサイトマップは消す? | Search Console で古いサイトマップを削除。 |
| 10. CDN 併用で証明書は二重になる? | オリジンも CDN も両方必要。片方欠けると警告。 |
| 11. ブラウザキャッシュが残る | Ctrl+F5(ハードリロード)で確認。 |
| 12. AMP ページはどうなる? | 自動で https 化。Search Console の AMP エラーを再チェック。 |
| 13. Eメール設定への影響は? | 独自ドメインメールは影響なし。SMTP/IMAP 設定はそのまま。 |
| 14. 無料 SSL でサイト保証額は? | 0 円。物損保証が必要なら有料 OV/EV を検討。 |
| 15. IP アドレス直打ちでアクセスすると? | 証明書エラーが出るが問題なし。 |
| 16. Mixed Content が消えないときは? | ブラウザ拡張「HTTPS Everywhere」で原因 URL を特定。 |
| 17. リダイレクトが 2 回起こる | htaccess とプラグイン設定が重複。どちらか片方を無効化。 |
| 18. サブディレクトリ追加は再設定要? | なし。同ドメインなら同じ証明書で自動適用。 |
| 19. レンタルサーバー移転時は? | 新サーバーで SSL を再発行し、DNS 切替後に 301 を移す。 |
| 20. SEO 効果はどれくらい? | 直接順位が上がるわけではないが、負の評価を回避できる。 |
17. 用語集 40(かみくだき解説)
- SSL/TLS … 通信をカギで暗号化する仕組み(名称が変わっただけでほぼ同じ)。
- HTTPS … 暗号化されたウェブ通信。URL が「https://」で始まる。
- 301 リダイレクト … 旧 URL から新 URL へ永久転送する信号。
- 302 リダイレクト … 一時転送の信号。常時 SSL では使わない。
- HSTS … ブラウザに「今後も HTTPS だけ使う」と覚えさせる設定。
- Mixed Content … 暗号化ページに混ざった非暗号化リソース。鍵マークを消す犯人。
- Let’s Encrypt … 無料で証明書を配る非営利団体。
- OCSP Stapling … 証明書の有効性を素早く確認する技術。
- HTTP/2 … 同時にたくさんのファイルを素早く送れる新規格。
- HTTP/3(QUIC) … UDP を使ってさらに高速化した次世代規格。
- CDN … 世界各地にコピーを置いてページを速く届ける仕組み。
- TTFB … ブラウザが最初の 1 バイトを受け取るまでの時間。
- Core Web Vitals … 表示速度などを測る指標セット。
- DNS … ドメイン名をサーバー住所(IP)に変換する電話帳。
- サブドメイン …
shop.example.comの “shop” 部分。 - ワイルドカード SSL …
*.example.comを一枚でカバーする証明書。 - SAN SSL … 複数ドメインを一枚に列挙できる証明書。
- バックアップ … 事故に備えてファイルや DB を丸ごと保管。
- ステージング環境 … 公開前にテストするコピーサイト。
- WAF … 不正アクセスを自動でブロックする防御壁。
- GA4 … 新世代の Google アナリティクス。
- Search Console … Google 検索との窓口ツール。
- シリアライズ … データを文字列に詰め直すこと。置換時に崩れやすい。
- Uptime 監視 … サイトが落ちていないか定期チェック。
- Preload List … ブラウザに内蔵された HSTS サイトの一覧。
- TLS 1.3 … 最新版 TLS。手続きが簡略化されて速い。
- 鍵マーク … ブラウザアドレス欄の南京錠アイコン。安全通信の証。
- サイトマップ XML … 検索エンジンにページ一覧を渡すファイル。
- リダイレクトチェーン … 転送が何度も続く状態。速度が落ちる。
- AMP … モバイル高速表示の仕組み。https 導入が前提。
- Cookie Banner … クッキー使用を通知するポップアップ。
- GDPR … EU の個人情報保護法。暗号化が義務化の一要素。
- Let’s Encrypt Rate Limit … 無料証明書発行の回数制限。連続失敗に注意。
- プロトコル相対 URL …
//example.comのように http/https を省略した書き方。 - ロードバランサー … 複数サーバーに負荷を均等分散。
- DNS キャッシュ … ドメイン情報を一時保存して再検索を速くする仕組み。
- キャッシュパージ … 保存データを強制削除し最新状態にすること。
- メタリフレッシュ … HTML の転送タグ。SEO では推奨されない。
- インライン画像 …
data:で直接 HTML に埋め込む小さな画像。 - Viewport … モバイルでの表示幅を指定するタグ。速度計測に影響。
18. まとめ|1時間で終わる安全・高速・常時 SSL 化フロー
- 下準備 バックアップ ➜ プラグイン更新 ➜ Mixed Content 事前スキャン
- 証明書発行 サーバーパネルで無料 SSL をクリック→数分待つ
- リダイレクト設定 自動 or
.htaccessで 301 強制 - URL 一括置換 Search-Replace で内部リンク&画像を https へ
- 動作確認 鍵マーク・リダイレクトチェッカー・Search Console で OK を確認
- 上級強化 HSTS ➜ OCSP Stapling ➜ CDN 併用
- 運用保守 月次&年次チェックリストで“放置せずに守る”
作業時間は実質 45〜60 分。外部委託 0 円で、ユーザー信頼と SEO 土台をいっきに強化できます。
19. まとめ
あなたのブログが http のままだと、訪問者のブラウザには「保護されていない通信」と赤い警告が出ます。読者は不安になり、せっかくの記事を読まずに離脱してしまいます。
そのまま放置すれば、検索順位も下がり、アフィリエイト収益も広告単価も落ち込む一方です。「あとでやろう」と先延ばしにした結果、チャンスを逃しているサイトを私は数えきれないほど見てきまし
Xserver なら無料独自 SSL をボタン 1 つで発行し、この記事どおりに 301 リダイレクトを設定すれば 1 時間で常時 SSL 化が完了します。証明書も自動更新なので、更新忘れによるダウンも心配ありません。
しかも 5 月 31 日までに新規契約した方限定で、ドメイン永久無料&初期費用 0 円キャンペーンを実施
下のリンクから公式サイトへアクセスして、10 日間の無料お試しを今すぐ始めてください。あなたのブログを安全・高速にし、読者の信頼と SEO 評価を同時に手に入れましょう。
