「Xserverで無料SSLを設定したのに、なぜかまだhttpのままになっている」「リダイレクトの設定方法がわからなくてhttpsとhttpが混在している」——そんな状況に陥ったことはありませんか?
SSL化は「証明書を設定するだけ」ではありません。サーバーパネルの設定・WordPressのURL変更・.htaccessのリダイレクト設定・混在コンテンツの解消——この4つがすべて揃って初めて完全なSSL化 が完了します。どれか1つでも欠けていると、鍵マークが表示されなかったり「保護されていない通信」の警告が出続けたりします。
正しくSSL化を完了させないと、Googleの検索評価が不完全なまま、ブラウザが警告を表示し続け、訪問者が離脱する原因になります。この記事では、XserverでWordPressを運営している方向けに、SSL化から完全なhttpsリダイレクトまでをミスなく完了させる全手順を解説します。
この記事を読むとわかること:
XserverでSSL証明書を設定する手順(サーバーパネル操作)
WordPressのURLをhttpsに変更する手順(管理画面・データベース)
.htaccessにhttpsリダイレクトを設定する正しいコードと注意点
混在コンテンツ(半SSL状態)の原因と解消方法
よくある失敗(リダイレクトループ・DNS待ち)とその解決策
🔒 SSL標準搭載・設定は管理画面から一発
エックスサーバー|無料SSL・高速化機能が全プラン標準装備
国内シェアNo.1。無料SSL証明書の自動設定・自動更新に対応。初心者でもサーバーパネルからワンクリックでSSL化が完了します。
✅ 初期費用無料キャンペーン実施中(期間限定)
※月額990円〜。独自ドメイン永久無料特典付き
SSL化とhttpsリダイレクトが必要な本当の理由 httpとhttpsの技術的な違い httpとhttpsの本質的な違いは「通信の暗号化」です。httpはデータを平文で送受信するため、通信経路上で第三者に盗聴・改ざんされるリスクがあります。httpsはTLS(Transport Layer Security)プロトコルによって通信を暗号化しており、ログイン情報・フォーム入力・決済情報などが安全に保護されます。
Googleは2014年にhttpsをランキングシグナルとして採用しました。当初は軽微な影響でしたが、現在ではhttpのサイトはChromeで「保護されていない通信」と表示され、ユーザーの信頼性・滞在率・コンバージョン率に直接影響します。
SSL化の完了状態別 SEO・UXへの影響
🔒 SSL化の状態別 SEO・UX総合評価スコア
※SEO評価・UX・信頼性を総合した筆者独自の評価スコア。
特に注意が必要なのは「半SSL状態」 です。SSL証明書は設定済みでhttpsでアクセスできるのに、ページ内の画像やスクリプトがhttpで読み込まれている状態(混在コンテンツ)では、Chromeが鍵マークを表示しません。SEO的にも「SSL設定した」とはみなされない場合があります。
💡 混在コンテンツ(Mixed Content)とは: httpsのページ内で、一部の画像・CSS・JavaScriptなどがhttp://で読み込まれている状態のことです。ブラウザはこれを「安全でないコンテンツが含まれる」と判断して鍵マークを表示しません。SSL証明書を設定しただけでは解消されず、データベース内のURLを一括でhttpsに置換する作業が必要です。
あなたの状況に合った対応手順はどれ? 現在の設定状況に応じて必要な手順が変わります。以下のフローチャートで確認してみましょう。
🔍 SSL設定フローチャート
Q1. Xserver(エックスサーバー)でWordPressサイトを運営していますか?
YES(Xserver利用中) NO(他のサーバー)
ℹ️
Xserver以外でも基本的な手順は同じです
この記事のWordPress設定・.htaccess設定・混在コンテンツ対処法はXserver以外のサーバーでも共通して使えます。サーバーパネルの操作画面のみXserver固有ですが、SSL証明書の設定メニューはどのサーバーも同様の手順です。なお、安定したSSL環境でWordPressを運営したい方にはエックスサーバーがおすすめです。
最初からやり直す ↺
Q2. XserverのサーバーパネルでそのドメインのSSL設定をONにしましたか?
YES(設定済み) NO(まだ設定していない)
⚙️
STEP1から始めよう!まずサーバーパネルでSSL設定
XserverサーバーパネルのSSL設定メニューから証明書を追加することがすべての出発点です。以下の「XserverでSSL化を完了させる5ステップ」のSTEP1から順番に進めてください。
最初からやり直す ↺
Q3. WordPressの管理画面「設定 → 一般」でサイトURLがhttpsになっていますか?
YES(httpsになっている) NO(まだhttp)
⚠️
WordPress URL変更が必要!STEP2へ
サーバーのSSL設定だけではWordPressのURLは自動でhttpsになりません。WordPress管理画面の「設定→一般」でWordPressアドレスとサイトアドレスの両方をhttpsに変更してください。この手順を飛ばすと混在コンテンツが大量発生します。
最初からやり直す ↺
Q4. .htaccessにhttpsへのリダイレクト設定を追記しましたか?
YES(追記済み) NO(まだ)
📄
.htaccess設定が必要!STEP3へ
.htaccessへのリダイレクト追記がないと、http://で直接アクセスしてきたユーザーがhttpsに転送されません。この記事のSTEP3で正しいコードと書き方を確認してください。特に「# BEGIN WordPressの外側に追記する」点が重要です。
最初からやり直す ↺
Q5. ブラウザのアドレスバーに鍵マーク(🔒)が表示されていますか?
YES(鍵マークあり) NO(警告または鍵なし)
✅
SSL化・httpsリダイレクト設定完了!
おめでとうございます!すべての設定が正しく完了しています。最後にGoogle Search ConsoleにhttpsのURLプロパティを登録して、完全な状態にしましょう。チェックリストセクションで最終確認を行ってください。
最初からやり直す ↺
🔍
混在コンテンツの確認が必要です
鍵マークが表示されない場合は混在コンテンツが残っている可能性が高いです。ブラウザのF12(デベロッパーツール)→Consoleタブで「Mixed Content」エラーが出ていないか確認してください。「Better Search Replace」プラグインでデータベース内のhttpをhttpsに一括置換する作業が必要です。この記事の「混在コンテンツ完全対処法」セクションを参照してください。
最初からやり直す ↺
SSL化の方式と.htaccessリダイレクトの比較 SSL証明書の種類と選び方
比較項目
Xserver自動SSL
Let’s Encrypt手動
独自SSL証明書
費用
無料
無料
有料(年数千円〜)
設定難易度
★☆☆☆☆(簡単)
★★★☆☆
★★★★☆
更新作業
自動
自動
手動 or 自動
反映時間
即時〜数時間
即時〜数時間
数時間〜1日
信頼性
高
高
最高(EV SSL等)
WordPressブログ向き
⭐⭐⭐⭐⭐
⭐⭐⭐
⭐⭐
WordPressブログ・アフィリエイトサイトであればXserverの無料SSL(Let’s Encryptベース)で十分です。自動更新・ワンクリック設定の利便性が最大の強みです。
.htaccessリダイレクトの書き方比較
リダイレクト方式
概要
用途・推奨度
RewriteRuleによる301リダイレクト
全httpアクセスを301でhttpsへ恒久転送
最も一般的・WordPress標準・推奨
RewriteCondでwwwも統一
https+wwwなしに統一してURLを正規化
ドメイン正規化も同時対応・中級向け
Header always setによるHSTS
2回目以降のアクセスでSSLを強制(ブラウザキャッシュ)
上級者向け追加設定・単体では不可
SSL化前後の変化 SSL化・httpsリダイレクトを正しく完了させると、サイトへの信頼性・SEO評価がこれほど変わります。
😔 Before|SSL化前・httpのまま
😔 Chromeで「保護されていない通信」と警告表示され訪問者が不安になる
😔 Googleの検索順位でhttpsサイトに対して不利な評価を受ける
😔 お問い合わせフォームや決済ページで信頼性が著しく低下する
😔 SNSシェア時に「安全でないサイト」の警告が出ることがある
😔 URLを見た訪問者がセキュリティ懸念で離脱するケースがある
✅ After|SSL化・httpsリダイレクト完了後
✅ アドレスバーに鍵マークが表示されて訪問者の信頼性が向上する
✅ GoogleのSEO評価が改善・httpsをシグナルとして検索順位に好影響
✅ httpでアクセスしても自動的にhttpsへ301リダイレクトされる
✅ 混在コンテンツエラーがなく完全なSSL状態が維持される
✅ 訪問者がフォームや決済ページに安心して情報を入力できる
XserverでSSL化を完了させる5ステップ 以下の手順を上から順番に実施してください。合計で約18分で完了します。
STEP 1|所要時間:約3分
サーバーパネルでSSL証明書を設定する
https://www.xserver.ne.jp/login_server.php にアクセスしてサーバーパネルにログイン
「SSL設定」メニューを開いて対象のドメインを選択する
「独自SSL設定追加」タブをクリックして「確認画面へ進む」→「追加する」をクリック
「SSL設定一覧」タブで「反映待ち」と表示される(数分〜数時間で「設定済み」に変わる)
「設定済み」に変わったことを確認してからSTEP2に進む
⚠️ 注意:ドメイン取得・DNS変更直後はSSL設定できない場合があります。DNS伝播(最大48時間)を待ってから設定してください。
STEP 2|所要時間:約2分
WordPressの「サイトアドレス」をhttpsに変更する
WordPress管理画面 → 「設定」→「一般」を開く
「WordPressアドレス(URL)」を http://ドメイン から https://ドメイン に変更する
「サイトアドレス(URL)」も同様にhttpsに変更する(2箇所とも変更必須)
「変更を保存」をクリック(変更後にログアウトされる場合があるためパスワードを手元に用意)
⚠️ この手順を飛ばすと.htaccessだけでは混在コンテンツが大量発生します。必ず実施してください。
STEP 3|所要時間:約5分
.htaccessにhttpsリダイレクト設定を追記する
XserverのファイルマネージャーまたはFTPで /public_html/.htaccess を開く
以下のコードを「# BEGIN WordPress」という行の上に 追記する
保存後にブラウザのシークレットモードでhttps://ドメイン にアクセスして鍵マークを確認
さらにhttp://ドメイン にアクセスして自動的にhttpsにリダイレクトされることを確認
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# BEGIN WordPress
⚠️ リダイレクトコードは必ず「# BEGIN WordPress」より上に書いてください。# BEGIN〜# END WordPress の内側に書くとWordPressが上書きして消えてしまいます。
STEP 4|所要時間:約5分
混在コンテンツ(http画像・リンク)を修正する
WordPressプラグイン「Better Search Replace」をインストール・有効化する
「検索語句」に http://ドメイン名 を入力する(例:http://example.com)
「置換後の文字列」に https://ドメイン名 を入力する(例:https://example.com)
「テーブルを選択」で全テーブルを選択して「ライブ実行」で置換する
置換後にブラウザのコンソール(F12)で「Mixed Content」エラーが消えたことを確認
⚠️ 置換前に必ずデータベースのバックアップを取ってください。Xserverの自動バックアップまたはUpdraftPlusで事前にバックアップを確認してから実施してください。
STEP 5|所要時間:約3分
最終確認・Google Search Consoleへの反映
ブラウザのアドレスバーに鍵マーク(🔒)が表示されることを確認
Chrome DevTools(F12)→「Security」タブで「Certificate is valid」を確認
Google Search ConsoleにhttpsバージョンのURLプロパティを登録(未登録の場合)
旧httpプロパティと新httpsプロパティを両方登録してインデックス状況を比較・管理する
📖 関連記事
WordPressの開設手順はこちら(Xserver+WordPress完全ガイド)
混在コンテンツ(Mixed Content)エラーの完全対処法 混在コンテンツとは何か・なぜ発生するか 混在コンテンツとは、httpsのページ内でhttp://から始まるURLで画像・CSS・JavaScriptなどが読み込まれている状態です。WordPressでは記事内に貼り付けた画像URLや、テーマ・プラグインにハードコードされたURLがhttpのまま残っていることが主な原因です。
「SSLを設定してhttpsでアクセスできるのに鍵マークが出ない」という状態が典型的な混在コンテンツの症状です。Chromeは1つでもhttp://のリソースが含まれると鍵マークを表示しません。
混在コンテンツの発生パターン別対処法 パターン1:記事内の画像URLがhttpのまま
WordPressのメディアライブラリで管理されている画像のURLがhttpのままデータベースに記録されているケースです。Better Search Replaceを使って「http://ドメイン名」を「https://ドメイン名」に一括置換することで解消できます。
パターン2:外部スクリプトのhttp読み込み
テーマやプラグインがJavaScriptやCSSをhttp://から読み込んでいる場合です。Chrome DevToolsのConsoleタブで「Mixed Content」エラーが示すURLを確認して、テーマのfunctions.phpやプラグインのソースコードでhttpsに修正します。
パターン3:ハードコードされたURL
テーマのstyle.cssやPHPファイルにhttp://が直接書かれているケースです。FTPでファイルを検索して修正します。
パターン4:iframeの埋め込みURLがhttp
YouTubeやGoogleマップなどの埋め込みコードが古いhttp://形式になっている場合です。埋め込みコードを最新のhttps://版に更新してください。
確認ツール「Why No Padlock?」の活用 混在コンテンツを自動スキャンしてくれるウェブサービス「Why No Padlock?」(whynopadlock.com)を使うと、どのURLがhttpで読み込まれているかを一覧で確認できます。Better Search Replaceで置換後も鍵マークが出ない場合はこのツールで残った混在コンテンツを特定してください。
🔒 SSL標準搭載・設定は管理画面から一発
エックスサーバー|無料SSL・自動更新でトラブルフリー
エックスサーバーはSSL証明書の設定・更新が完全自動。サーバーパネルからワンクリックで設定でき、期限切れの心配がありません。
✅ 初期費用無料キャンペーン実施中(期間限定)
※月額990円〜。独自ドメイン永久無料特典付き
実際のSSL設定でよくある失敗とその解決策 SSL設定時に実際に遭遇しやすい3つのトラブルと解決策を紹介します。
CASE 01 | .htaccessトラブル
リダイレクトループが発生した
📌 状況: .htaccessにリダイレクト設定を追記したら「このページにはリダイレクトが多すぎます」エラーが発生して管理画面にもフロントにもアクセスできなくなった
🔍 原因: Xserverが独自で行うSSLリダイレクト処理と.htaccessの設定が競合して無限ループが発生した。または「# BEGIN WordPress」の内側にリダイレクトコードを書いてしまった
🔧 解決: FTPでバックアップ済みの.htaccessを再アップロードして元の状態に戻す→Xserverパネルの「自動リダイレクト設定」を確認→競合しないコードに修正して再設定
💡 教訓:.htaccess編集前にFTPでバックアップを必ず取ること
CASE 02 | 混在コンテンツ
鍵マークが出ているのに警告が消えない
📌 状況: SSL証明書は設定済みでhttpsでアクセスできるのに、Chromeで「保護されていない通信」が表示されて鍵マークが出ない
🔍 原因: WordPressの「サイトアドレス」がhttpのままでデータベース内の画像URLがすべてhttp://から始まっていたため混在コンテンツが大量発生していた
🔧 解決: WordPress一般設定でURLをhttpsに変更→Better Search Replaceでデータベース内URLを一括置換→Consoleエラーが完全消去されて鍵マークが表示されるように
💡 教訓:SSL設定はサーバー・WordPress・.htaccessの3箇所すべてを確認する
CASE 03 | DNS問題
SSL証明書の反映に12時間以上かかった
📌 状況: Xserverのサーバーパネルでドメインを追加してすぐにSSL設定を試みたが「反映待ち」のままSSLが有効にならず12時間以上経過した
🔍 原因: ドメインのDNS設定の変更(ネームサーバーの切り替え)がまだ全世界のDNSサーバーに伝播していない状態でSSL発行を試みたためLet’s Encryptの認証が失敗していた
🔧 解決: DNS伝播完了(24〜48時間)を確認するツール(dns-checker.org等)でXserverのDNSに向いていることを確認してから再設定→即時反映
💡 教訓:ドメイン取得・移管直後のSSL設定はDNS伝播後に行う
SSL化完了チェックリスト すべての設定が正しく完了しているか、全項目チェックして確認しましょう。
よくある質問(FAQ)
XserverのSSL設定は無料ですか?
はい、Xserverでは全プランでLet's Encrypt(無料SSL証明書)が無料で利用できます。サーバーパネルの「SSL設定」メニューから追加でき、証明書の更新も自動で行われます。WordPressブログの用途では無料SSLで十分な信頼性と機能があります。有料の独自SSL(EV SSL等)はEC決済サービスや金融機関向けの用途が主です。
SSL設定後すぐにhttpsでアクセスできない場合はどうすればいいですか?
サーバーパネルで「設定済み」になっていても、SSL証明書の反映には最大で数時間かかることがあります。また、ドメインのDNS伝播が完了していない場合はSSL発行自体が失敗します。dns-checker.orgでXserverのDNSに向いていることを確認してから再設定してください。ブラウザのキャッシュが原因でアクセスできないように見える場合もあるため、シークレットモードでのアクセスも試してみてください。
.htaccessを編集してリダイレクトループになったときの対処法は?
リダイレクトループが発生した場合は、まずFTPまたはXserverのファイルマネージャーで.htaccessを開き、追記したRewriteRuleの行を削除またはコメントアウト(先頭に#を付ける)してください。事前にバックアップを取っていた場合はバックアップファイルを上書きアップロードして元の状態に戻します。主な原因はXserver側のリダイレクト処理との競合です。Xserverパネルで「自動リダイレクト設定」がONになっていないか確認してください。
wwwあり・wwwなしの統一はSSL設定と同時にできますか?
はい、.htaccessに追記するRewriteRuleにwwwの統一処理を組み合わせることで同時対応できます。例えば「wwwなしのhttpsに統一する」場合は以下のコードを使います。RewriteEngine On / RewriteCond %{HTTPS} off / RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] / RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC] / RewriteRule ^(.*)$ https://%1/$1 [R=301,L]。ただし複数のRewriteRuleを書く際は競合に注意が必要です。まずSSL化を確認してからwww統一を追加するのが安全です。
SSL化するとSEOに即効果がありますか?
SSL化自体はGoogleのランキングシグナルの1つですが、即日・劇的な順位変動はほぼありません。SSL化の効果は「https化によるランキング優遇」よりも「鍵マークによる信頼性向上→直帰率低下→滞在時間延長→間接的なSEO改善」という流れで現れることが多いです。ただし混在コンテンツが残っている半SSL状態ではSEO効果が不完全です。完全SSL化(鍵マーク表示)まで徹底することが重要です。
複数ドメインをまとめてSSL化することはできますか?
Xserverでは各ドメインごとに個別にSSL設定する必要があります。まとめて一括設定するボタンはありませんが、サーバーパネルのSSL設定メニューからドメインを選択するだけで設定できるため、複数ドメインでも1つずつ素早く設定できます。サブドメインは親ドメインとは別に個別のSSL設定が必要です。
Let's Encryptの証明書は更新が必要ですか?Xserverは自動更新ですか?
Let's Encryptの証明書は有効期限が90日です。Xserverでは自動更新が設定されているため、手動で更新作業を行う必要はありません。期限が近づいたタイミングで自動的に証明書が更新されます。ただし極めてまれなケースで自動更新が失敗することがあります。定期的にサーバーパネルのSSL設定一覧で「設定済み」になっているか確認する習慣をつけておくと安心です。
サブドメインもSSL化が必要ですか?
はい、サブドメイン(例:sub.example.com)も独立したドメインとして扱われるため、個別にSSL設定が必要です。Xserverではサブドメインも同様にサーバーパネルのSSL設定メニューから設定できます。ワイルドカード証明書(*.example.comで全サブドメインを一括カバー)はXserverの無料SSLでは対応していないため、サブドメインが多い場合は個別設定が必要です。
httpsにリダイレクトするとき301と302どちらが正しいですか?
SEO目的のhttpsリダイレクトには301(恒久的リダイレクト)を使うのが正しい選択です。301はGoogleなどの検索エンジンに「元のURLの評価・リンクエクイティを転送先URLに引き継ぐ」ことを伝えます。302(一時的リダイレクト)はSEO評価が引き継がれないため、httpsへの恒久的な移行には使用しないでください。この記事で紹介している[R=301,L]が正しいコードです。
SSL化後にGoogle Analyticsのデータはリセットされますか?
301リダイレクトを正しく設定してGoogle AnalyticsのトラッキングコードがhttpsのURL設定で機能していれば、データが突然ゼロにリセットされることはありません。ただしGA4のデータストリームの設定URLがhttpsになっていない場合は更新が必要です。また、Google Search Consoleではhttpとhttpsは別プロパティとして扱われるため、httpsのプロパティを新規追加して管理することをおすすめします。
まとめ|サーバー・WordPress・.htaccessの3点セットで完全SSL化 XserverでのSSL化・httpsリダイレクト設定の要点をまとめます。
🥇 XserverサーバーパネルでSSL証明書を設定する (「設定済み」を確認してから次へ)
🥈 WordPress一般設定でWordPressアドレス・サイトアドレスの両方をhttpsに変更する (この手順を飛ばさない)
🥉 .htaccessに301リダイレクトコードを「# BEGIN WordPress」の上に追記する
4️⃣ Better Search Replaceでデータベース内のhttpをhttpsに一括置換する (混在コンテンツの完全解消)
5️⃣ 鍵マークの表示・コンソールのMixed Contentエラー消去を確認してGoogle Search Consoleに登録する
サーバー設定・WordPress設定・.htaccessの3点セットが揃って初めて完全なSSL化が完了します。 どれか1つでも欠けると半SSL状態になってしまいます。チェックリストを使って全項目を確認してから、ブログ運営を安全な状態で進めていきましょう。
📖 関連記事
ブログ開設の基本はこちら
🏠 トップページ
ブログ運営全般の情報はこちら
🔒 SSL標準搭載・設定は管理画面から一発
エックスサーバー|無料SSL・高速化機能が全プラン標準装備
国内シェアNo.1。無料SSL証明書の自動設定・自動更新に対応。初心者でもサーバーパネルからワンクリックでSSL化が完了します。
✅ 初期費用無料キャンペーン実施中(期間限定)
※月額990円〜。独自ドメイン永久無料特典付き
