HTTPで稼働しているWordPressサイトを常時SSL、HTTP/2化する方法（実践編）：とにかく速いWordPress（16）（2/3 ページ）

エンタープライズ用途での利用が増えている「WordPress」の高速化チューニングテクニックを解説する本連載。今回は、KUSANAGIで稼働しているWordPressサイトを「常時SSL、HTTP/2化する手順」を実践していきます。

[中村けん牛，プライム・ストラテジー]

常時SSL、HTTP/2化する際に発生する「混在コンテンツ」の問題を解消する

　HTTPで稼働していたWordPressサイトを常時SSL、HTTP/2化すると、大抵は「混在コンテンツ」の問題に悩まされます。

　混在コンテンツとは、ページのHTMLそのものはSSLで保護されるようになったものの、ページを構成するリソースにHTTPでの呼び出しが混ざってしまっているコンテンツのことを指します。その部分はSSLでの保護を受けられません。

　具体的には、CSS、JavaScript、画像ファイルなどのリソースがHTTPで呼び出される場合が多いです。また、CSSやJavaScriptそのものがSSLで保護されていたとしても、その中で呼び出されるリソースがHTTPであった場合も混在コンテンツに該当します。

　Webページが「完全にSSLで保護」されていれば、ブラウザのアドレスバーに明示的にそれが表示されます。例えばGoogle Chromeでは、「鍵マーク」と「保護された通信」の文字列が表示され、それをクリックすると「保護された接続　お客様がこのサイトに送信した情報（パスワード、クレジットカード番号など）が第三者に見られることはありません」と表示されます（図1）。

図1　Webページが完全にSSLで保護されている場合

　一方、完全ではない混在コンテンツのあるサイトでは、鍵マークではなく「iマーク」が表示され、そこをクリックすると「このサイトへの接続は完全には保護されていません　このサイトで目にする画像は、悪意のあるユーザーによって差し替えられたものである可能性があります」などと表示されます（図2）。

図2　混在コンテンツのあるサイトの場合

　なお、2017年1月にリリースされた「Google Chrome バージョン56」から、HTTP接続の一部Webページに対して、ブラウザのアドレスバーへ「保護されていません」と警告が表示されるようになりました（図3）。このアップデートでは、WordPressのログイン画面などのようにパスワードを入力するHTTP接続のWebページと、クレジットカード番号を入力するHTTP接続のwebページが対象となりますが、グーグルは原則として、全てのWebサイトの管理者にHTTPからHTTPSへの切り替えを推奨しています。ユーザーへ安全を促すために、HTTPSを用いていないWebサイトには今後もっと厳しい表示となっていくことが予想されます。

図3　HTTP接続のWebサイトへ「保護されていません」と警告が表示されるようになった

（参考リンク）Moving towards a more secure web - Google Security Blog

（参考リンク）HTTPS をランキング シグナルに使用します（Googleウェブマスター向け公式ブログ）