by Access Japan
販売ドメイン 8567(2020/07/14追加)

1本入荷しました

4本入荷しました

4本入荷しました

  • ブロンズ…4485
  • シルバー…2813
  • ゴールド…602
  • プラチナ…667
VISA,mastercard,JCB,AMERICAN ECPRESS,Diners Club INTERNATIONAL,PAYPAL

混合コンテンツの確認と対策方法【WordPress】

投稿日:

Twitter Facebook はてなブックマーク

混合コンテンツの確認と対策方法【WordPress】

サイト上でパスワードやクレジットカード番号などの機密性が高い情報を入力する場合、第三者に情報を盗聴・改ざんを防ぐために、SSL化(https)をするサイトが標準化になってきました。

SSL化(https)をしているサイト中には「混合コンテンツ」が残されていていることがあります。

サイト内に混合コンテンツが残されている状態を放置していると、様々な悪影響が生じます。

今回のコラム記事では、混合コンテンツとは何か、混合コンテンツを放置すると、どのような悪影響が生じるのか、混合コンテンツを確認する方法、混合コンテンツを対策する方法(※)について解説をしています。

※ WordPressでサイト運用しているのを想定しています

混合コンテンツ(Mixed Content)とは

混合コンテンツ「Mixed Content(ミックス・コンテンツ)」とは、SSL化(https://~~)されたページの中に、非SSL(http://~~)のURLが読み込まれている状態のことを指します。

URLの先頭には、httpとhttpsのどちらかが含まれています。

両者の違いは暗号化の有無で、httpは暗号化されていない通信形式で、httpsは暗号化された通信形式になります。

ユーザーが利用するブラウザとサーバーの間で行われる通信を暗号化(https)することで、第三者に盗聴やデータの改ざんをされるのを防ぐことができます。

サイトをSSL化させるには、認証局からSSLサーバー証明書を発行してもらうのですが、サイト内にある一部のコンテンツ(画像・動画・スクリプト・CSSなど)が、非SSL(http)のURLで混ざっていることがあります。

  良い例 悪い例
画像 <img src="https://~~"> <img src="http://~~">
動画 <video src="https://~~"> <video src="http://~~">
スクリプト <script src="https://~~"> <script src="http://~~">
CSS <link href="https://~~"> <link href="http://~~">

コンテンツ内にSSL(https)と非SSL(http)のURLが混在していることを「混合コンテンツ」または「混在コンテンツ」などと呼ばれています。

オールドマスク
<a>タグで外部サイトのリンクを設置する場合、リンク元のページとは別のコンテンツなので、外部サイトのリンクが非SSL(http)でもブロックされることはありません。

Google Chromeでは混合コンテンツを段階的に警告・ブロックする

Googleでは、ブラウザ「Google Chrome(グーグル・クローム)」の安全性を高めるために、サイト内にある混合コンテンツを段階的に完全ブロックをする公式発表をしています。

Googleのセキュリティブログ内で2020年2月6日に公開した記事によると、混合コンテンツの警告・ブロック(Chromeのデスクトップ版)のスケジュールが掲載されています。

Chromeによる混合コンテンツの警告・ブロックのスケージュール予定表

引用元:https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html

2020年3月にリリース予定だった「Chrome 81」から全ての混合コンテンツに対して、警告メッセージが表示されています。

その後、Chromeがバージョンアップをするにつれて、段階的に混合コンテンツを警告・ブロックしていき、2020年10月リリース予定の「Chrome 86」で全ての混合コンテンツをブロックするようです。

混合コンテンツの中でも多くのサイトで影響が生じると予想される「画像」「動画」「音声」などは、最後の方のアップデートで完全ブロックが実施されます。

ただし、新型コロナウイルスの影響で「Chrome 81」のリリースが2020年4月になったり「Chrome 82」がスキップされ「Chrome 83」が2020年5月にリリースされるなど、スケジュールが変更になっていて、今後も混合コンテンツのスケジュールが変更になる可能性があります。

混合コンテンツを放置すると悪影響が生じる

サイト内の混合コンテンツを放置しておくと、様々な悪影響が生じる可能性があります。

  • SSL(https)のセキュリティ効果が弱まる
  • エンゲージメントの低下や売上が減少になる恐れがある

それぞれ詳しく解説をしていきます。

SSL(https)のセキュリティ効果が弱まる

混合コンテンツがあるページは、通信が暗号化されていないため、SSL本来のセキュリティ効果が弱まってしまいます

サイトを訪れるユーザーの安全性を保護するためにも、サイト全体をSSL化(https)にする「常時SSL」にして、混合コンテンツを対策する必要があります。

エンゲージメントの低下や売上が減少になる恐れがある

Chromeが混合コンテンツを段階的にブロックするすることで、サイトのエンゲージメント(信頼性)低下や売上が減少になる可能性があります。

日本国内のブラウザでは、Chromeはトップクラスのシェアを誇ります。

デバイス ブラウザシェア(日本)
2020年5月
シェアランキング
モバイル 33.32% 2位
タブレット 24.69% 2位
デスクトップ 55.74% 1位

引用元:https://gs.statcounter.com/

混合コンテンツがブロックされると、画像や動画などが非表示になるので、ユーザーの離脱や検索順位の低下につながる可能性があります。

さらに、サイトのアクセス低下や売上が減少になる可能性もあるので、混合コンテンツをみつけたら早期に対策をするのが重要になってきます。

サイト内の混合コンテンツ部分を確認する方法

サイト内の混合コンテンツ部分をChromeで確認する方法を紹介していきます。

Chromeのアドレスバー

まず、ChromeのアドレスバーにあるURLがhttpsにも関わらず「保護されていない通信」と表示されていたら、Chromeに混合コンテンツと判定されています。

具体的にどの部分が混合コンテンツなのか確認をするには、Chromeのデベロッパーツール(検証機能)を使用します。

デベロッパーツールを立ち上げているところ

デベロッパーツールを立ち上げるには、Chromeの画面右上にある設定アイコン(︙)をクリックして「その他のツール」→「デベロッパー ツール」と選択をします。

デベロッパーツールでmixed content(混合コンテンツ)と警告画面が表示されているところ

デベロッパーツールが立ち上がったら画面右上にあるタブ「Console」をクリックすると「Mixed Content(混合コンテンツ)」と警告が表示されているはずです。

警告の部分を選択すると、どのコンテンツが混合コンテンツなのか確認をすることができます。

混合コンテンツの対策方法はWordPressのプラグインが便利

混合コンテンツを解消するには、非SSL(http)からSSL(https)のURLに変更します。

WordPressを利用してサイト運用をしている場合は、プラグインを使えば手軽にサイト内にあるコンテンツを非SSL(http)からSSL(https)のURLへ置換することができます。

今回は、プラグインの「Really Simple SSL」を使ってサイト全体を常時SSL化させる方法をご紹介します。

オールドマスク
プラグインを使用する前に、万が一に備えてWordPressのバックアップをとることを強くオススメします。

「Really Simple SSL」の使い方

それではプラグイン「Really Simple SSL」の使い方をご紹介していきます。

大まかな流れは以下の通りです。

  • プラグインのインストール
  • SSLの有効化
  • 動作確認

プラグインのインストール

WordPressの管理画面(ダッシュボード)に移動します。

WordPressの管理画面からプラグインの新規追加を選択するところ

管理画面から「プラグイン」→「新規追加」と選択します。

プラグインの「Really Simple SSL」をインストールするところ

画面右上にある検索の入力フォームから「Really Simple SSL」とキーワードを入力して「今すぐインストール」を選択します。

SSLの有効化

プラグインを有効化しているところ

プラグインをインストールしたら「有効化」を選択します。

SSLを有効化するところ

有効化をすると「SSLに移行する準備がほぼ完了しました。」とメッセージが表示されるので、青いボタン「はい、SSLを有効化します。」を選択します。

SSLが有効化されたところ

「SSLを有効化しました。」とメッセージが表示されれば、設定は完了です。

混合コンテンツが解消されたのか確認をする

「Really Simple SSL」の設定が完了したら、サイト内の混合コンテンツが解消されたか確認をしましょう。

Chromeを使ってアドレスバーに鍵のアイコンが表示されているところ

ブラウザ(Chrome)のアドレスバーに鍵のアイコンが表示されているか確認をします。

鍵のアイコンをクリックすると「この接続は保護されています」と表示されているはずです。

デベロッパーツールのConsoleで警告が消えているところ

さらに、Chromeのデベロッパーツール(検証機能)を立ち上げます(※)。

※ 画面右上にある設定アイコン(︙)をクリック→「その他のツール」→「デベロッパー ツール」と選択

デベロッパーツール(検証機能)を立ち上げたら「Console」にMixed Content(混合コンテンツ)の警告が消えていることを確認できれば、サイト内の混合コンテンツが解消したことになります。

なお「Really Simple SSL」のプラグインを停止(削除)すると非SSL(http)に戻ってしまうので、注意しましょう。

混合コンテンツは一刻も早い対応を

混合コンテンツについて解説をしました。

ブラウザのChromeが混合コンテンツを完全にブロックする前に、一刻も早い対応をとることをオススメします。

また、Chrome以外のブラウザである

  • Safari(サファリ)
  • Microsoft Edge(マイクロソフト・エッジ)
  • Internet Explorer(インターネット・エクスプローラー)
  • Mozilla Firefox(モジラ・ファイアーフォックス)

なども、将来的に混合コンテンツを完全にブロックする可能性が高いと予想されます。

混合コンテンツの中でも、特に「画像」がブロックされるのは、多くのサイトで影響が出ると思います。

サイト内の混合コンテンツをみつけたら今回ご紹介した方法で、非SSL(http)からSSL(https)のURLへ変更をしましょう。

マンガでわかるSEO対策【中古ドメインによろしく】

この記事を読んだ人はこれも読んでいます

混合コンテンツの確認と対策方法【WordPress】

この投稿が気に入ったら
シェアしてください。

Twitter Facebook はてなブックマーク

厳選されたオールドドメイン

SEOに効果的な
中古ドメインを探してみる
中古ドメイン一覧
  • サテライト

  • SEO対策

  • アフィリエイト

  • 高品質

  • 即時納品

  • 返品保証

中古ドメインでお悩みの方はこちらのまとめ記事をご覧ください アクセス中古ドメイン豪華2大キャンペーン!!全商品対象 中古ドメイン10本まとめ買いで最大10%オフ 無料会員登録で必ずもらえる!!500px(500円相当!!)アクセス中古ドメイン豪華2大キャンペーン!!全商品対象 中古ドメイン10本まとめ買いで最大10%オフ 無料会員登録で必ずもらえる!!500px(500円相当!!)

TLDでドメインを探す

パワーランクでドメインを探す

このエントリーに関連するタグ

アフィリエイター募集 中古ドメインを紹介して高額な報酬も狙えます!!いちばんやさしい初めての中古ドメイン
Loading...