混合コンテンツの確認と対策方法【WordPress】
投稿日:2020/06/18 (更新日:)
- 混合コンテンツ(Mixed Content)とは
- 混合コンテンツを放置すると悪影響が生じる
- サイト内の混合コンテンツ部分を確認する方法
- 混合コンテンツの対策方法はWordPressのプラグインが便利
- 「Really Simple SSL」の使い方
- 混合コンテンツは一刻も早い対応を
サイト上でパスワードやクレジットカード番号などの機密性が高い情報を入力する場合、第三者に情報を盗聴・改ざんを防ぐために、SSL化(https)をするサイトが標準化になってきました。
SSL化(https)をしているサイト中には「混合コンテンツ」が残されていていることがあります。
サイト内に混合コンテンツが残されている状態を放置していると、様々な悪影響が生じます。
今回のコラム記事では、混合コンテンツとは何か、混合コンテンツを放置すると、どのような悪影響が生じるのか、混合コンテンツを確認する方法、混合コンテンツを対策する方法(※)について解説をしています。
※ WordPressでサイト運用しているのを想定しています
混合コンテンツ(Mixed Content)とは
混合コンテンツ「Mixed Content(ミックス・コンテンツ)」とは、SSL化(https://~~)されたページの中に、非SSL(http://~~)のURLが読み込まれている状態のことを指します。
URLの先頭には、httpとhttpsのどちらかが含まれています。
両者の違いは暗号化の有無で、httpは暗号化されていない通信形式で、httpsは暗号化された通信形式になります。
ユーザーが利用するブラウザとサーバーの間で行われる通信を暗号化(https)することで、第三者に盗聴やデータの改ざんをされるのを防ぐことができます。
サイトをSSL化させるには、認証局からSSLサーバー証明書を発行してもらうのですが、サイト内にある一部のコンテンツ(画像・動画・スクリプト・CSSなど)が、非SSL(http)のURLで混ざっていることがあります。
良い例 | 悪い例 | |
---|---|---|
画像 | <img src="https://~~"> | <img src="http://~~"> |
動画 | <video src="https://~~"> | <video src="http://~~"> |
スクリプト | <script src="https://~~"> | <script src="http://~~"> |
CSS | <link href="https://~~"> | <link href="http://~~"> |
コンテンツ内にSSL(https)と非SSL(http)のURLが混在していることを「混合コンテンツ」または「混在コンテンツ」などと呼ばれています。
Google Chromeでは混合コンテンツを段階的に警告・ブロックする
Googleでは、ブラウザ「Google Chrome(グーグル・クローム)」の安全性を高めるために、サイト内にある混合コンテンツを段階的に完全ブロックをすると公式発表をしています。
Googleのセキュリティブログ内で2020年2月6日に公開した記事によると、混合コンテンツの警告・ブロック(Chromeのデスクトップ版)のスケジュールが掲載されています。
引用元:https://security.googleblog.com/2020/02/protecting-users-from-insecure_6.html
2020年3月にリリース予定だった「Chrome 81」から全ての混合コンテンツに対して、警告メッセージが表示されています。
その後、Chromeがバージョンアップをするにつれて、段階的に混合コンテンツを警告・ブロックしていき、2020年10月リリース予定の「Chrome 86」で全ての混合コンテンツをブロックするようです。
混合コンテンツの中でも多くのサイトで影響が生じると予想される「画像」「動画」「音声」などは、最後の方のアップデートで完全ブロックが実施されます。
ただし、新型コロナウイルスの影響で「Chrome 81」のリリースが2020年4月になったり「Chrome 82」がスキップされ「Chrome 83」が2020年5月にリリースされるなど、スケジュールが変更になっていて、今後も混合コンテンツのスケジュールが変更になる可能性があります。
混合コンテンツを放置すると悪影響が生じる
サイト内の混合コンテンツを放置しておくと、様々な悪影響が生じる可能性があります。
- SSL(https)のセキュリティ効果が弱まる
- エンゲージメントの低下や売上が減少になる恐れがある
それぞれ詳しく解説をしていきます。
SSL(https)のセキュリティ効果が弱まる
混合コンテンツがあるページは、通信が暗号化されていないため、SSL本来のセキュリティ効果が弱まってしまいます。
サイトを訪れるユーザーの安全性を保護するためにも、サイト全体をSSL化(https)にする「常時SSL」にして、混合コンテンツを対策する必要があります。
エンゲージメントの低下や売上が減少になる恐れがある
Chromeが混合コンテンツを段階的にブロックするすることで、サイトのエンゲージメント(信頼性)低下や売上が減少になる可能性があります。
日本国内のブラウザでは、Chromeはトップクラスのシェアを誇ります。
デバイス | ブラウザシェア(日本) 2020年5月 |
シェアランキング |
---|---|---|
モバイル | 33.32% | 2位 |
タブレット | 24.69% | 2位 |
デスクトップ | 55.74% | 1位 |
引用元:https://gs.statcounter.com/
混合コンテンツがブロックされると、画像や動画などが非表示になるので、ユーザーの離脱や検索順位の低下につながる可能性があります。
さらに、サイトのアクセス低下や売上が減少になる可能性もあるので、混合コンテンツをみつけたら早期に対策をするのが重要になってきます。
サイト内の混合コンテンツ部分を確認する方法
サイト内の混合コンテンツ部分をChromeで確認する方法を紹介していきます。
まず、ChromeのアドレスバーにあるURLがhttpsにも関わらず「保護されていない通信」と表示されていたら、Chromeに混合コンテンツと判定されています。
具体的にどの部分が混合コンテンツなのか確認をするには、Chromeのデベロッパーツール(検証機能)を使用します。
デベロッパーツールを立ち上げるには、Chromeの画面右上にある設定アイコン(︙)をクリックして「その他のツール」→「デベロッパー ツール」と選択をします。
デベロッパーツールが立ち上がったら画面右上にあるタブ「Console」をクリックすると「Mixed Content(混合コンテンツ)」と警告が表示されているはずです。
警告の部分を選択すると、どのコンテンツが混合コンテンツなのか確認をすることができます。
混合コンテンツの対策方法はWordPressのプラグインが便利
混合コンテンツを解消するには、非SSL(http)からSSL(https)のURLに変更します。
WordPressを利用してサイト運用をしている場合は、プラグインを使えば手軽にサイト内にあるコンテンツを非SSL(http)からSSL(https)のURLへ置換することができます。
今回は、プラグインの「Really Simple SSL」を使ってサイト全体を常時SSL化させる方法をご紹介します。
「Really Simple SSL」の使い方
それではプラグイン「Really Simple SSL」の使い方をご紹介していきます。
大まかな流れは以下の通りです。
- プラグインのインストール
- SSLの有効化
- 動作確認
プラグインのインストール
WordPressの管理画面(ダッシュボード)に移動します。
管理画面から「プラグイン」→「新規追加」と選択します。
画面右上にある検索の入力フォームから「Really Simple SSL」とキーワードを入力して「今すぐインストール」を選択します。
SSLの有効化
プラグインをインストールしたら「有効化」を選択します。
有効化をすると「SSLに移行する準備がほぼ完了しました。」とメッセージが表示されるので、青いボタン「はい、SSLを有効化します。」を選択します。
「SSLを有効化しました。」とメッセージが表示されれば、設定は完了です。
混合コンテンツが解消されたのか確認をする
「Really Simple SSL」の設定が完了したら、サイト内の混合コンテンツが解消されたか確認をしましょう。
ブラウザ(Chrome)のアドレスバーに鍵のアイコンが表示されているか確認をします。
鍵のアイコンをクリックすると「この接続は保護されています」と表示されているはずです。
さらに、Chromeのデベロッパーツール(検証機能)を立ち上げます(※)。
※ 画面右上にある設定アイコン(︙)をクリック→「その他のツール」→「デベロッパー ツール」と選択
デベロッパーツール(検証機能)を立ち上げたら「Console」にMixed Content(混合コンテンツ)の警告が消えていることを確認できれば、サイト内の混合コンテンツが解消したことになります。
なお「Really Simple SSL」のプラグインを停止(削除)すると非SSL(http)に戻ってしまうので、注意しましょう。
混合コンテンツは一刻も早い対応を
混合コンテンツについて解説をしました。
ブラウザのChromeが混合コンテンツを完全にブロックする前に、一刻も早い対応をとることをオススメします。
また、Chrome以外のブラウザである
- Safari(サファリ)
- Microsoft Edge(マイクロソフト・エッジ)
- Internet Explorer(インターネット・エクスプローラー)
- Mozilla Firefox(モジラ・ファイアーフォックス)
なども、将来的に混合コンテンツを完全にブロックする可能性が高いと予想されます。
混合コンテンツの中でも、特に「画像」がブロックされるのは、多くのサイトで影響が出ると思います。
サイト内の混合コンテンツをみつけたら今回ご紹介した方法で、非SSL(http)からSSL(https)のURLへ変更をしましょう。