やっと面倒な作業を経てサイトをSSL対応にできた~と喜ぶのはまだ早い、後からいろいろ出てきた確認事項についての個人的な備忘録です。同じところで引っかかってる方のため、自身が今後別のサイトで設定する場合の勿忘草として公開しておきます。
本文部分は「Search Regex」で、リダイレクトもしたけど・・・
リンク先の下の方で書いている通り、内部リンクや内部の画像リンクなどは「Search Regex」プラグインを使って一括変更(httpに「s」をつける)できました。そして.htaccessへ301転送の設定をして、もしも内部にまだSSL化していないURLがあったり外部からのアクセスはリダイレクトされるようにしました。でもまだ先は長かった・・・。
プラグインでWordPress内のコンテンツを格納するような機能のもの、例えば画像スライダーとかファイルを配布するためのものなどは自動的に変換されません。前述のリダイレクトが働いているので辛うじて機能している状態になっています。
これをブラウザは見逃してはくれません。トップページがちゃんと「保護された通信」って表示されていても、それらのプラグインで作成しているコンテンツを表示すると・・・「i」マークが出ます。つまり中途半端なSSL対応っていう状態なんですね。具体的に書かれてはいませんが、中途半端なSSL対応の方が未対応のサイトよりも悪質と判断されるかもしれないのでコツコツ直す必要があります。
Mixed Content・・・の元凶はアフィリエイトサービスだった
全部確認してこれでOKだと思ったのにまだ出るエラー。「Mixed Content: The page at’httpsのURL’was loaded over HTTPS, but requested an insecure image’httpの画像のURL’This content should also be served over HTTPS.」というやつです。
これは画像のURLにhttp(セキュアでないもの)とhttps(セキュアなもの)が混在してますので安全ではないということらしく、確かに画像リンクを直したらエラー数が激減した・・・なのにまだ不完全。
しかも特定のカスタム投稿タイプでのみエラーが発生、何で??多分カスタム投稿タイプ使ってなかったら頭から煙が出てたかもしれません。
最終的にはアフィリエイトサービスの「電脳卸」のバナーでした。当サイトの特定の投稿タイプでのみバナー表示をしていました。
余談ですけどウィジェットの表示/非表示をいろいろコントロールするには
を使うと便利です。
電脳卸自体がまだSSL化していないのでhttpのまま。もちろん画像URLもhttpのまま。これが警告の元凶でした。
電脳卸に限らずバナーの広告コードで「src=”http://~”」となっている場合には「src=”//~”」とhttp:を除くことで自動的にどちらなのかを選択してセキュアに表示してくれるらしいです。煙が出た方はアフィリエイトコード疑ってみてくださいね。
Adsenseの広告コードの確認
公式のヘルプにも掲載されていますが案外見落としがち。最近コードを取得して掲載した広告ではすでに対応済のコードとなっているので問題ありませんが、昔のコードでは頭に「http://」というプロトコル指定がされているようです。
SSL化すると別のサイトとみなされるのでしばらく広告が表示されなくなりますが、いつまでたっても・・・という方は一度コードの確認をしてみた方がいいかもしれません。
いろいろな投稿タイプのいろいろな記事を見ましたがだいたい大丈夫みたい(一括で検査してくれるツールはないものでしょうか?)。一応これでSSL対応はOKだと思われます。
あとは案外はまるのが「下書き」にしている記事にhttpでの内部リンクが張られている場合。これについては「Search Regex」で下書きのものもやっておけば心配ありません。