[新着] WP Media Cleanupがメディアライブラリに隠れた未使用画像を削除
メディアライブラリの散らかりにうんざりしていませんか?WP Media Cleanupはサイトをスキャンし、不要な画像バリエーションを削除してサイトの効率を向上させます…
[新着] WP Media Cleanupがメディアライブラリに隠れた未使用画像を削除
ジョエラ・ダン
ジョエラ・ダン
ジョン・ターナー
ジョン・ターナー
WordPressサイトにSSL証明書をインストールし、ブラウザバーに安心感のある緑の鍵マークが表示されることを期待していました。
しかし実際には?あなたのサイトは依然として「安全ではありません」と表示されています。
原因はほぼ常に混合コンテンツエラーである。
現在、サイトは安全なHTTPS接続で読み込まれていますが、ページ内のどこかで、依然として古い非安全なHTTPプロトコル経由で読み込もうとするリソースが存在します。ブラウザはこれをセキュリティリスクと見なし、警告を表示します。
この記事では、これらのエラーを発見し修正するための実証済みの方法をいくつかご紹介します。さあ、サイトを完全に安全にしましょう!
以下はその要点である:
混合コンテンツエラーは、ウェブページがHTTPS経由で読み込まれる一方で、画像やスクリプト、スタイルシートなどのリソースを安全でないHTTP接続経由で取得しようとした場合に発生します。ブラウザはこの不一致を検知し、セキュリティ上の問題として警告を表示します。
ブラウザは、読み込まれるリソースの種類に応じて、混合コンテンツを2つの異なる方法で処理します。
パッシブ混合コンテンツには 、画像、動画、音声ファイルなどが含まれます 。これらはページの動作を実質的に変更しないため、ブラウザは通常、それらをロードします。ただし、アドレスバーにはセキュリティ警告が表示されます。
アクティブ混合コンテンツはより深刻な問題です。これにはJavaScriptファイル、スタイルシート、iframeが含まれます。これらは実際にページを変更したりデータを盗んだりする可能性のあるリソースです。
ブラウザはこれらをブロックすることが多く、サイトの一部がまったく機能しなくなる可能性があります。レイアウトが崩れたり、フォームの送信が停止したり、機能が単純に消えてしまうことがあります。
その結果?訪問者は壊れていて安全でないサイトを見ることになります。まさに望まない印象を与えることになります。
混合コンテンツエラーの主な原因は単純です:サイトをHTTPSに切り替えた際、WordPressデータベースやファイル内のすべてのURLが更新されなかったためです。
あなたのサイトは現在、https://経由でページを提供していますが、コンテンツやコードのどこかに、自サイトのリソースを指す古いhttp://リンクがまだ残っています。
これらの古いURLは、予測可能な場所に潜むのが大好きです:
サイトを見ただけでは、これらのリンクがどこにあるのかを常に見つけられるとは限りません。コードを掘り下げて調べたり、適切なツールを使って探したりする必要があるかもしれません。
混合コンテンツエラーを解消する実証済みの方法を簡単にまとめます:
データベースを変更したり、サイトの動作を制御するファイルを編集しようとしています。何か問題が発生した場合(それは起こり得ます)、すべてを即座に元に戻す方法が必要です。
バックアップはワンクリックで使える脱出ハッチです。
何かを触る前に、Duplicatorのようなプラグインを使って完全なバックアップを作成することを常にお勧めします。ファイルとデータベースの両方を1つのパッケージにまとめて保存するため、何かを壊してしまってもサイトを元の状態に完全に復元できます。
新しいバックアップを作成し、「サイト全体」プリセットを選択してください。これにより、サイトの全ファイルとデータベーステーブルが単一のzipファイルにまとめられます。
バックアップを保存するクラウドストレージ場所(Duplicator Cloudなど)も選択します。ローカルに保存することも可能ですが、大規模な障害が発生した場合、このデータを失う可能性があります。
Duplicatorがサイトのコピーを作成した後、データをクラウドに送信します。復元が必要な場合は、ワンクリック復元ボタンをご利用ください。
データベースやコードの編集に慣れていない場合、プラグインが安全なサイトを実現する最も手っ取り早い方法です。Really Simple Security(旧称:Really Simple SSL)は、多くの人が最初に選ぶプラグインです。
このプラグインは、データベース内のURLを実際に変更するわけではありません。代わりに、ページがブラウザに送信される前にそれを捕捉し、http:// のリンクをその場でhttps://に書き換えます。
インストールし、有効化したら、セキュリティ » 設定に移動します。SSLタブをクリックし、混合コンテンツ修正ツールを有効にします。
混合コンテンツの警告は通常、数秒以内に消えます。
しかしトレードオフがあります。不安全なURLはデータベースに残ったままです。単に隠蔽しているだけです。また、プラグインはページが読み込まれるたびにわずかな処理オーバーヘッドを追加します。
多くのサイトにとって、それで全く問題ありません。機能し、シンプルで、2分で完了します。より永続的な解決策をお望みなら、読み進めてください。
ここから始めてください。1分もかからず、最も一般的な設定問題の1つを解決します。
WordPressダッシュボードの設定 " 一般に移動します。
WordPress アドレス(URL) とサイトアドレス(URL)のフィールドを確認してください。どちらもhttps:// で始まる必要があり、http:// で始まってはいけません。
そうでない場合は、更新して「変更を保存」をクリックしてください。
ただし注意点があります:修正されるのはWordPressが自身を参照する方法のみです。投稿やページ、テーマファイルに既に埋め込まれたURLはそのまま残ります。
この変更後も混合コンテンツエラーが表示される場合は、次の方法に進む必要があります。
恒久的な修正が必要な場合、適切なデータベース更新に勝るものはありません。これはデータの保存場所において、http:// の参照をすべてhttps://に置き換えます。
ただし、重大な警告があります:単純な検索置換SQLクエリをデータベースに直接実行してはいけません。WordPressは一部のデータをシリアライズ形式で保存しており、基本的な検索置換はその形式を破壊します。
シリアライゼーション対応のツールが必要です。この作業にはWPCodeのSearch & Replace Everythingが私のお気に入りのプラグインです。
コードスニペット » 検索と置換 に移動します。
「検索対象」フィールドに、古いURLを入力してください:http://yourwebsite.com
「置換先」フィールドに新しいURLを入力してください:https://yourwebsite.com
完全なスキャンを行うため、すべてのテーブルを選択してください。特にwp_postsとwp_postmetaには注意を払ってください。これらのテーブルには通常、コンテンツURLの大部分が含まれています。
置換を実行してください。このデータベース更新後、混合コンテンツの問題の大半は解消されます。実際に存在するURLを修正したためです。
データベースの修正後も、混合コンテンツエラーが表示される場合があります。これは、問題がテーマやプラグインのファイルに直接ハードコードされていることを意味します。
これらを追跡する最良の方法は、ブラウザの開発者ツールを使用することです。
サイトの任意の場所で右クリックし、「要素を検査」を選択(またはF12キーを押す)。次に「コンソール」タブをクリックする。混合コンテンツエラーがある場合、問題の原因となっている正確なファイルパスと共に、そこに一覧表示される。
ファイルを特定したら、編集する必要があります。FTPクライアントまたはホスティングコントロールパネルのファイルマネージャーを使用してファイルを探します。ファイルを開き、http://URLを検索し、https://に置き換えてください。
さらに良いのは、絶対URLではなく相対URL(例:/wp-content/themes/yourtheme/style.css)を使用することです。相対パスはページが使用しているプロトコルを自動的に適用するため、この問題が再発することはありません。
問題を修正したら、再発は避けたいものです。いくつかの簡単な習慣を身につければ、今後もサイトの安全性を保てます。
新しい画像を追加したり、メディアを埋め込んだり、内部ページへのリンクを設定する際は、必ずhttps://を使用してください。当たり前のように思えますが、リンクをコピー&ペーストしたり急いで作業しているときなど、うっかりミスをしがちです。
ステージングサイトをお持ちの場合は、そちらをご利用ください。まず新しいプラグインやテーマをステージングサイトにインストールし、ブラウザのコンソールを開いて混合コンテンツ警告がないか確認します。本番サイトに影響が出る前に問題を発見すれば、後々のトラブルを大幅に回避できます。
テーマのカスタマイズやカスタムコードの追加時には、https://yoursite.com/wp-content/image.jpg のような完全なURLをハードコーディングしないでください。代わりに、/wp-content/image.jpg のような相対パスを使用してください。
ブラウザはページが使用しているプロトコルを自動的に使用するため、これらのリンクを再度更新する必要は一切ありません。
より高度な設定に慣れている場合、CSPヘッダーは安全策として機能します。非セキュアなリクエストを自動的にHTTPSへアップグレードするよう設定できるため、古いHTTPリンクが誤って使用されても、ブラウザは安全に読み込みます。
最も一般的なSSLの問題は混合コンテンツエラーです。Really Simple Securityのようなプラグインを使用するか、データベースの検索と置換を実行して、サイトのアセットがすべてHTTPS経由で読み込まれるようにすることで修正できます。
お使いのブラウザは、HTTPSページ上でHTTP経由でスタイルシートが呼び出されているため、おそらくそれをブロックしています。ブラウザの開発者コンソールを開いて確認し、スタイルシートのURLをHTTPSを使用するように更新してください。
エラーは実際にはApacheに起因するものではなく、ユーザーのブラウザによって検出されます。Apacheは単にファイルを提供しているだけで、問題はWordPressのデータベースやテーマファイル内に存在し、そこには古いHTTP URLがまだ残っているのです。
お使いのブラウザに組み込まれた開発者ツール(コンソールタブ)が最も正確な選択肢です。問題の原因となっているリソースを正確に表示してくれるためです。簡単な概要を確認するには、Why No Padlockのようなオンラインツールも利用できます。
あの緑の南京錠は単なる装飾ではありません。訪問者に接続が安全であり、あなたが彼らの安全を真剣に考えていることを伝えています。
混合コンテンツエラーの根本的な問題は常に同じです:データベースやファイルに潜む古いhttp://のURLです。それらを特定して更新すれば、問題は完全に解決されます。
プラグインの簡単な修正を選択した場合でも、データベースの完全な置換を行った場合でも、サイトはセキュリティ警告なしで完全にHTTPS経由で読み込まれるはずです。
最後に一つアドバイスを:このような技術的な作業(特にデータベースに触れる作業)を行う前には、必ず確実なバックアップを取っておいてください。
Duplicator Proなら、完全なサイトバックアップを数分で作成できます。トラブルシューティング中に問題が発生しても、ワンクリックで完全復元が可能です。
クライアントのサイトで作業する際、何度も使ってきた。計画通りに進まなくても、いつでもロールバックできるからね。
さあ、安全なサイトをお楽しみください。その鍵マークはあなたが勝ち取ったものです!
ここにいる間、私はあなたがこれらの他の厳選されたWordPressリソースを気に入ると思います:
情報開示私たちのコンテンツは読者支援型です。つまり、あなたが私たちのリンクをクリックした場合、私たちはコミッションを得る可能性があります。私たちは、読者に付加価値をもたらすと信じる製品のみを推薦します。
