完全 SSL/TLS 対応ワードプレステーマ
1・2カラム・レスポンシブ完全対応
【 BBC-SSL(BBC-015)】はすべてのデバイスに完全対応を
テーマとして設計された、多目的ワードプレスのテーマです。
完全 SSL/TLS 対応ワードプレステーマで安全・安心をすべてのユーザーに!
完全 SSL/TLS 対応ワードプレステーマ
国内初となる完全SSL/TLS対応 日本語ワードプレステーマ
SSL(Secure Sockets Layer)/TLS(Transport Layer Security)は、インターネット上でデータを暗号化して送受信できるトランスポート層のプロトコルのことです。URLが http ではなく https になり鍵マークが付きます。
Googleが2015年12月18日にウェブマスター向け公式ブログにて、「HTTPS ページが優先的にインデックスに登録されるようになります」と発表しました。
Google では常にユーザーのセキュリティを最優先に考え、長年にわたってウェブの安全性の向上やブラウジング体験の改善に取り組んできました。Gmail、Google 検索、YouTube では以前からセキュアな接続を実現しており、昨年は、検索結果での HTTPS URL の掲載順位を若干引き上げる取り組みにも着手しました。2015年12月18日 Googleウェブマスター向け公式ブログ
Googleは2014年8月7日に「HTTPS をランキング シグナルに使用します」と、同じくウェブマスター向け公式ブログで表明していましたが、
Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします。具体的には、HTTP ページに対応する HTTPS ページのクロールを開始します。これは、対応する HTTPS ページがどのページからもリンクされていない場合にも対象となります。2014年8月7日 Googleウェブマスター向け公式ブログ
今回の発表では「検索結果での HTTPS URL の掲載順位を若干引き上げる」とはっきり明記しています。
HTTPS = SSL/TLS の導入
このことを受けて、Webサイトのごく一部、たとえばショッピングカートやフォームなどに限って導入していたSSL/TLSを、今後はWebサイト全体に広げ、Webサイト全体をHTTPS化する「常時SSL/TLS」の手法を採用するケースが増えています。
Google Chrome 2017年から HTTPページで警告表示
Google は常にユーザーのセキュリティを最優先に考え、「HTTPS Everywhere」を掲げ、これを実現するために色々な施策を進めています。
Google は、2016年9月8日、Chromium Blog「Moving Towards a More Secure Web」において、「HTTPS Everywhere」の実現に向けて、とても重要な発表を行いました。
その発表内容とは、「2017年1月リリース目標の Chrome 56 から、パスワードやクレジットカードを送信する HTTP サイト(非 SSL/TLS サイト)において、以下のように「安全ではない(Not secure)」という意味を持つアイコンをアドレスバーに表示する」、というものです。
クレジットカード・パスワードフォームフィールドを持つ非 SSL/TLS サイトでの表示
加えて、Google は最終的に全 HTTP サイト(非 SSL/TLS サイト)に対して以下のような警告を表示させることも公言しました。
Chromeにおける非SSL/TLSサイト警告
この HTTP サイト(非 SSL/TLS サイト)の警告表示について、数年前から Google の Chrome 開発チームが The Chromium Projects の「Marking HTTP As Non-Secure」として提案を行っていました。
遂に 2017年1月から第一段階として実現されることになり、また、Chrome は国内外においてトップレベルのシェアを持つ Web ブラウザであるため、Web サイト上の全ページを SSL/TLS 化する「常時 SSL/TLS」はいよいよ不可避になると言えそうです。
そしてついに2017年1月「Chrome ヘルプ」にて
アクセスしても安全なウェブサイトかどうかを確認するには、サイトの安全性に関する情報を参照します。Chrome では、サイトが安全でない場合や、プライバシーが保護されない場合に、警告が表示されます。アクセスしても安全なサイトかどうかを確認する
と、発表しました!
実際にこのページをChromeでアクセスすると
「保護された通信」と表示されています! あなたのサイトはどうですか?
常時 SSL/TLS 化のメリット
実は私も「ブログでセキュリティを高めた規格を使えば確かにいいかもしれないけど、お金もかかるしそこまでしなくてもいいんじゃない?」と思っていましたが、そんな認識が変わったのは、あるセミナーでGoogleの中の人が呟いた、こんな一言でした。
「ハッキングされているサイトって、みなさんが思っているよりも、多いんですよ」
だから常時SSL/TLSにしましょう、とまでは言わないところがGoogleらしいのですが、これでなぜHTTPSを推奨しているのかが腑に落ちました。
「個人情報をやり取りするといったこと以上に、サイトそのものがマルウェアに感染したり、改ざんされたりする危険性が多いにある。だからこそSSL/TLS化しておく必要がある」という趣旨なのだと理解できました。
マルウェアに感染しているサイトの警告
あなたのブログにアクセスしたら、こんな警告が出たらどうしますか?
参考:マルウェアとは、ウイルスやワーム、トロイの木馬などを総称した呼び名。Search Consoleを使って感染に関する情報を得ることもできますので、WEB担当者は注意しておいたほうが良さそうです。「マルウェアへの感染を防止する」(Google Search Consoleヘルプ)
Googleの中の人がもう一つ言っていたのが、次のようなことです。
「こういった問題は大規模サイトだけニュースになるので、小さな所は関係ないと思っている人がいますけど、そうではないんです。」
小規模や中規模のサイトにアクセスした際、セキュリティソフトから警告を受けた経験は多くの方が持っていると思いますが、常時SSL/TLS化対応は危険のない安心なサイトであることのひとつの証。だからランキングシグナルとして使用するということなのですね。
このようにGoogleは明確な理由があってHTTPSを推奨しています。そういった経緯から、色々とSSL/TLS化を調べてみました。
まず、やはりみなさんも一番気になる「SEO」的な観点ですが、Web担当者フォーラムに、なるほどという記事が載っていました。
グーグルはなぜHTTPSをランキングシグナルに使うことにしたのか:すばらしい内容のページでも、コンテンツを区別できないぐらいにたくさんの広告が貼られていたり、ページの表示が非常に遅かったり、アクセスするとセキュリティ上の問題を生じたりするようなサイトは、オススメしたくないですよね。HTTPSの使用というのは、昨今のWebの状況で、より良い体験を提供する要因だとグーグルは考えているのでしょう。http://web-tan.forum.impressrd.jp/e/2014/08/19/18060
こちらのブログ「なぜHTTPSはHTTPより速いのか」http://blog.kazuhooku.com/2014/12/httpshttp.html(非SSLサイトなのでリンクは貼っていません)を見て、実はhttpsにするとウェブページのダウンロード完了時間が速くなるということを知りました。一度暗号化するにも関わらずhttpよりも高速なのは意外です。
SPDYというプロトコルをご存じでしょうか。SPDYは2009年頃米GoogleによるWeb高速化の取り組みの一環から誕生しました。SPDYは従来から利用されているHTTPと互換性を保ちながらセッション層を効率化するプロトコルで、既にTwitterやFacebook、一部大手サイトなどが取り入れるようになりました。
HTTP/2はこのSPDYの進化版という位置づけで2015年5月にIETFによって仕様の策定が進められ、RFC7540として公開されWEBを効率化するための様々な機能をサポートしています。
当サイトでも「HTTP/2 and SPDY indicator」プラグイン(Chrome版)を使うと、下記のようにHTTP/2が有効になっているのがわかります。
このHTTP/2の高速化の恩恵を得られるのは、HTTPS接続の場合だけのようです。
セキュリティが高いことはサイトの信頼性向上につながります。当サイト「BBC-Theme」は、ワードプレステーマの販売をしています。ですので個人情報が外部に漏れにくく、安心して訪れていただけることは大きなメリットなのかなと考えます。
今までSSL証明書といえば、数十万円以上するものだと思っていました。しかし、昨今格安のSSL証明書を販売するところも増えてきたため、小企業や個人でも簡単に導入できるようになりました。
BBCテーマでもお勧めしているレンタルサーバーのエックスサーバーでは、下記のようなキャンペーンをしています。Webサイト全体HTTPS化(常時SSL/TSL)の流れは確実に来ているようです!
まさかの初年度0円です!2016年9月30日迄みたいですので、早めに申し込んだほうが良さそうですね!
エックスサーバーだとSSLの設定もとても簡単ですよ!
7月1日追記:
エックスサーバーでは「標準独自SSL」というものがあり、運営中のドメインに対して無料・無制限で独自SSLを利用することが可能です。
7月5日追記:
「標準独自SSL」ですが、試してみました!
ワンクリックだけで独自SSLを利用することが出来るなんて、夢のようです。
SSL証明書の種類
SSL証明書を、セキュリティ・信頼性で分類した場合は、以下の3種類になります。下にいくほど、信頼性の高い証明書になり、取得料金も下に行くほど高いものになっていきます。
1)ドメイン認証
2)企業認証
3)EV認証(Extended Validation)
順番に詳しく見ていきましょう。
1)ドメイン認証SSL
もっとも手軽で安価なSSL認証。
基本的に書類の提出なども必要無く、素早く取得して使用することができます。
エックスサーバーの「CoreSSL」や「標準独自SSL」は、このドメイン認証SSLになります。
「ドメイン認証SSL」を設定したサイトを閲覧した場合、ブラウザのアドレスバーの表示は以下のようになります。(キャプチャはChromeブラウザを使用)
2)企業認証SSL
企業認証SSLは、「Webサイトの運営主体の企業が実在しているか?」まで証明されるので、「ドメイン認証SSL」よりも信頼性の高い証明となり、その分、取得時の料金も「ドメイン認証SSL」より高いものとなります。
申し込み時は、電話での確認や書類の提出により、そのサイトの運営企業が実在しているかを証明されます。
「企業認証SSL」を設定したサイトを閲覧した場合、ブラウザのアドレスバーの表示は以下のようになり「ドメイン認証SSL」との見た目の違いはありません。
3)EV認証(Extended Validation)
「EV証明」は、別名「強化認証SSL」とも呼ばれ、SSLサーバ証明書の中でも、もっとも信頼性の高いSSL証明書となります。
世界標準の認証ガイドラインと厳格な審査があるため、銀行や証券会社など、高いセキュリティを必要とするWebサイトが導入すべきSSL証明書となります。
「EV認証SSL」を設定した場合、以下のようにURL部分が緑色のアドレスバーになり、そのサイトを運営している会社名と国(JP、USなど)が表示されます。
以上のことから、個人や中小企業で運営するサイトでは、エックスサーバーの「標準独自SSL」で十分だと思います。
既存のテーマでSSL/TLS化するには
WordPressの管理画面は別のサイトからパーツをダウンロードしたりしている訳ではないので、基本的にはそのページのSSL/TLS化は成功します。
問題は公開URL(訪問者がアクセスするURL)ではどうなっているか?です。
多くのテーマの場合、全てのコンテンツがhttpsでダウンロードされないので、公開URLではhttps化は上手く行きません。
Chrome で混在コンテンツの警告が表示されている例
テーマのセキュリティチェック
デモページを、Chromeのデベロッパーツールでスマホ表示・セキュリティチェックしたところです。
「Overview」のところでは、すべてのコンテンツが https から読み込まれているのが解ります。
「Security Overview」の箇所を訳すと
● Valid Certificate
The connection to this site is using a valid, trusted server certificate.
訳:有効な証明書
このサイトへの接続が有効で、信頼されたサーバー証明書を使用しています。
● Secure TLS connection
The connection to this site is using a strong protocol version and cipher suite.
訳:セキュアなTLS接続
このサイトへの接続が強力なプロトコルバージョンと暗号スイート*を使用しています。
● Secure Resources
All resources on this page are served securely.
訳:セキュアなリソース
このページのすべてのリソースが確実に(セキュアなリソースを)提供しています。
*注釈:TLS は暗号通信のためのプロトコルですが、暗号通信と一言で言ってもその通信フローではいくつもの暗号技術やハッシュ関数が各所で組み合わされながら使われています。通信のあの部分にはこの暗号技術を使い、また別の部分にはこの暗号技術を使う、という組み合わせがプロトコルに予め定義されており、それらを 暗号スイート といいます。
おなじみのテーマチェック
ワードプレスのテーマ・チェッカーでテストが通過しています。
【 BBC-SSL(BBC-015) 】搭載機能の一部
テーマに搭載されている機能の一部をご紹介いたします。
レスポンシブWebデザイン仕様
BBCテンプレートは全てのテーマが、レスポンシブWebデザイン仕様(PC・スマートフォン・タブレット等各デバイスに完全対応)です。
Googleも公式にレスポンシブWebデザインを推奨しています。これからのSEOではレスポンシブWebデザインが強みになります。
スタティック・メニュー
通常のメニューがスクロールにより変化するスタティック・メニューを採用しました。
ヘッダーが隠れるくらいにスクロールしていくと、メニューが上部に固定のスタティック・メニューに変化します。ロゴマークが小さくなり、トップページへのリンクになります。
スクロールすると現れるスタティック・メニュー
個別記事にメタ情報とカスタムCSSを追加できる
サイト全体へのメタ情報は管理画面から設定できますが、その記事にだけ適用したい場合があります。特にキーワードはサイト全体よりも記事ごとに設定するほうがSEO的にも良いのがわかっています。
また「noindex」や「nofollow」も、まだボリュームが少ない記事には有効です。勿論固定ページにも設定できるので、「特商法に基づく表示」などは、検索インデックスされてほしくない場合があると思います。
個別記事および固定ページの編集画面から設定できます。
投稿記事タイトルの背景
投稿記事タイトルの背景にはアイキャチ画像をぼかして配置しています。とても印象的になりますね。
ロゴ(Homeアイコン)5色付属
Webフォントの「Font Awesome」で作成した、ロゴマークとして利用できるサイズの「Homeアイコン」を5色(横幅 280px の画像です)お付けします。
スタティック・メニューで表示されるときにはわかりやすいですよね。
ロゴマークをお持ちでない方には、便利だと思います。
ヘッダー画像10種類付属
ヘッダー画像(サイトタイトルの背景)を濃淡あわせて10種類(横幅 1,440px の大きな画像です)お付けします。
ランダムに表示する設定にすると、サイトに訪れる度に印象が変わるので、面白いかもしれません。
テーマ・カスタマイザーで設定可能な一覧
◯ 投稿日・更新日・投稿者の非表示設定
◯ ファビコン・アップロード
◯「Apple Touch Icon」及び「Android Chrome Touch Icon」アップロード
◯ アイキャッチ画像重複無効オプション
◯ スライダー設定
◯ パララックス効果
◯ ボックススタイルまたは全幅レイアウト
◯ カスタムウィジェット
◯ カスタムカラー
◯ ヘッダーサイズの変更
◯ 背景画像にダークフィルターを適用・否
◯ 複数のフッターレイアウト
◯ 複数の投稿ページレイアウト
◯ 複数の固定ページレイアウト
◯ 固定ページの表示オプション
◯ アドセンス広告サポート
◯ Google Analyticsコード設定
◯ 多彩なサイドバーの設定
◯ 多くのソーシャルアイコン
◯ CSS3アニメーション
◯ その他
付属マニュアル
独自ドメインとレンタルサーバー
ワードプレスのインストール
ブログの設定・テーマの設定・プラグインの設定
ソーシャルメディア(Facebook・Twitter・Google+)設定マニュアル
既存のブログを SSL/TLS 化する方法
ワードプレス投稿基礎マニュアル
今まで誰もやらなかった、Retina対応画像の作り方
その他
プレゼント画像
ロゴ(Homeアイコン)5色
ヘッダー画像10種類
背景画像(イメージ画像・パターン画像各々20種類)
お申し込みは、下記フォームからお願い致します。
決済完了後、ダウンロードURLなどを記したメールをお送りさせて頂きます。
