サポート » プラグイン » 共有SSLついて(一部の固定ページで)

  • 解決済 amryllis

    (@amryllis)


    私は、ある地元の小さな団体(県の団体組織あり)で、HPを公開しています。
    そこで、うちの地元(市内)へ引越ししてきた人から、会員入会手続きをしたいという内容を「MW WP Form」というプラグインで作成し、固定ページに作りました。(うちは、密着型サイトですので、一般から会員登録しておらず、フォームで問い合わせる形になります。)
    その固定ページだけをSSL(共有)したく、調べたら、「Wordpress HTTPS」というプラグインがいいみたいだと、分かりました。

    導入前に共有SSLの設定をレンタルサーバーでみたら、設定するところがなく、最初から使えますのことだった。
    レンタルサーバーは、エクストリムですが、
    httpsなしが、http://aaa.bbb.jpの場合、
    httpsありの共有SSLだと、https://s8.ssl.ph/aaa/みたいになります。

    そこで、試しに共有SSLのURLでブラウザで見ると、style.css無しで読み込まれました。
    もし、「Wordpress HTTPS」を導入すると、style.cssは、読み込まれるでしょうか?

15件の返信を表示中 - 1 - 15件目 (全17件中)
  • CG

    (@du-bist-der-lenz)

    「Wordpress HTTPS」を導入すると、style.cssは、読み込まれるでしょうか?の点については、読みこむように施工する必要も出てくる。という返答でしか出来ません。

    モデレーター mypacecreator

    (@mypacecreator)

    そもそも論として、MW WP Formは共有SSLをサポートしていません。
    https://plugins.2inc.org/mw-wp-form/faq/

    Q. 共有SSL下で使用できますか?

    A. 共有SSL下では正しく動作しません。

    今やGoogleを先導役として、フォームだけでなくすべてのページをSSL対応する「常時HTTPS」が当たり前になるような啓蒙運動が進んでいております。
    独自SSLが安価や無料で使えるサーバもありますし、共有SSLはデメリットばかりが叫ばれるような時代なので、独自SSLでの運用を強くおすすめしますよ。特に、県の団体組織という公共性の高いサイトなら、なおさらです。

    • この返信は5 ヶ月、 2 週間前に  mypacecreator さんが編集しました。

    @du-bist-der-lenz
    @mypacecreator

    回答をありがとうございます。
    そもそも論として、MW WP Formは共有SSLをサポートしていません。
    過去、色々なサイトを見て知りましたけど、独自SSLって、有料で数千円はかかるし、独自SSLが無料(セット)で使えるレンタルサーバーがエックスサーバーくらいかな。
    エックスサーバーでは、「セットで使える」と、発表する1ヵ月前に現在のレンタルサーバー、エクストリムにした後、知りました。

    今、エクストリムに独自SSLが使えるか?調べたら、いろんなプランがありますが、全部不可でした。共有SSLのみ、全プラン対応でした。

    ちなみに無料で使えるレンタルサーバーが、エックスサーバーで、
    独自SSLが安価のレンタルサーバーが、さくらのレンタルサーバの2つくらいかな?

    • この返信は5 ヶ月、 2 週間前に  amryllis さんが編集しました。理由: タイプミス修正
    モデレーター mypacecreator

    (@mypacecreator)

    あまり世話役の立場でこの場で特定のサービスをおすすめしたりはしづらいのですが、ここ1年くらいで格安系のサーバでも独自SSLを使えるところが結構増えてきました。

    MW WP Formは、開発者の方が共有SSLでは正常に動作しないと言っておりますが、検索すると「対応させた」という事例があり、必ずしも無理ではないのだと思う(ただし、推奨される使い方ではないのでこういったフォーラムでのサポートは期待できません。あくまで自己責任)のですが、対応させるための手間&正しい使い方ではないといった人的コスト・リスクと、独自SSLを導入する金銭的コストとを天秤にかけてもらうことになるんじゃないかなー、と思います。

    あと、たとえばさくらインターネットさんの安い方のSSL(SNI SSL)でWordPressを動かすには、いくつかハマリポイントがあったり、それぞれのサーバによってかなり挙動に差があるので、事前の情報収集も結構大事になります。当初のご質問への答えではなくて恐縮ですが、ご参考になれば幸いです。

    CG

    (@du-bist-der-lenz)

    県の団体組織という公共性の高いサイトだからこそ、きっちりした独自SSLの導入が重要です。

    動作の確認には Cloudflare や Let’s Encrypt GMO の Plesk の他、.shop ドメインに限定しての初年度無料というふうに選択肢は増えています。無料化への動向は大手も少なくないし、新商品は独自SSL込になっているので乗り換えの検討にしましょう。

    https://www.gmo.jp/news/article/?id=5523

    @mypacecreator

    回答をありがとうございます。
    「対応させた」というなら、使ってみるかもしれませんが、私が質問した

    共有SSLのURLでブラウザで見ると、style.css無しで読み込まれました。
    もし、「Wordpress HTTPS」を導入すると、style.cssは、読み込まれるでしょうか?

    に対して、「Wordpress HTTPS」の設定で、style.cssを読み込ませる方法をインターネットで探してみましたが、見当たりませんでした。
    ほどんとが、一部の固定ページをhttpsに対応させる設定の説明ばかりでした。
    └→一部の固定ページにhttpsしたら、style.cssは、正常に読み込まれるのか?が、疑問でした。

    独自SSLにした方が、いいと、言われると思いますが、
    独自SSLに対応したサーバーに変えて、一部の固定ページに独自SSLのhttpsにしても、style.cssは、正常に読み込まれるのか?が、疑問なので、そこが、分からないです。

    @du-bist-der-lenz

    回答をありがとうございます。
    県の団体組織という公共性の高いサイトだからこそ、きっちりした独自SSLの導入が重要です。
    そう言われるかもしれませんが、県からの補助金は、5,000円くらいしか貰えません(他の市町も同じ)。
    どんな団体か?は、言えません。
    なので、@du-bist-der-lenzさんが、はってくれた例のサイトは、うちでは高くて出来ませんので、現在、契約している安いレンタルサーバーにしました。
    もちろん、うちの団体の会長が、「無料で、ええやん」って、言うので、それに近い安いレンタルサーバーを選びました。
    だから、共有SSLは・・・?って、質問しました。

    @mypacecreatorさんが、
    MW WP Formは、開発者の方が共有SSLでは正常に動作しないと言っておりますが、検索すると「対応させた」という事例がある

    と、言っていたので、どうかな?と、思っています。
    でも、あくまで自己責任ということは、承知しております。

    • この返信は5 ヶ月、 2 週間前に  amryllis さんが編集しました。理由: タイプミス修正
    モデレーター mypacecreator

    (@mypacecreator)

    独自SSLに対応したサーバーに変えて、一部の固定ページに独自SSLのhttpsにしても、style.cssは、正常に読み込まれるのか?が、疑問

    すみません。私が推奨しているのは常時HTTPSなので「一部の固定ページ」に適用したときにどうかは分かりません。
    現在は管理画面やフォームを設置したページだけではない「すべてのページ」をHTTPSにすることが推奨されています。

    ただし、cssファイルが読み込まれないのは共有SSLゆえの問題であると思います。
    また、「一部の固定ページ」のみHTTPSにするよりも、「すべてのページ」をHTTPSにするほうが、難易度は低いです。
    また、常時HTTPSの場合はプラグインを使わずとも対応できます。

    • この返信は5 ヶ月、 2 週間前に  mypacecreator さんが編集しました。
    モデレーター mypacecreator

    (@mypacecreator)

    ここで行政の予算についての議論はふさわしくないと思うので話をもとに戻しますが、CSSが読み込まれない点だけに注目すると、パスがおかしいのだと思います。

    ソースを確認して、style.cssがどういったパスで書き出されているのか調べてください。

    参考サイト(少し古いですが)

    共用SSLでのお問い合わせフォームページ設置方法[WordPress]
    http://kotori-blog.com/wordpress/ssl_form/

    レンタルサーバーは、エクストリムですが、
    httpsなしが、http://aaa.bbb.jpの場合、
    httpsありの共有SSLだと、https://s8.ssl.ph/aaa/みたいになります。

    とのことなので、上記ブログで言う「階層を掘ってる」にあてはまるので、CSSのパスがずれてしまっているのではないでしょうか。
    私はこういった構成で運用したことがないのですが、最終手段としては条件分岐でCSSのパスが切り替わるようにテーマを修正すればよいのではないかと思います。

    あとはまぁ、いちばん大事なところですが

    WordPress HTTPS (SSL) — WordPress Plugins
    https://ja.wordpress.org/plugins/wordpress-https/

    最新の対応バージョン: 3.5.2
    最終更新: 4年前

    これこそ自己責任というか、モデレーターとしてはお薦めはできません。。。

    • この返信は5 ヶ月、 1 週前に  mypacecreator さんが編集しました。
    • この返信は5 ヶ月、 1 週前に  mypacecreator さんが編集しました。

    自己責任がまかり通るなら、わざわざ WordPress の個別SSL対応にしなくても、
    SSL対応のフリーの問い合わせフォームを使っちゃダメなのでしょうか。
    そのようがセキュリティが強固ですし、管理や構築も楽なのでどうせ自己責任ならそのほうがいいかなと思います。
    たとえば Googleフォームや、https://www.secure-cloud.jp/sf/ のようなサービスをつかうなどということです。

    @kimipooh

    回答をありがとうございます。

    Googleフォームや、https://www.secure-cloud.jp/sf/ のようなサービスをつかう
    こういうSSL対応で、できるとは思いませんでした。

    今までは、「MW WP Form」で、思うままにフォームの構築してきました。
    例えば、メールアドレス確認フォームをつけ、ユーザーが、2度メールアドレス入力で、一致したなら、「確認画面」に進み、送信完了時点で、自動返信メール送信していました。

    Googleフォームと、セキュアフォームは、SSLと自動返信メールに対応していると、インターネットで調べましたが、フォームのカスタマイズ性が良いのは、どちらでしょうか?
    例えば、必須項目や、入力規則(英数字入力のみとか)など。

    それに対応してあれば、そちらにしようと思います。

    • この返信は5 ヶ月、 1 週前に  amryllis さんが編集しました。理由: タイプミス修正

    @kimipooh様へ

    Googleフォームと、セキュアフォームのどちらが良いか?
    実際にやってみました。

    Googleフォームは、メールアドレス確認フォームで、アドレスの一致させるオプションが、ありませんでした。
    セキュアフォームは、パーツセットの「メールアドレス」を使うことで、出来ました。
    それにテキストボックスに文字制約があって、設定ができるので、そちらにしますが、スマホにも対応させるには、有料プランにする必要がありますね。

    他にあるか?
    検索して、考えようと思います。

    CG

    (@du-bist-der-lenz)

    個別の状況を含めた相談は、そうしたフォーラムがあるので、ここでは回避して提案しました。

    SSL化しない場合のリスクや、必要性は説明され、討議されたのでしょうから、
    そのうえで「もちろん、うちの団体の会長が、「無料で、ええやん」って、言うので」すから、従えば善いです。

    「県からの補助金は、5,000円くらいしか貰えません(他の市町も同じ)。」とは素晴らしい厚遇ではありませんか、わたしも地元で30年活動している団体組織に講師役をして10年になりますが、市の施設の名前を冠にはしていても助成は受けていません。事務費用も四苦八苦です。そのためホームページは私個人から提供しています。昨年の地震で活動できない時に、会員にとって交通の便の良い所のホールを借り、新聞、地元情報誌に案内を出してもらいましたが、活動を休止させたくなかったからで、『世話になった』と会長に労いの言葉を貰っただけで満足で、繁華街のホールだったので、新たな会員獲得が出来たことは一番の成果でした。
    「どんな団体か?は」、検索するとわかります。

    「なので、@du-bist-der-lenzさんが、はってくれた例のサイトは」、このフォーラムでリンクしてもししょうがないだろうと思う方を例としました。CloudflareLet’s Encryptは無料SSLを提供しています。他、.shop ドメインに限定しての初年度無料というふうに選択肢は増えています。この動向は今後広がると言われています。共有SSLでもサイトのSSL化は出来ます。
    CSSの読み込みにしても、https にならないので適用されないわけでしょうから、外部に置かなければ問題無いでしょう。
    対応策の話としては、そこまでいくと、WordPressの話題から離れてしまいますので、このフォーラムでは助言し難いです。ただひとつ、SSL下の環境で会員入会手続きの目的を果たす方法は十分に見つかりますよ。ぜひ、奮闘なさってください。

    こんにちは

    共有SSL全てに問題があるわけではありませんが、ディレクトリが別れるタイプの共有SSLは脆弱性があるので、外部のフォームを使う方を個人的にはお薦めします。

    http://takagi-hiromitsu.jp/diary/20100501.html

    Googleフォームも Google Script(旧名 Google Apps Script)を使えばできるのですが(とはいえ私は詳しくないですけど)、WordPress から外れてしまうのでここでは特に説明しません。

    なお、Googleフォームについて質問したい場合には、
    Google Docs Help Forum
    https://productforums.google.com/forum/#!forum/docs
    が該当するフォーラムです。日本語でも質問可能です。

    @du-bist-der-lenz
    @munyagu
    @kimipooh

    回答をありがとうございます。

    外部のフォームを使う方向でいこうと思い、インターネットで調べたら、外部のフォーム(SSL対応)を作成したのをWordPressの固定ページに付けるプラグインを見つけました。

    「Formzu WP」というプラグインで、対応する最新バージョンが4.7.2なので、これにしました。
    WordPressでSSL通信のフォームが無料で使える

    ショートコードを固定ページに貼り付けるだけで、<iframe>タグが生成され、iframeの「src=””」が、httpsからはじまるURLになる仕組みです。

    これで、私が思い浮かんだイメージ通りで、出来上がった。

    というわけで、これで行こうと思います。
    どうでしょうか?

15件の返信を表示中 - 1 - 15件目 (全17件中)
  • このトピックに返信するにはログインが必要です。