ヒドスタジオ

オンラインショップはじめました ヒドクラフト

2017年10月

ブログを常時SSL化した

ブログのアドレスを http://www.keropen.com から https://www.keropen.com に変更した。

さくらインターネットの無料SSLサーバ証明書を使った。
2017年10月17日から始まった新サービス。
Let’s Encrypt(レッツエンクリプト)が管理画面から簡単に使える。
https://www.sakura.ne.jp/function/freessl.html

申し込みは、本当に簡単。問題がなければすぐに使えるようになる。

WordPressの設定と投稿記事を変更

このブログはWordPressなので、そちらの設定が少し必要。
ただし、さくらインターネットから「常時SSL化プラグイン」が提供されているのでそれを使うと簡単なのかも。(やってないのでわからない)

1)管理画面の 設定 > 一般

WordPress アドレス(URL)とサイトアドレス(URL)の http:// を https:// に変更

2).htaccessを追加

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

※WordPressをインストールしたディレクトリを別にしている場合はその記述も必要。

3)パーマリンク設定でURL構造を変更している場合は
ページが見つからなくなくなる(404)ことが。
私の場合は固定ページの1記事を更新したら、全部つながるようになった。

4)投稿内容の画像やファイルのリンクアドレスを変更
WordPressで普通に投稿していたら、画像やファイルは絶対パスでリンクされている。
例:http://www.keropen.com/wp-content/uploads/xxx.jpg
画像のパスが http:// で書かれていたら、せっかくSSLにしても「鍵マーク」がでないのだ。

とはいえ、画像パスは膨大。投稿をし直すのは大変なので、SQLのデータを書き換える。
私は下記ツールで書き換えを行なった。
・Search Replace DB
https://interconnectit.com/products/search-and-replace-for-wordpress-databases/

SSL(TLS)証明書で思うこと

さくらインターネットの無料SSLサーバ証明書はDV(ドメイン認証)。
同じくDV認証で、年間1,500円の安価なラピッドSSLも提供している。
条件が同じなら無料を使いたいということになりそうではあるが、
申請がエラーになる人は、エラー内容によっては、手動審査ができるラピッドSSLを選ぶ感じなのかな。
あとは、ラピッドSSLは日本ジオトラスト社というところが違いぐらいか。

Let’s Encryptは使ってみたいと思っていたが、90日ごとに更新が必要で、Cronで自動更新する方法を見たりしてたのだけど、二の足を踏んでいた。
今回のさくらインターネットのサービスは、自動更新もしてくれる。こんなに楽でいいのかなぁ……

メールフォームのスパム対策に画像認証を導入

今年の夏ごろ、メールフォームから送信されてくるスパムメールが激増した。ひどすぎる。
しかも、相手先が特定しづらいタイプで、日本語も混じっている。

PHPの汎用メールフォームに、画像認証を追加して対応してみることにした。

・Google提供のreCAPTCHA
https://qiita.com/koliainwiki/items/544fe01d8c964c1b99a0
https://qiita.com/srai0628/items/7301e8e24a7811b4d798

・割と昔からよく使われているSecurimage
https://www.phpcaptcha.org

画像認証は、メールフォームを送信するユーザーにとっては間違いなく負担になる。
問い合わせを増やしたいと思ってフォームを設置しているのに不便を強いることになるのは不本意であるが、
スパムの数が尋常じゃないからなぁ。(1時間に100通以上とか)

スパム対策はイタチごっこといわず、全世界で対策できることはないのか。
送信者にスパム送っても儲からないし、ムダだと思わせるのが一番よいのだがなんかできないかなぁ。