WordPressダッシュボードのSSL化を、ユーザー単位で有効/無効に設定する方法を見つけたのでメモ。大したネタではありませんが。。

ダッシュボードやログインフォームにSSLを適用する時によくやるのはwp-config.phpに下記のように定数をセットする方法ですが、これだとすべてのユーザーに問答無用でSSLが適用されてしまいます。

または

この前者に相当する設定を、ユーザー毎にそれぞれのプロフィール画面からチェックボックスで行えるようにします。やることはいたってシンプル。お使いのテーマのfunctions.phpを開き、最後の行あたりに下記を加えます。

以上で、各ユーザーのプロフィール画面「ツールバー」の次に「https を使用する」という項目が現れます。チェックを入れて更新すると即座にhttps付きのURLにリダイレクトされます。その後、そのユーザーがダッシュボード内にアクセスする時と、ログインフォームを送信する時は常にSSLがオンになります。

設定はユーザー単位で可能。phpMyAdminでDBを見てみると、usermetaテーブルに各ユーザー毎に「use_ssl」という項目があり、SSLを使用する設定にしたユーザーは「1」、そうでないユーザーは「0」になっています。

この機能を実現するuse_ssl_preferenceという関数はwp-admin/user-edit.phpの69〜76行目にあります。「personal_optionsというアクションにフックすると使えるようになります」とコメントが書かれていますね。version 2.7から実装されていたようです。あと、WordPress.comでは元々このオプションは有効になっているようですね？

さて、久しぶりのブログ更新でした。前回の記事がWordBeach（WordBench名古屋）の記事なので、何とあの驚異的な盛り上がりを見せた「WordCamp Tokyo 2011」すらスルーしてしまったようです。。。また地味なネタを見つけたら書きますね。

【追記】

そうそう、最近「FE.labs」というブログを気付いた時に更新しています。私だけでなくて、当社の若手プログラマ等も書いています。今後はこのブログも私だけでなくて当社スタッフにも書いてもらい、Web関連の技術ブログはこの「WPCMS.jp」「FE.labs」の２本でやっていこうと考えています。お暇な時にでもどうぞ。

なぜ悩むかといえば、サーバによってSSLディレクトリにコンテンツを置かなくてもSSL通信ができるサーバ / できないサーバがあるからだ。

例えば、よく使う「エックスサーバー」ではSSL用のディレクトリが用意されているが、そこにコンテンツがなくても、public_htmlフォルダ内のコンテンツでSSL通信ができる。一方、最近触った「ファーストサーバー｜ウルトラビジネス２」では、SSLディレクトリにコンテンツがないとSSL通信できない。たしか、以前触った「C’S SERVER Personal」も同様。

もっと具体的に言えば、WordPressの”ページ”機能で作成した “お問い合わせフォーム” から入力された個人情報をSSLで暗号化して送信したい。その時に有効なプラグインが「Admin SSL」だが、ファーストサーバーの場合 https でアクセスするとSSLディレクトリを読みにいってしまい、そこにはWordPressのセットがないので「Not Found」になってしまうのだ。これは当然な結果に見える。

しかしエックスサーバーの場合、(共有SSLではあるが) Admin SSLがうまく働いてログイン画面などでSSL通信できる。SSLディレクトリは空であり、かわりにpublic_html内に置いたWordPressのログイン画面がロードされる。（Admin SSLの仕様で、お問い合わせフォームなどAdmin以外のページは独自SSLでないとSSL化できない）

また、静的なHTMLファイルでも(つまりAdmin SSLに頼らなくても)、エックスサーバーではpublic_htmlフォルダのコンテンツでSSL通信できている。

それで、少しGoogleで調べてみて分かったこと、思ったことは、

1. Apacheウェブサーバの設定ファイルであるhttpd.confだけでなく、ssl.confという設定ファイルもあり、そこにSSLのドキュメントルート(Document Root)が記述されている。
2. そのドキュメントルートをhttpd.confのそれと同じにすればうまくいくのではないか。
3. そのドキュメントルートの設定が、レンタルサーバによって様々なのではないか？

このことは、次に試した手順で確信に変わった。別途試用している「使えるねっと｜LinuxVPS｜シルバー」の管理パネル「Plesk」を触っていて、決定的なパラメータを見つけた！

Plesk Control Panel のSSL設定

赤枠で囲った箇所、
「SSL認証を受けないコンテンツと同じディレクトリに、SSL認証を受けるコンテンツを設置する」
このチェックをオン/オフしてみたところ、見事に想像したどおりの動作となった。

• チェックを付ける　→ public_htmlに置いたWordPressのお問い合わせフォームをSSL化できる！
• チェックを外す　→ SSLディレクトリを読みにいってしまい、 Not Found 

SSL通信する際にSSLディレクトリに限定したほうがセキュリティは高いのだろうか…(感覚的にはそう思える)。しかし、少なくともWordPressで作成したお問い合わせフォームをSSLで暗号化する場合は、public_htmlディレクトリでもSSL通信できる設定でないと現実的ではない。

現実的ではない、とはつまりお問い合わせフォームをSSL化するためにいずれかの対応が別途必要になる。

• メール送信スクリプトを別途用意して、SSLディレクトリに設置する
• SSLディレクトリにpublic_htmlディレクトリに設置したWordPressと同じセットを置いてSSL接続の”受け皿”にする

こういうことが必要になり、せっかくWordPressでCMSを構築しても片手落ちである。例えば「 My Category Order 」というプラグインがあれば、クライアントの担当者自らサイドバーのカテゴリの並び順を変えられてかなり好評だが、SSLディレクトリに設置したお問い合わせフォームのサイドバーは手作業で編集しなけらばならない（デザインをWP側と統一するならば）。またWordPressのセットをSSLディレクトリに複製すれば上記の手間はなくなるが、セットを２つ管理するというのもスマートじゃないし弊害があるかもしれない。

このようなことから、WordPressでウェブサイト/企業サイト/CMSを構築する際に選ぶサーバのポイントが新たに１つ加わった。

「public_htmlでもSSL通信できるサーバ」

このようなサーバなら、お問い合わせフォームをWordPressで作成・管理しつつSSL対応できる。そしてそれを実現してくれるサーバ選択のわかりやすいポイントは「Plesk Control Panelを備えたVPSサーバ/専用サーバ」である(笑)…上でテストしたとおり。しかしVPSの安いプランは自由度が高いかわりにメモリが少なかったり、性能面では注意が必要。例えば上で紹介した「使えるねっと…シルバー」はメモリが512MBである。レスポンスも良いとは言えない。

共有レンタルサーバーの場合、SSLがpublic_htmlで使えるかどうかなんてことはWebには書いてないと思うので、個別に確認する必要があるでしょう。

もちろん自前サーバならどうにでもなる。自分でPleskをインストールしてもいいしssl.confを見つけて触ればよいでしょう…あ、ssl.confのDocument Rootかどうかは検証できていないけど。。。

—

以上、今日確認したばかりの内容で、間違い・誤解・勘違いがある可能性もありますが、もし気付かれた方はご指摘くだされば幸いです。

参考サイト）

• 使えるねっと – よくある質問「ドメインの作成（VPS・専用）」
• Parallels Plesk Panel 9.0

■オリジナル版のサイト：
『Haris.tv』

haris.tv/2007/04/24/admin-ssl-new-wordpress-plugin/

■WP2.5対応版のサイト：
『bengreen』

www.kerrins.co.uk/blog/admin-ssl/

　
オリジナル版の作者Harisさんは開発に時間を割けない、ということで今後は後者のサイトからの配付になるようです。benさんガンバレ。donateいたします。

■新機能：

• WordPress MUにも対応
• セキュア化するURLの追加機能
• 設定画面を用意

そして

• たくさんのバグフィックス
• 完全に書き直されたリダイレクトシステムで、前バージョンより安定

■その他仕様：

• WP2.2以上/独自SSL（Private SSL）と共有SSL（Shared SSL）両対応
• WPMU1.3以上/独自SSL（Priveate SSL）のみ対応

■わかっているの問題：

• キャッシュ系のプラグインと非互換

ところで、今回のバージョンでは、標準ではAdminのそれぞれのページはセキュア化されていないようです（ログインとプロフィールのみ）…WP2.5.1の速度改善のアドバンテージを得るため。もしそれぞれのページもセキュア化する場合は、設定画面の「additional urls box」に「wp-admin/」を加えるように、とのこと。

※1.0プレリリース版を使用されていた方は、正規版をインストールする前にデータベースオプションをリセットしないとリダイレクトエラーを起こすようです。

とりあえず試してからここに追記します。

【追記 2008-6-20】

■インストール方法：

1. 『Admin SSL』をダウンロードして解凍し、FTPで/wp-content/plugins/フォルダにアップロード。
2. admin＞プラグインにて「Admin SSL」の「使用する」をクリック。
3. 同じ画面の上部サブメニュー「Admin SSL」をクリック。
4. 下記設定画面があらわれる。
   
5. 「Secure my site with SSL」（サイトをSSLでセキュア化）にチェック。
6. 独自SSL（Private SSL）の場合はページ下部「変更を保存」で設定終了。
7. 共有SSL（Shared SSL）の場合は「Use Shared SSL」にチェックを入れ、「Shared SSL URL」にサーバ側から提供される共有SSLのURLにWPのadminまでのパスを繋げたアドレスを入力。必ず最後は/wp-admin/で終わるように。
8. ページ下部「変更を保存」で設定終了。
9. 他のページへ移動するとすぐにSSL化が有効になる。
   ※初期状態ではログイン画面とプロフィール画面のみSSL化される。

■追加設定：

1. 管理画面全体をSSLでセキュア化するには：
   上記設定画面の「URL List」にあるwp-comments-post.phpのあとに改行してwp-admin/を追加する。SSL化するページorディレクトリを１行ごと入力。
2. 「Secure additional URLs only if user is signed in」というのは多分コメントフォームをSSL化するのは登録済みユーザーがログインした状態でのみ、という設定だと思います。 「URL List」のページをSSL化するのは登録済みユーザーがログインした状態でのみ、ということだと思います。
3. 「Config Page」はAdmin SSLの設定画面を「プラグイン」と「設定」どちらのページに表示するか、の設定。

■使用してみてレポート：

WordPress 2.5にて共有SSLでテストしていますが、問題なく稼働しています…と言いたいところですが、１つ問題点が。

admin丸ごとSSL化すると、投稿画面にて画像の挿入ができません。画像のアップロードやオプション設定まではできるのですが、投稿画面への挿入を行うと、サブウィンドウが真っ白になってしまいます。その他、特殊記号など挿入が必要なWYSIWYGボタンは同様にサブウィンドウが真っ白になって操作できません。moreタグボタンは機能します。

これは、「設定」＞「WordPressのアドレス」にも共有SSLでのWordPressのURLを設定すると解決します。しかしそのことによる弊害が他の部分で出る可能性もあります。

多分、WYSIWYGエディタのボタン類のファンクションが上記「WordPressのアドレス」の値=get_bloginfo(‘wpurl’)を参照していて、そのURLが今表示している共有SSLのURLとドメインが違うからエラー起こしているんだと思います。Ajax、XML関連かな？

—
get_bloginfo()をハックしてhttps通信中だったら共有SSLの値（Admin SSLに設定した値を持ってくるか、あらかじめwp-config.phpあたりに共有SSLのURLをdefineしておくとか）、それ以外はSSLでないURL、と振り分けるようにすればうまくいくのかも。
—

【追記】こちらのサイトにそれらしきことに触れられています↓

SSL for WordPress Admin and the Problem with XMLHttpRequest (2008/3/20) Disruptive Library Technology Jester

いちばん簡単なのは、投稿画面（作成画面）だけはSSL化しないように、adminのその他のページをせっせと「URL List」に放り込む方法でしょうか。

■まとめ：
WordPressをポータルサイトなど会員制サイトに応用する場合、登録ユーザーの個人情報やアンケート結果などをWPの管理画面上で取り扱うこともあるかと思います。その場合SSLで暗号化されてるのは安心ですね。

以前は、サーバーのSSLディレクトリにもWordPressをもう１セット置いて、非SSL側（おもて側）のWordPressと同じデータベースを参照させることで管理画面を強引にSSL化していましたが、そうすると管理画面から投稿した画像はSSL側のディレクトリに保存されてしまい、非SSL側（おもて側）への画像のアクセスを.htaccessでSSL側へリダイレクトしたり、とかなり無理をやりました。。。

このプラグインを使えばそんなことしなくても簡単にSSL化できて便利です。感謝！

【追記 2008-12-10】

このプラグインでは、管理画面以外のページをSSL化することはできません。例えば、企業サイトのお問い合わせ用のメールフォームなどはSSLで暗号化したいかと思います。その場合、下記の記述が参考になるかもしれません。あとで作業するためにメモ。

引用：WordPressフォーラム「独自ドメインから共有SSLを利用したURLへのリンク」lilyfan氏のコメントより

なので、他社（OpenSSL.jp）にて取得して、エックスサーバーで利用出来ないかと考え、先程サポートに問い合わせたところ、「他社で取得した独自SSLは当社サーバで利用できません」ということでした。。。

たとえ有料でも対応してもらわないと、つまりは「エックスサーバーでは現時点でSSL証明書付きの独自ドメインサイトは運営できない」ということですね。設定料２万円くらいまでなら出すんだけど。

とりあえず共有SSLで様子を見てみます。

—
無制限機能盛りだくさんのレンタルサーバー – Xserver(エックスサーバー)

※コストパフォーマンスは良いと思うんだけどね。SSL証明書使えないのは特にビジネスユースには大きな欠点だなぁ。

—
うっかりWordPressカスタマイズメモに投稿してしまったよぅ；
実はZenCartカスタマイズメモという別ブログを始めました。そっちに投稿するつもりだったのに。良かったら見てくださいませ。（まだ昨日からですが）