Really Simple SSLの機能とメリット・デメリット

この記事では、ワードプレスのプラグイン「Really Simple SSL」の機能とメリット・デメリットについてお伝えします。
とりあえずインストールしている人が多い印象ですが、人によってはインストールしなくても問題ないプラグインだと思います。

.htaccessを編集すれば、プラグインと同じ設定が可能です。

Really Simple SSLの機能とメリット

Really Simple SSL

http/https混合コンテンツを自動で修正できる

httpで挿入された画像や動画など、HTTPS通信を用いていないコンテンツが埋め込まれている場合、自動的にHTTPSに書き換えてくれます。
例えば、外部サイトから画像をhttp形式で記事内に埋め込んでいた場合、自動的にhttps形式に変換してくれます。

.htaccessにて301リダイレクト設定を自動挿入

ボタンをONに切り替えると、.htaccessに301リダイレクトする設定を自動的に挿入します。
.htaccessの編集が難しいと感じる方には、プラグインにお任せできるので安心できます。

こちらが自動挿入されるコードです。

# BEGIN rlrssslReallySimpleSSL rsssl_version[5.2.0]
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]
</IfModule>
# END rlrssslReallySimpleSSL

ON/OFFの切り替えをプラグイン画面から行うことができ、OFFにすると.htaccessから上記のコードが削除されます。

WordPress 301転送の有効化

.htaccessが利用できないサーバーなどで、Wordpressの301転送を有効化します。
NginXをベースとしたサーバーでは役に立つ機能です。
なお、私の使っているXサーバーはNginXを使っていますが、Apache環境下での.htaccessをそのまま使うことができます。
nginxについて | レンタルサーバーならエックスサーバー

セキュリティヘッダーのアラートを出す

セキュリティに関するアラートを出します。
セキュリティアラートの解消方法はこちら。

High Contrast modeとは?

ONにしてみるとわかりますが、ただ管理画面の色が変わるだけです。

Really Simple SSL

通常モード

Really Simple SSL

ハイコントラストモードをON

どういう活用方法がある?

Really Simple SSLのデメリット

有料版へのセールスが多い

Really Simple SSLは優秀なプラグインだと思いますが、無料版の機能には制限があります。
機能を拡張するなら、有料版(Really Simple SSL Pro)を購入するしかありません。

Really Simple SSL Pro Price

有料版の機能としては、

  • HSTS プリロードの登録
  • 各種セキュリティヘッダーの付与
  • メールサポート

などがあります。

ただ、こちらは手動での設定も可能なので、有料プラグインを購入しなくても同等の設定をすることはできます。

サイトヘルスにアラートが出続ける

セキュリティヘッダーの設定がされていないと、ワードプレスのサイトヘルスの欄にReally Simple SSLがアラートが出るようになります。

当然、セキュリティヘッダーなど設定した方が良いのは確かなのですが、プラグインからワードプレスのサイトヘルスにアラートを出すのはどうかと思います。

この仕様については、海外ユーザーの間でも疑問の声が上がっていました。

What you do in your own interface sure is more your thing. But I don’t think that WordPress set up the Site Health page as an advertising area for premium versions of free plugins.

How can one get rid of this Site Health page note without buying your premium version?

==== DeepLによる日本語訳====
あなたが自分のインターフェースで何をするかは、確かにあなたの問題です。しかし、WordPressがSite Healthページを、無料プラグインのプレミアムバージョンの広告エリアとして設定したとは思えません。

プレミアム版を購入せずに、このSite Healthページの表示を消すにはどうしたらいいのでしょうか?

これに対し、プラグインが公式にアラートが出ないための対応策を公開する流れとなりました。

Thanks for you input. I agree with you. Our usual practice is to offer users the option to do it themselves, and as alternative give an option to upgrade.

This first option is missing on this page, which is not how it should be.

To get get rid of the notice, you can select on ore more of the following headers to add to your .htaccess:

==== DeepLによる日本語訳====
あなたの意見に感謝します。私もあなたに同意します。私たちの通常のやり方は、ユーザーが自分でできるオプションを提供し、代わりにアップグレードのオプションを提供することです。

このページでは、この最初の選択肢がありませんが、これは本来あるべき姿ではありません。

この表示を消すには、次のようなヘッダーを選択して.htaccessに追加してください。

最終的にプラグインの公式ページでサイトヘルスでエラーが出なくなる方法を公開しています。

Really Simple SSLがいらない人

Really Simple SSLは簡単にインストールできて、HTTPSへの301リダイレクトが簡単にできるプラグインです。
また、混合コンテンツがあっても自動的に修正してくれます。

しかし、.htaccessの編集ができる方なら、少し設定をいじるだけで同じことができます。
また、混合コンテンツに関してもhttp設定のサイトのコンテンツを引用・埋め込みをしないように注意すれば、プラグインに頼る必要はないでしょう。

まとめると

  1. .htaccessの編集してhttp→httpsのリダイレクトを設定できる
  2. httpのコンテンツをサイトに埋め込まない

上記2点が自力でできる方なら、特にインストールする必要はないプラグインだと思います。
なんとなく「ブログ運営に絶対必須」のように語られているケースが多いですが、人によっては不要のプラグインだと思いました。

おすすめの記事