WordPressサイトはSSLが必須

2017年5月30日

ニュースソース:SUCURi BLOG

以下は、2017年5月25日に公開されたNew Non-HTTPS Websites Blacklisted for Phishy Password Practicesを要約したものです。

注:以下でGoogleのブラックリストと表現されているのは、正確にはGoogle セーフ ブラウジングが行っている判定についてです。

過去数カ月間、欺瞞的なコンテンツの警告でGoogleのブラックリストに載っているWordPressウェブサイトの数は、明らかな理由なく増加しています。
サイトはきれいで、外部リソースがロードされていることもありませんでした。
こうしたサイトのうち、SSLが有効になった後にのみ、Googleが欺瞞的コンテンツ警告を削除したケースがいくつか見つかりました。
SUCURiはUnmask Parasitesと協力して研究を行い、状況を以下のように整理しました。

Googleは全WebサイトのHTTPS利用を推進

  • 2014年:GoogleはHTTPSによりウェブサイトが検索エンジンの検索結果で上位にランクされることを確認しました。
  • 2016年9月:将来的にChromeはすべてのHTTPページを非セキュアにラベル付けし、警告表示を壊れたHTTPSに使用する赤い三角に変更することを確認しました。
  • 2017年1月:HTTPのウェブサイトでクレジットカードやパスワードが処理されるたびに、ChromeのNot Secureラベルを展開しました。

WordPress パスワード処理

  • WordPressでは、wp-login.phpでパスワード処理が発生します。
  • wp-login.phpファイルのパーミッション設定などでセキュリティを確保している場合でも、ChromeのNot Secureラベルが表示されることがあります。
  • wp-login.phpでのパスワード処理がGoogleのブラックリスト判定の原因の可能性が大です。

結論

  • Googleは世界最大のサーチエンジンでそのブラックリストに載ることは95%ものアクセスを失うことを意味します。
  • すべてのWordPressサイトをSSLサーバ証明書でHTTPS化することをお勧めします。