WordPressでSSLアクセス時に警告が出ないようにする

6c06bc979db56cc86c70bf9643706e5b_s

別にCMSはなんでもいい派なのだけど(炎上用語)、 このサイトはWordPressで 作っている。
で、WordPressでいちばん個人的にイヤなのがあらゆるリソースを

と、プロトコル・ドメイン名(FQDN)から絶対参照で書いてくれること。

これ、 おそらくもともとは「絶対参照で書いたほうがSEO上ポイント高い」とかいう 都市伝説から来ているんだと思う。これでPageRank上げるような情報弱者な 検索エンジンがあったら窓から投げ捨てたい…。まあ、WordPressだけじゃな くMovableTypeも同じ動作なんだけどね、あっちはカスタマイズありきだからさ…。

で、絶対参照で書かれると何が困るかというと、

  • HTTPでアクセスしたとき
    • 特に困らない
  • HTTPSでアクセスしたとき
    • 下図のようなアラートが出たり、
      mixed-alert
    • そもそもHTTPで参照しているリソースが読み込まれなかった りする(CSSが反映されなかったりJavaScriptが動かなかったり)

ということなので。
これを「HTTP/HTTPSミクストコンテンツ」問題と言います。

解決方法としては、

  • ドキュメントルート(/)からの絶対参照で書く
    これがいちばん正しいと思う。みんななぜそうしないのかわからない…
  • 実は「//www.example.com/some/thing/to/load.png」のように
    プロトコルを省略して書くとブラウザがよしなにはからってくれて、 問題が起きない

のどちらか。WordPressの場合は、

  • ヘッダ・フッタ領域のCSS・JavaScript読み込みは自動で読み込みコントロール
    されているので、手書きで絶対参照に直すことができない
  • 自ドメイン(FQDN)だけでなく、外部ドメイン(FacebookとかGoogleとか)の
    リソースを読み込むことがあるため、ドメイン部分を省略できない

ということで、後者に沿って直す方法を検討する必要がある。 具体的には、自動的に生成されたヘッダ・フッタを加工してくれるフィルタメソッド をテーマのfunctions.phpに定義することだ。

ということで書いてみた。自分のfunctions.phpのおしりのほうに追加してみるとよ いと思われ。

  • 最初のブロックで、投稿にメディア挿入する際のリソースリンクを / からの 絶対参照に修正している
  • 次のブロックで、wp_head() の出力を修正。
    crayon syntax higlighter のJSON設定中にある絶対参照も書き直しつつ、
    マナー上どうかとは思うが各種プラグインのクレジットコメントを消している
    (ごめんね。でもなんか汚くて…)
  • 最後のブロックは wp_footer() の出力を修正。
    こちらはContact Form 7のJSON設定中の絶対参照も書き直している

これで終わり! …と思った? 残念でした!

なんとJetPackに!付属しているFacebook Like Boxプラグインも、ミクストコンテ ンツの原因になるので、使っている場合は外すこと。自分で Facebookのサイト に行って、安全なコードを取得して貼り付けること(Facebook Page URLにはhttpsの URLを入力)。JetPackまでこれだもんなぁ…トホホ。

追記

で、これだけだと img, script などのHTML要素しか対処できないのを忘れてました…。

実際には、サイト内リンクもすべてa要素で href=”http://www.example.com/…” な どとなっているし、form要素の action 属性も対処が必要です。

ということでネットをさまよって類似の全文フィルタを書いている人のを参考にしつつ、 より安全なほうに振った正規表現に書き換えてみました(自サイトURLをすべて/に置換 するのはさすがにやばいので)。

functions.php の最後のほうに追加しましょう。

いやー、絶対参照書き換えは地獄だぜ。フーハハハー。