SSL化後に「混在コンテンツ警告」が出るときの修正方法
- 常時SSL(HTTPS)に切り替えたら「保護されていない通信」や警告アイコンが出る
- 画像やJS/CSSの一部だけが http:// で読み込まれ、表示崩れや機能不全が起きている
- 自力で直せるのか、どこから外注すべきかを判断したい
WordPressレベル別 対応難易度
赤:外注推奨 オレンジ:条件付き自力可 緑:自力対応可
混在コンテンツ警告の全体像と対応方針
SSL化後に「送信しようとしている情報は保護されません」(Mixed Content)のような表示が発生する主因は、コンテンツ内やテーマ・プラグインのどこかに残った http:// の参照です。
まずは「どのリソースが HTTP で呼ばれているのか」を特定し、サイト設定/記事データ/テーマ・プラグイン/外部サービスの順で網羅的に潰していくのが近道。
やみくもに置換するのではなく、原因箇所の切り分け→安全に置換→最終確認の流れで進めましょう。
SSL化後の混在コンテンツ ~WordPressレベルごとのおすすめ対応
「原因特定の補助」までにして外注が安全
混在コンテンツは見た目の崩れだけでなく、フォーム送信やスクリプトが動かない等の不具合にも直結します。
赤レベルの方は、ブラウザのデベロッパーツール(F12)→Console/Securityで赤字になっているURLをスクショに取り、「どのページの、どの要素で、どのhttpリソースが呼ばれているか」をメモするところまでで、ここから先の置換や設定変更は外注が安全です。
やりがちな失敗は、プラグインで強制httpsにしただけで満足してしまうこと。これでは「既存記事の本文中の画像URL」や「テーマに直書きのhttp」、「ウィジェットやビルダー内の外部JS」などが残ってしまう可能性があります。
また、httpしか提供していない外部サービス(古いCDN・配布スクリプト等)を読み込んでいるケースは自力での判断が難しいため、無理せず専門家に相談しましょう。
外注へ渡す情報は、サイトURL(フロント/ログイン)・発生ページのURL・Consoleのエラー全文・直前に行った作業(SSL化手順/プラグイン導入など)。これがあるだけで作業がスムーズになり、費用と時間の無駄も減らせます。
設定と記事まわりの「安全な置換」まで
オレンジレベルの方なら、「設定」と「記事コンテンツ」の範囲に絞って自力対応が可能です。基本の流れは次のとおりです。
- まず 設定>一般 の WordPress アドレス(URL)/サイトアドレス(URL) が https:// になっているか確認
- 固定ページや投稿本文、カスタムHTMLブロックに残る http:// の画像・リンクを洗い出し、https:// に修正
- ビジュアルビルダー(例:ブロックエディタ、フォーム系、スライダー系)内のURL設定もチェック
- 画像の srcset やアイキャッチ・添付ファイルのURLが古いままになっていないかを確認
- 外部ドメインを読み込む場合、そのドメインがhttps対応しているかを必ず確認(未対応なら置換しても直らない)
注意点として、一括置換系プラグインは便利ですが、ウィジェット・メタ情報・シリアライズされたデータなどを壊すリスクがあります。範囲を狭く、事前にバックアップを取り、置換後は複数ページで動作確認を、これは怠らないようにしてください。
迷ったらここで一度止まり、テーマやプラグイン内のハードコードが疑われる場合は外注がおすすめです。
「根本対処」テーマ/プラグイン/インフラに踏み込む
緑レベルの方は、原因の階層を意識して網羅的に潰す。ポイントは以下です。
- テーマ側のハードコード:enqueue周り(CSS/JSの登録)、テンプレート内の画像パス、background-image の url(‘http://…’) などを精査。スキーム相対(//example.com)は極力 https:// へ明示
- プラグイン由来:古いスライダー/Lightbox/解析タグ挿入系でhttpが混在。設定UI・フィルターフック・テンプレートオーバーライドの順で確認し、代替プラグインも検討
- DB置換:エディタ保存内容・メタ・オプションに残るhttpを安全に置換。シリアライズ破壊に注意し、バックアップ→段階的置換→検証→ロールバック手順を用意
- 外部アセット:CDN/フォント/計測タグ(旧ライブラリ)でhttp混在。配布元のhttpsエンドポイントへ変更し、未対応リソースはローカルホスト化 or 代替サービスへ
- プロキシ/ロードバランサ:オフロード環境で X-Forwarded-Proto 未設定だと判定がhttpに。サーバー/ミドルの設定でHTTPS認識を正す
- 恒久対策:サイト全体の301リダイレクト方針、HSTS 導入方針、Cookie の Secure/SameSite 属性、混在コンテンツ検知のモニタリング(自動クロール)を整備
最終確認では、主要テンプレート(トップ/投稿/固定/アーカイブ/検索/404)、フォーム送信、ログイン状態の画面をそれぞれ 新規ウィンドウ+ハードリロードでチェック。
計測タグの読み込み順・CSP(導入時)・キャッシュ/最適化プラグインの影響も忘れず検証しましょう。
外注する場合のポイント
「範囲が広い/時間がない/壊すのが怖い」なら、混在コンテンツは外注が結果的に早くて確実です。費用・流れ・準備物を把握しておきましょう。
| 項目 | ポイント |
|---|---|
| 費用の目安 |
・軽微(数ページ・記事内画像の置換中心):10,000~20,000円 ・全体見直し(テーマ/プラグイン設定・DB置換含む):30,000~70,000円 ・大規模(外部アセット移行・CSP/HSTS方針含む):80,000円~ ※緊急対応や即日対応は割増になるケースあり |
| 依頼の流れ |
1. 事前共有:発生ページURL/Consoleエラーのスクショ/直近の変更点(SSL化手順・導入プラグイン) 2. 調査見積:範囲(設定・記事・テーマ・外部)とリスク説明を受ける 3. 作業実施:バックアップ→置換→設定→検証→報告の順で進行 4. 納品:対応一覧・再発予防の運用指針(編集ルール/外部タグ登録フロー) |
| 準備しておくと便利 |
・サーバー/管理画面のログイン情報(権限は最小限) ・CDN/外部タグ管理(GTM等)の権限 ・使用テーマと主要プラグインの一覧(バージョン付き) ・以前のSSL化手順メモ(切替日/リダイレクト設定の有無) |
混在コンテンツは、「どの階層にhttpが残っているか」を見つけて順番に潰せば必ず終点があります。設定と記事の範囲で収まるならオレンジレベルでも対応可能ですが、テーマ/プラグイン/外部資産に及ぶと一気に難度が上がります。
赤は無理せず外注、オレンジは設定と記事の安全置換まで、緑は根本対処+恒久策までが目安です。
再発を防ぐには、編集ルール(httpの手入力禁止)・外部タグ登録の運用・定期モニタリングを仕組み化するのが近道です。
初心者 … ログインなど基本も不安
基本操作 … 投稿OK/更新は不安
投稿メイン … 記事更新・差替えはできる
更新ユーザー … テーマ/プラグイン更新経験あり
データ操作 … DBやバックアップを理解
カスタマイザー … 子テーマ・CSS修正が可能
マスター … コード/サーバーまで自走可能