WordPressの管理画面でのSSL通信

提供:あわ自由帳

管理画面での SSL 通信を簡単に有効化し、強制使用するには、サイトの wp-config.php ファイルで定数を定義します。

SSL ログインを強制する

すべてのログインを SSL を通して行うには、FORCE_SSL_LOGIN 定数を true に設定します。
※WordPress 4.0 から廃止になっているようです。

// SSL ログインを強制する
define('FORCE_SSL_LOGIN', true);

SSL ログイン・管理画面アクセスを強制する

すべてのログインおよび管理画面へのアクセスを SSL を通して行うには、FORCE_SSL_ADMIN 定数を true に設定します。

// SSL ログイン・管理画面アクセスを強制する
define('FORCE_SSL_ADMIN', true);

以下の処理より上に設定を記述する必要がある

/** Sets up WordPress vars and included files. */
require_once(ABSPATH . 'wp-settings.php');

どちらを使うべきか

FORCE_SSL_LOGIN は、ログインを保護したい時に使います。パスワードは平文で送られませんが、SSL はスピードが落ちるため、管理画面のアクセスは SSL 通信にしたくないときに選ぶとよいでしょう。

FORCE_SSL_ADMIN は、ログインおよび管理画面のアクセスを両方とも保護したい時に使います。パスワード・Cookie が平文で送られないようにする、もっとも安全な方法です。