WordPressのチェックアウトページが安全でない場合、顧客はそれに気づきます。南京錠アイコンの欠如、HTTP URL、またはブラウザの「保護されていない」という警告は、たとえあなたの製品が素晴らしくても、販売が始まる前に停止させる可能性があります。
WordPressにおける安全なチェックアウトとは、通信中の顧客データを保護するためにHTTPS暗号化を使用し、カード番号がサーバーに保存されないようにPCI準拠の決済ゲートウェイに接続し、自動攻撃をブロックするためのreCAPTCHAのような不正防止策を含むチェックアウトページのことです。顧客はブラウザに南京錠が表示されることで、接続が安全であることを確認できます。
このガイドでは、Easy Digital Downloads (EDD) を使用して、WordPressで安全なチェックアウトを有効にする方法を段階的に説明します。
主なポイント
| SSLが最優先 | すべての安全なチェックアウトは、アクティブなSSL証明書から始まります。それがなければ、他のどのステップもストアを完全に保護することはできません。 |
| EDDはHTTPSを自動的に強制します | Easy Digital Downloadsの1つの設定で、すべての顧客を安全なチェックアウトページにリダイレクトします。 |
| PCI準拠のゲートウェイを使用する | StripeとPayPalはカードデータを処理するため、お客様がデータを保存する必要はありません。 |
| reCAPTCHAはEDDに組み込まれています | 追加のプラグインは不要です。[ Downloads ] » [ Settings ] » [ Misc ] » [ CAPTCHA ] で有効にします。 |
| トラストバッジはカート放棄を減らします | チェックアウト時のセキュリティシールと支払いロゴは、購入ボタンをクリックする前に購入者を安心させます。 |
WordPressチェックアウトを安全にするものは?
設定を有効にする前に、ストアを保護するために連携する3つの要素を理解しておくと役立ちます。
SSLとHTTPS
SSL(Secure Sockets Layer)は、お客様のブラウザとサーバー間のデータを暗号化します。アクティブになると、チェックアウトURLはhttps://で始まり、アドレスバーに南京錠が表示されます。それがなければ、支払いデータはプレーンテキストで送信され、接続を傍受した人に表示される可能性があります。ほとんどのホスティングプロバイダーは、Let’s Encryptを通じて無料のSSL証明書を提供しています。
PCI DSS準拠
PCI DSS(Payment Card Industry Data Security Standard)は、企業が支払いカードデータをどのように処理するかを規定しています。StripeやPayPalのようなホスト型ゲートウェイを使用する場合、それらはPCI認証を取得し、カードデータをエンドで処理します。サイトでHTTPSをアクティブにしておく必要があります。PCI DSS 4.0は2025年3月に新しい要件を導入したため、最新の準拠したゲートウェイがこれまで以上に重要になっています。
不正およびスパム対策
ボットは自動化されたスクリプトを使用して、チェックアウトフォームを通じて盗まれたカード番号をテストします。reCAPTCHAはバックグラウンドで目立たずに実行され、支払い処理業者に到達する前にこれらの試行をブロックします。Easy Digital DownloadsにはコアにreCAPTCHAサポートが含まれているため、追加のプラグインは必要ありません。
必要なもの
開始する前に、これらが整っていることを確認してください:
- SSL互換のホスティングプランを備えたWordPressサイト。 Levamo(旧Rapyd Cloud)は、EDDの推奨WordPressホストです。
- Easy Digital Downloads。 無料プラグインはWordPress.orgで入手できます。以下の手順の一部には有料プランが必要な場合があります。詳細はEDDの料金を確認してください。
- 支払いゲートウェイアカウント。 StripeまたはPayPal。これはステップ3で接続します。
WordPressで安全なチェックアウトを有効にする方法
Easy Digital Downloadsのチェックアウトを最初からロックダウンする方法は次のとおりです。
ステップ1. SSL証明書をインストールして有効化する
SSL証明書は、安全なチェックアウトの基盤です。それがなければ、ブラウザはチェックアウトページに「安全ではありません」という警告を表示し、ほとんどの顧客は購入を完了する前に離脱します。
SSLがすでにインストールされているかどうかを確認するには、ホスティングダッシュボードを確認してください。ほとんどの最新ホストは自動的に有効にします。
まだの場合は、ホスティングコントロールパネルのSSLまたはセキュリティセクションを見つけて、無料のLet’s Encrypt証明書を有効にしてください。
SSLがアクティブになったら、WordPressサイトのURLを更新します。[ Settings ] »[ General ]に移動し、WordPressアドレスとサイトアドレスの両方をhttp://からhttps://に変更します。[ Save Changes ]をクリックします。
チェックアウトページにアクセスし、ブラウザのアドレスバーに南京錠のアイコンが表示されることを確認してください。代わりに警告が表示される場合は、ホストに証明書が正しくインストールされているか確認してください。
ステップ2. EDDでセキュアチェックアウトを強制するを有効にする
Easy Digital Downloadsには、すべての顧客をチェックアウトページのHTTPSバージョンに自動的にリダイレクトする組み込み設定があります。誰かがHTTP URLにアクセスした場合でも、EDDはページが読み込まれる前に安全なバージョンにプッシュします。
ダウンロード »設定»支払い»チェックアウトに移動し、チェックアウト時のSSLの強制を有効にします。変更を保存をクリックします。
この設定を機能させるには、アクティブなSSL証明書が必要です。まだ完了していない場合は、まずステップ1を完了してください。
ステップ3. PCI準拠の決済ゲートウェイに接続する
支払いゲートウェイはカードデータを処理するものです。StripeやPayPalのようなPCI準拠のゲートウェイを使用すると、カード番号がサーバーに触れることはなく、ゲートウェイがすべてを処理します。
Stripeを接続するには、ダウンロード »設定»支払い»Stripeに移動します。Stripeで接続をクリックし、プロンプトに従ってStripeアカウントをリンクします。EDDは必要なWebフックを自動的に構成します。
変更を保存します。支払い »一般タブに移動し、Stripeをアクティブなゲートウェイとして選択します。
PayPalの場合は、同じ画面からPayPalを選択し、アカウントの資格情報を入力してください。
完全なチュートリアルについては、EDD Stripeセットアップドキュメントを参照してください。
ステップ4. チェックアウトでreCAPTCHAを有効にする
自動ボットは、チェックアウトフォームを繰り返し送信することで、盗まれたカード番号をテストします。reCAPTCHA v3は、これらの試みをサイレントにブロックします。実際の顧客はチェックボックスや画像パズルを見ることはありません。
Easy Digital Downloadsには、reCAPTCHAサポートがネイティブに含まれています。ダウンロード »設定»その他»CAPTCHAに移動します。プロバイダーとしてGoogleのreCAPTCHA v3を選択します。
Google reCAPTCHAアカウントから取得したサイトキーとシークレットキーを、提供されたフィールドに貼り付けます。
チェックアウト時のCAPTCHAおよびオンデマンドCAPTCHAオプションを構成します。
変更を保存をクリックします。
APIキーを取得するには、GoogleのreCAPTCHA管理コンソールにアクセスし、サイトを登録して、キーをコピーします。
ステップ5. チェックアウトページに信頼バッジを追加する
セキュリティは、内部で起こっていることだけではありません。顧客は、見た目に基づいて一瞬の判断を下します。トラストバッジ(セキュリティシール、支払いロゴ、保証アイコン)は、購入ボタンをクリックする前に、バイヤーにデータが安全であることを伝えます。
最も簡単な勝利:チェックアウトページに支払いゲートウェイのロゴを表示します。StripeとPayPalの両方には、ブランド承認済みのバッジアセットがあります。SSLプロバイダーからの「セキュアチェックアウト」シールも、迅速に追加できます。
ソーシャルプルーフのために、TrustPulseは購入の信頼性を購入時に強化するリアルタイムの購入通知を表示できます。
デジタル信頼に関するガイドで詳細をご覧ください。デジタル信頼。
ステップ6. WordPress、テーマ、プラグインを最新の状態に保つ
古いソフトウェアは、サイトが侵害される最も一般的な侵入口です。セキュリティの脆弱性が発見されると、アップデートによってそれらが修正されます。WordPress、テーマ、またはプラグインの古いバージョンを実行していると、それらのドアが開いたままになります。
ダッシュボード » アップデートに移動し、保留中のアップデートを適用してください。
WordPressコアについては、マイナーアップデートの自動適用を有効にできます。プラグインのアップデートを確認するために週に一度のリマインダーを設定するか、信頼できるプラグインの自動アップデートを有効にしてください。
メジャーアップデートの前に、必ずサイトをバックアップしてください。Duplicatorは自動バックアップを簡単にし、ライブサーバー外にコピーを保存します。
追加する価値のある追加のセキュリティ対策
上記の6つのステップは、基本的な内容をカバーしています。これらはさらに進んだ内容です。
EDDの組み込み注文監視を使用する
不正なトランザクションを防止するために、Stripeの早期不正警告を使用していることを確認してください。
Easy Digital Downloadsは、すべての注文アクティビティを記録し、購入、IPアドレス、顧客の詳細の記録を提供します。
特にプロモーションの後など、ボットアクティビティが急増する傾向がある場合は、定期的にダウンロード » 注文を確認してください。
同じIPアドレスからの複数の注文や、請求名とメールアドレスの不一致などのパターンを探してください。
さらに詳しく知りたい場合は、WordPressでeコマース詐欺を防ぐ方法に関するガイドをご覧ください。
WordPress管理ログインを保護する
チェックアウトはロックダウンされているかもしれませんが、脆弱な管理者アカウントはすべてを危険にさらします。
WordPress管理者ログインに二要素認証(2FA)を有効にしてください。ほとんどのホスティングコントロールパネルがこれを提供しており、いくつかのセキュリティプラグインも提供しています。
また、ログイン試行失敗回数を制限することで、ブルートフォース攻撃をブロックすることもできます。WPCodeを使用すると、テーマファイルを直接編集せずにログイン保護スニペットを簡単に追加できます。
定期的なバックアップをスケジュールする
バックアップは、何か問題が発生した場合の復旧計画です。
自動バックアップをスケジュールし、ライブサーバー外の場所に保存するためにDuplicatorを使用してください。
サイトが侵害された場合、クリーンなバックアップは通常の状態に戻るための最も速い道です。
WordPressの安全なチェックアウトに関するFAQ
WordPressのチェックアウトセキュリティは、SSLだけではありません。ストアと顧客を保護し続けることに関する最も一般的な質問への回答を以下に示します。
WordPressの安全なチェックアウトとは何ですか?
WordPressの安全なチェックアウトとは、転送中の顧客データを保護するためにHTTPS暗号化を使用するチェックアウトページであり、カード番号がサーバーに保存されないようにPCI準拠の支払いゲートウェイに接続し、reCAPTCHAのような不正防止対策が含まれているものです。顧客はブラウザバーの南京錠アイコンを見て、接続が暗号化されていることを確認します。
WordPressで支払いを受け付けるにはSSL証明書が必要ですか?
はい。SSLは、StripeやPayPalを含むすべての主要な支払いゲートウェイがサイトでのトランザクションを処理する前に必要とします。SSLがないと、チェックアウトページにブラウザで「保護されていない」という警告が表示され、ほとんどの顧客は購入を完了する前に放棄します。
WordPressチェックアウトページでHTTPSを強制するにはどうすればよいですか?
Easy Digital Downloadsで ダウンロード » 設定 » 支払い » チェックアウト に移動し、チェックアウト時のSSL強制を有効にします。これにより、すべての顧客が自動的にチェックアウトのHTTPSバージョンにリダイレクトされます。サイト全体でHTTPSを強制するには、設定 » 一般 の両方のURLフィールドを https:// を使用するように更新し、ホスティングダッシュボードでHTTPからHTTPSへのリダイレクトを設定します。
Easy Digital DownloadsはPCIに準拠していますか?
Easy Digital Downloadsはカードデータを直接処理せず、PCI DSSに準拠したStripeやPayPalのような認定ゲートウェイに接続します。これらのゲートウェイのいずれかを使用し、ストアが生のカード番号を保存しない限り、PCI準拠のガイドライン内で運用されています。認定はゲートウェイが保持し、あなたの仕事はサイトを安全に保ち、ソフトウェアを最新の状態に保つことです。
HTTPSに切り替えた後、混合コンテンツの警告を修正するにはどうすればよいですか?
混合コンテンツエラーは、ページがHTTPSで読み込まれるにもかかわらず、一部のリソース(画像、スクリプト、またはスタイルシート)がHTTP経由で読み込まれる場合に発生します。これを修正するには、データベース内のすべての内部URLをHTTPからHTTPSに更新します。Really Simple SSLのようなプラグインは、このプロセスを自動化できます。修正後、ブラウザの開発者ツールを使用して、HTTPリソースが残っていないことを確認してください。
信頼バッジとは何ですか?また、チェックアウトコンバージョンに役立ちますか?
トラストバッジは、購入者のデータが安全であることを安心させるために、チェックアウトページに表示される視覚的なインジケーター(SSLシール、支払いロゴ、セキュリティ証明書、または返金保証アイコン)です。チェックアウト時の目に見えるセキュリティ信号は、ブランドとの信頼をまだ築いていない初回購入者にとって、特にカート放棄を減らします。
SSL証明書が機能していることを確認するにはどうすればよいですか?
ブラウザでチェックアウトページにアクセスし、アドレスバーの南京錠アイコンを探します。それが存在し、URLがhttps://で始まっている場合、証明書はアクティブです。より詳細なチェックについては、SSL Labs (ssllabs.com/ssltest/) を使用してください。ドメインを貼り付けると、証明書のグレード、有効期限、および修正する価値のある設定の問題が報告されます。
自信を持ってデジタル製品の販売を開始する
安全なチェックアウトは、顧客のデータとストアの評判を保護します。SSLをアクティブにし、Easy Digital DownloadsでHTTPSを強制し、信頼できる支払いゲートウェイを接続し、reCAPTCHAを有効にし、トラストシグナルを追加すれば、最も重要なことに対処できます。
Easy Digital Downloadsを使用すると、開発者を必要とせずにWordPressで安全でプロフェッショナルなストアを簡単に運営できます。始める準備はできましたか?
📣追伸:ニュースレターを購読し、Facebook、Twitter/X、またはLinkedInでフォローして、WordPressのリソースをさらに入手してください!
