Comment réparer l'avertissement ou l'erreur de contenu mixte HTTPS dans WordPress

Publié: 2018-10-05

Les avertissements de contenu mixte se produisent lorsque seul une partie du contenu de votre site Web est sécurisée et cryptée avec un certificat SSL.

Cela entraîne des problèmes de sécurité ainsi qu'un message d'erreur que vos visiteurs peuvent voir indiquant que votre site Web n'est pas sécurisé.

Dans cet article, je partagerai plus de détails sur les avertissements de contenu mixte, leur signification, comment les corriger et comment les éviter sur votre site Web WordPress.

Qu'est-ce que le contenu mixte ?

Votre site Web est composé de nombreux types de contenu différents : un fichier HTML, des images, des vidéos, des feuilles de style, des scripts, etc. Lorsqu'un utilisateur tape une URL dans un navigateur, le navigateur demande au serveur de renvoyer les fichiers.

En raison de la quantité de contenu d'un site Web, votre navigateur peut devoir effectuer plusieurs requêtes à un serveur pour tout charger correctement.

Bien que le fichier HTML initial se charge sous une connexion sécurisée (à condition que vous disposiez d'un certificat SSL), les dernières demandes de sous-ressources peuvent ne pas être renvoyées de manière sécurisée.

Le résultat du chargement des ressources HTTPS et HTTP sur une seule page est un contenu mixte.

Cela se produit lorsque certaines URL ne sont pas configurées pour être diffusées via HTTPS. La mise à jour des URL de HTTP à HTTPS résoudra l'avertissement. Ceci est expliqué en détail plus loin.

Comme mentionné précédemment, la plupart des navigateurs afficheront un avertissement de contenu mixte pour informer l'utilisateur que les ressources qu'il a chargées ne sont pas sécurisées.

Types de contenu mixte

Tous les contenus non sécurisés ne présentent pas le même niveau de danger si votre site est compromis. Le contenu mixte peut être divisé en deux catégories : passif et actif.

Passif

Le contenu mixte passif n'interagit pas avec les autres contenus de la page. Cela inclut des ressources telles que des images, des vidéos et du contenu audio. Étant donné que les ressources sont statiques, les attaquants sont limités dans ce qu'ils peuvent accomplir s'ils s'emparent de votre site.

Le piratage possible pourrait inclure la modification d'images, l'insertion de publicités, la dégradation du site et le déplacement d'éléments pour confondre les utilisateurs, tels que les images des boutons d'enregistrement et de suppression.

De plus, même si le pirate informatique ne modifie pas le contenu de votre site, il est toujours en mesure de suivre les habitudes des utilisateurs et de voir les pages, les ressources et les produits qu'ils ont consultés.

actif

Le contenu mixte actif interagit avec la page dans son ensemble et inclut du contenu tel que des feuilles de style, des scripts, des iframes et des ressources flash. Un pirate informatique est capable de faire beaucoup de choses sur votre site Web s'il s'en empare.

L'attaquant pourrait modifier n'importe quoi sur la page, y compris insérer un contenu différent, voler des mots de passe ou même rediriger les utilisateurs vers un site malveillant.

Si vous avez du contenu actif que certains navigateurs bloquent entièrement sur le site, cela peut entraver l'expérience utilisateur ainsi que la confiance de votre visiteur dans votre site Web.

Pourquoi le contenu mixte est mauvais

L'utilisation du protocole HTTPS et le cryptage des communications entre le navigateur et le serveur sont importants pour protéger votre site et vos utilisateurs contre les attaques.

Les pages au contenu mixte ne sont que partiellement cryptées, ce qui laisse le contenu non crypté vulnérable aux pirates.

Selon que le contenu est passif ou actif, vous pouvez potentiellement céder le contrôle de l'ensemble de votre site Web sans vous en rendre compte.

Comment se comportent les navigateurs

Idéalement, tous les navigateurs bloqueraient tout contenu dangereux. Mais ce n'est pas vraiment faisable car des millions de personnes comptent sur Internet pour exercer leur liberté d'expression. Mais tout le monde n'a pas la capacité de se tenir au courant des dernières pratiques de sécurité.

Au lieu de cela, les navigateurs bloquent le contenu dangereux et permettent à un utilisateur de demander le contenu le moins dangereux. Il décide du niveau de danger à l'aide des spécifications de contenu mixte et détermine si le contenu est éventuellement bloquable ou bloquable .

Le contenu est éventuellement bloquable "lorsque le risque d'autoriser son utilisation en tant que contenu mixte est compensé par le risque de casser des parties importantes du Web", selon la spécification de contenu mixte du W3C.

Tout contenu mixte qui n'est pas considéré comme pouvant être bloqué en option est bloquable . Ainsi, les navigateurs mis à jour pour suivre la spécification de contenu mixte la restreignent.

Il peut être important de noter que tous les visiteurs n'utilisent pas des navigateurs à jour. Lors du développement d'un site, des comportements de navigateur spécifiques impliquant un contenu mixte peuvent être trouvés sur le site Web de chaque navigateur.

Démixer le contenu

Si vous avez reçu ces avertissements de contenu mixte, vous pouvez prendre quelques mesures pour sécuriser votre site Web et son contenu.

Sauvegardez-le

Avant d'apporter des modifications drastiques à votre site, assurez-vous d'avoir une sauvegarde au cas où quelque chose tournerait mal. Vous souhaiterez également effectuer une sauvegarde après ces modifications pour verrouiller votre contenu nouvellement sécurisé.

Si vous avez besoin de conseils pour choisir un plugin de sauvegarde, jetez un œil à 5 ​​plugins de sauvegarde WordPress gratuits et les meilleurs : la liste définitive.

Certains plugins ont même des scanners de sécurité intégrés pour protéger votre contenu.

Jouer au détective

Chaque navigateur a une manière différente de vous avertir de votre avertissement de contenu mixte. Mais, il se trouve généralement dans la barre d'URL avec une icône de cadenas modifiée.

Exemple d'avertissement de contenu mixte dans Chrome
La notification Chrome est un bouclier avec un "X" encadré rouge devant. Passez la souris dessus pour voir le message d'avertissement.

Chrome version 21 ou ultérieure a un bouclier gris avec une boîte rouge sur le côté droit de la barre d'URL.

Firefox a un petit cadenas avec une icône d'avertissement. Les versions 9.0.1 ou ultérieures de Safari n'affichent pas d'avertissement de contenu mixte, mais le contenu peut toujours être bloqué.

Méthode console

Une fois que vous avez vu l'avertissement de contenu mixte pour votre site, vous pouvez déterminer quel contenu n'est pas sécurisé en vérifiant la console JavaScript de votre navigateur.

La méthode pour accéder à la console varie d'un navigateur à l'autre et vous pouvez consulter la documentation de votre navigateur pour plus de détails.

Dans Chrome, faites un clic droit sur la fenêtre et sélectionnez Inspecter .

En haut de la fenêtre Inspecteur, il y a une série d'onglets. Cliquez sur Console .

Console chromée
Sélectionnez l'onglet Console pour afficher la console JavaScript où les messages d'avertissement apparaissent.

Si un contenu a été chargé sur la page et a déclenché un avertissement de contenu mixte, il apparaît dans la console.

La notification vous indiquera ce qui a réussi avec le protocole HTTPS et ce qui a été jugé soit éventuellement bloquable soit bloquable par votre navigateur. Vous pouvez alors prendre note de tout votre contenu non sécurisé afin de pouvoir le sécuriser plus tard.

ConsoleJavaScript
Selon la gravité, un avertissement de contenu mixte est codé par couleur pour actif et passif. Vous pourrez vérifier les liens pour voir quel contenu n'est pas sécurisé.

Remarque : La console JavaScript ne charge que les avertissements de contenu mixte pour la page sur laquelle elle se trouve. Vous devrez donc visiter chaque page manuellement pour tester le contenu de votre site.

Méthode du code source

Vous pouvez également afficher le contenu non sécurisé de votre site Web en consultant son code source.

Dans Chrome et Firefox, faites un clic droit sur votre site Web et sélectionnez Afficher la source de la page . Dans Safari, l'option s'appelle Afficher la source de la page .

Le code source de votre page entière apparaîtra. Ensuite, vous pouvez effectuer une recherche sur "http://" pour voir quelles ressources de votre site n'utilisent pas le protocole HTTPS.

Vérification de votre contenu

Vous pouvez également placer l'URL du contenu non sécurisé que vous trouvez dans la barre d'adresse de votre navigateur. Mais remplacez "http://" par "https://" pour vous assurer que la ressource est toujours disponible via une connexion sécurisée.

Si votre site Web se charge sans erreur, vous pouvez accéder à vos fichiers et paramètres. Ensuite, remplacez définitivement chaque URL par le préfixe sécurisé "https://".

Rechercher et remplacer des plugins

Il existe un certain nombre de plugins et d'outils qui vous aideront à trouver du contenu non sécurisé, puis à le remplacer en quelques clics.

Les options du plugin peuvent être supprimées une fois vos URL mises à jour.

Pourquoi pas de cadenas

Site Web Pourquoi pas de cadenas

Why No Padlock est un site Web qui vous permet de brancher une URL sécurisée et le site vous fournira un rapport sur votre certificat SSL ainsi que sur tout contenu mixte de votre site.

Il vérifie également le test de l'algorithme SHA-1, le test POODLE et les appels de formulaire non sécurisés.

C'est une excellente alternative à un plugin si vous voulez que les fichiers de votre site restent légers. Mais, ce n'est qu'un outil de diagnostic et ne fera aucun remplacement réel.

Fixateur de contenu non sécurisé SSL

Plug-in SSL Secure Content Fixer

Le fixateur de contenu non sécurisé SSL est un plugin qui vérifiera et trouvera votre contenu non sécurisé et le réparera pour vous.

Il existe un certain nombre de niveaux de profondeur différents qu'ils utilisent pour rechercher du contenu non sécurisé à partir d'URL pour vérifier chaque élément de votre site Web.

Vous pouvez commencer avec du contenu statique et continuer à partir de là si les avertissements de contenu mixte apparaissent toujours.

Meilleure recherche Remplacer

Meilleur plug-in de remplacement de recherche

Le plug-in Better Search Replace vous permet d'effectuer une recherche sur une chaîne de texte, puis de mettre à jour le contenu d'un site Web pour vous assurer que vous fonctionnez correctement après le transfert d'un site Web.

Vous pouvez rechercher le préfixe "https://". Ensuite, remplacez automatiquement toutes les URL qui le contiennent pour avoir le préfixe "https:// à la place.

L'une des fonctionnalités intéressantes du plug-in Better Search Replace est la possibilité de faire un essai pour s'assurer que vous n'avez rien changé accidentellement ou involontairement.

Ce plugin est également livré avec un support multisite.

Contenu : non mélangé

Un avertissement de contenu mixte peut ne pas être évident, mais il aide à signaler un problème majeur avec votre site. Prendre quelques mesures pour modifier vos ressources non sécurisées vaut votre temps. Surtout pour la tranquillité d'esprit de vos utilisateurs, sans parler de la vôtre.

Avez-vous trouvé l'avertissement de contenu mixte sur votre site WordPress ? Avez-vous pu le résoudre ou avez-vous rencontré des problèmes ? Quelle est votre solution préférée pour corriger l'avertissement de contenu mixte ? N'hésitez pas à partager votre expérience avec nous dans les commentaires ci-dessous.