Cara Memperbaiki Peringatan atau Kesalahan Konten Campuran HTTPS di WordPress
Diterbitkan: 2018-10-05Peringatan konten campuran terjadi ketika hanya beberapa konten di situs web Anda yang diamankan dan dienkripsi dengan sertifikat SSL.
Hal ini menyebabkan masalah keamanan serta pesan kesalahan yang dapat dilihat pengunjung Anda yang menunjukkan bahwa situs web Anda tidak aman.
Dalam posting ini, saya akan membagikan lebih detail tentang peringatan konten campuran, apa artinya, bagaimana cara memperbaikinya dan bagaimana menghindarinya di situs WordPress Anda.
Apa itu Konten Campuran?
Situs web Anda terdiri dari berbagai jenis konten: file HTML, gambar, video, lembar gaya, skrip, dan lainnya. Saat pengguna mengetik URL ke browser, browser membuat permintaan ke server untuk mengembalikan file.
Karena jumlah konten di situs web, browser Anda mungkin harus membuat beberapa permintaan ke server untuk memuat semuanya dengan benar.
Sementara file HTML awal akan dimuat di bawah koneksi aman, (asalkan Anda memiliki sertifikat SSL), permintaan terakhir untuk subsumber daya mungkin tidak dikembalikan dengan aman.
Hasil dari sumber daya HTTPS dan HTTP yang dimuat ke satu halaman adalah konten campuran.
Ini terjadi ketika beberapa URL tidak disiapkan untuk ditayangkan melalui HTTPS. Memperbarui URL dari HTTP ke HTTPS akan menyelesaikan peringatan. Ini dijelaskan secara rinci nanti.
Seperti yang disebutkan sebelumnya, sebagian besar browser akan menampilkan peringatan konten campuran untuk memberi tahu pengguna bahwa sumber daya yang mereka muat tidak aman.
Jenis Konten Campuran
Tidak semua konten tidak aman memiliki tingkat bahaya yang sama jika situs Anda disusupi. Konten campuran dapat dibagi menjadi dua kategori: pasif dan aktif.
Pasif
Konten campuran pasif tidak berinteraksi dengan konten lain di halaman. Ini termasuk sumber daya seperti gambar, video, dan konten audio. Karena sumber daya bersifat statis, penyerang terbatas dalam hal apa yang dapat mereka capai jika mereka menguasai situs Anda.
Kemungkinan peretasan dapat mencakup mengubah gambar, menyisipkan iklan, mengubah tampilan situs, dan memindahkan elemen untuk membingungkan pengguna seperti tombol simpan dan hapus gambar.
Selain itu, meskipun peretas tidak mengubah konten situs Anda, mereka tetap dapat melacak pola pengguna dan melihat laman, sumber daya, dan produk apa yang mereka lihat.
Aktif
Konten campuran aktif berinteraksi dengan halaman secara keseluruhan dan mencakup konten seperti lembar gaya, skrip, iframe, dan sumber daya flash. Seorang peretas dapat melakukan banyak hal pada situs web Anda jika mereka mengetahuinya.
Penyerang akan dapat mengubah apa pun tentang halaman tersebut, termasuk memasukkan konten yang berbeda, mencuri kata sandi, atau bahkan mengarahkan pengguna ke situs jahat.
Jika Anda memiliki konten aktif yang diblokir sepenuhnya oleh beberapa browser dari situs, hal itu dapat menghambat pengalaman pengguna serta kepercayaan pengunjung Anda terhadap situs web Anda.
Mengapa Konten Campuran Buruk
Menggunakan protokol HTTPS dan mengenkripsi komunikasi antara browser dan server penting untuk melindungi situs Anda dan pengguna Anda dari serangan.
Halaman dengan konten campuran hanya dienkripsi sebagian, sehingga konten yang tidak terenkripsi rentan terhadap peretas.
Bergantung pada apakah kontennya pasif atau aktif, Anda berpotensi menyerahkan kendali atas seluruh situs web Anda tanpa menyadarinya.
Bagaimana Peramban Berperilaku
Idealnya, semua browser akan memblokir semua konten berbahaya. Tapi, ini tidak benar-benar layak karena jutaan orang mengandalkan internet untuk menjalankan kebebasan berbicara. Namun, tidak semua orang memiliki kemampuan untuk tetap up-to-date pada praktik keamanan terbaru.
Sebaliknya, browser memblokir konten berbahaya dan mengizinkan konten yang kurang berbahaya untuk diminta oleh pengguna. Ini memutuskan tingkat bahaya menggunakan spesifikasi konten campuran dan menentukan apakah konten opsional dapat diblokir atau diblokir .
Konten dapat diblokir secara opsional "ketika risiko mengizinkan penggunaannya sebagai konten campuran lebih besar daripada risiko melanggar sebagian besar web," menurut Spesifikasi Konten Campuran W3C.
Semua konten campuran yang tidak dianggap dapat diblokir secara opsional dapat diblokir . Jadi, browser yang diperbarui untuk mengikuti Spesifikasi Konten Campuran membatasinya.
Penting untuk dicatat bahwa tidak semua pengunjung menggunakan browser terbaru. Saat mengembangkan situs, perilaku browser tertentu yang melibatkan konten campuran dapat ditemukan di setiap situs web browser.
Membatalkan Pencampuran Konten
Jika Anda telah menerima peringatan konten campuran ini, ada beberapa langkah yang dapat Anda ambil untuk membantu mengamankan situs web dan konten Anda.
Kembali ke atas
Sebelum Anda membuat perubahan drastis pada situs Anda, pastikan Anda memiliki cadangan untuk berjaga-jaga jika terjadi kesalahan. Anda juga ingin membuat cadangan setelah perubahan ini untuk mengunci konten Anda yang baru aman.
Jika Anda memerlukan saran untuk memilih plugin cadangan, lihat 5 Plugin Cadangan WordPress Gratis dan Terbaik: Daftar Definitif.
Beberapa plugin bahkan memiliki pemindai keamanan bawaan untuk menjaga konten Anda tetap aman.
Bermain Detektif
Setiap browser memiliki cara berbeda untuk memberi tahu Anda tentang peringatan konten campuran Anda. Tapi, biasanya ditemukan di bilah URL dengan ikon gembok yang diubah.
Chrome versi 21 atau yang lebih baru memiliki perisai abu-abu dengan kotak merah di sisi kanan bilah URL.
Firefox memiliki kunci kecil dengan ikon peringatan. Safari versi 9.0.1 atau yang lebih baru tidak menampilkan peringatan konten campuran, tetapi konten mungkin masih diblokir.
Metode Konsol
Setelah Anda melihat peringatan konten campuran untuk situs Anda, Anda dapat menentukan konten apa yang tidak aman dengan memeriksa konsol JavaScript di browser Anda.
Metode untuk mencapai konsol bervariasi dari satu browser ke browser lainnya dan Anda dapat berkonsultasi dengan dokumentasi browser Anda untuk detailnya.
Di Chrome, klik kanan pada jendela dan pilih Inspect .
Di bagian atas jendela Inspektur ada serangkaian tab. Klik Konsol .
Jika ada konten yang dimuat di halaman dan memicu peringatan konten campuran, konten tersebut akan muncul di konsol.
Pemberitahuan akan memberi tahu Anda apa yang berhasil dilakukan dengan protokol HTTPS dan apa yang dianggap dapat diblokir atau diblokir secara opsional oleh browser Anda. Anda kemudian dapat mencatat semua konten tidak aman Anda sehingga Anda dapat mengamankannya nanti.
Harap diperhatikan : Konsol JavaScript hanya memuat peringatan konten campuran untuk laman tempat ia berada. Jadi, Anda harus mengunjungi setiap halaman secara manual untuk menguji konten situs Anda.
Metode Kode Sumber
Anda juga dapat melihat konten tidak aman yang dimiliki situs web Anda dengan melihat kode sumbernya.
Di Chrome dan Firefox, klik kanan situs web Anda dan pilih Lihat Sumber Halaman . Di Safari, opsi ini disebut Show Page Source .
Seluruh kode sumber halaman Anda akan muncul. Kemudian, Anda dapat melakukan pencarian untuk “http://” untuk melihat sumber daya di situs Anda yang tidak menggunakan protokol HTTPS.
Memverifikasi Konten Anda
Anda juga dapat menempatkan URL konten tidak aman yang Anda temukan di bilah alamat browser. Tapi, ganti "http://" dengan "https://" untuk memastikan sumber daya masih tersedia melalui koneksi yang aman.
Jika situs web Anda dimuat tanpa kesalahan, Anda dapat masuk ke file dan pengaturan Anda. Kemudian, ubah setiap URL secara permanen ke awalan “https://” yang aman.
Cari dan Ganti Plugin
Ada sejumlah plugin dan alat yang akan membantu Anda menemukan konten yang tidak aman, lalu menggantinya dalam beberapa klik.
Opsi plugin dapat dihapus setelah URL Anda diperbarui.
Mengapa Tidak Ada Gembok?
Why No Padlock adalah situs web yang memungkinkan Anda memasukkan URL aman dan situs tersebut akan memberi Anda laporan tentang sertifikat SSL Anda serta konten campuran apa pun di situs Anda.
Itu juga memeriksa tes Algoritma SHA-1, tes POODLE, dan panggilan formulir yang tidak aman.
Ini adalah alternatif yang sangat baik untuk sebuah plugin jika Anda ingin menjaga file situs Anda tetap ramping. Tapi, itu hanya alat diagnostik dan tidak akan melakukan penggantian yang sebenarnya.
Pemecah Konten Tidak Aman SSL
SSL Insecure Content Fixer adalah plugin yang akan memeriksa dan menemukan konten tidak aman Anda dan memperbaikinya untuk Anda.
Ada sejumlah tingkat kedalaman berbeda yang mereka gunakan untuk mencari konten tidak aman dari URL hingga memeriksa setiap elemen situs web Anda.
Anda dapat mulai dengan konten statis dan bekerja dari sana jika peringatan konten campuran masih muncul.
Ganti Pencarian Lebih Baik
Plugin Better Search Replace memungkinkan Anda menjalankan pencarian untuk string teks, kemudian memperbarui konten di situs web untuk memastikan Anda berjalan dengan benar setelah transfer situs web.
Anda dapat mencari awalan “https://”. Kemudian, secara otomatis ganti URL apa pun yang memuatnya agar memiliki awalan “https://.
Salah satu fitur rapi dari plugin Better Search Replace adalah kemampuan untuk melakukan dry run untuk memastikan bahwa Anda tidak mengubah apa pun secara tidak sengaja atau tidak sengaja.
Plugin ini juga dilengkapi dengan dukungan Multisite.
Konten: Tidak Dicampur
Peringatan konten campuran mungkin tidak jelas, tetapi membantu menunjukkan masalah besar pada situs Anda. Mengambil beberapa langkah untuk memodifikasi sumber daya tidak aman Anda sepadan dengan waktu Anda. Terutama untuk ketenangan pikiran pengguna Anda, belum lagi Anda sendiri.
Apakah Anda menemukan peringatan konten campuran di situs WordPress Anda? Apakah Anda dapat menyelesaikannya atau mengalami masalah? Apa solusi favorit Anda untuk memperbaiki peringatan konten campuran? Jangan ragu untuk berbagi pengalaman Anda dengan kami di komentar di bawah.