Come correggere l'avviso o l'errore di contenuto misto HTTPS in WordPress

Gli avvisi di contenuto misto si verificano quando solo alcuni contenuti del tuo sito Web sono protetti e crittografati con un certificato SSL.

Ciò comporta problemi di sicurezza e un messaggio di errore che i tuoi visitatori possono visualizzare indicando che il tuo sito Web non è sicuro.

In questo post, condividerò maggiori dettagli sugli avvisi di contenuto misto, cosa significano, come risolverli e come possono essere evitati sul tuo sito Web WordPress.

Che cos'è il contenuto misto?

Il tuo sito web è composto da molti diversi tipi di contenuto: un file HTML, immagini, video, fogli di stile, script e altro ancora. Quando un utente digita un URL in un browser, il browser richiede al server di restituire i file.

A causa della quantità di contenuto in un sito Web, il tuo browser potrebbe dover effettuare più richieste a un server per caricare tutto correttamente.

Mentre il file HTML iniziale verrà caricato con una connessione protetta, (a condizione che tu disponga di un certificato SSL) le ultime richieste di sottorisorse potrebbero non essere restituite in modo sicuro.

Il risultato del caricamento di risorse HTTPS e HTTP su una singola pagina è un contenuto misto.

Ciò accade quando alcuni URL non sono configurati per essere serviti su HTTPS. L'aggiornamento degli URL da HTTP a HTTPS risolverà l'avviso. Questo è spiegato in dettaglio più avanti.

Come accennato in precedenza, la maggior parte dei browser visualizzerà un avviso di contenuto misto per far sapere all'utente che le risorse che hanno caricato non sono sicure.

Tipi di contenuto misto

Non tutti i contenuti non sicuri presentano lo stesso livello di pericolo se il tuo sito viene compromesso. I contenuti misti possono essere suddivisi in due categorie: passivi e attivi.

Passivo

Il contenuto misto passivo non interagisce con altri contenuti della pagina. Ciò include risorse come immagini, video e contenuti audio. Poiché le risorse sono statiche, gli aggressori sono limitati in ciò che sono in grado di ottenere se si impossessano del tuo sito.

Un possibile hacking potrebbe includere la modifica delle immagini, l'inserimento di annunci pubblicitari, la deturpazione del sito e lo spostamento di elementi per confondere gli utenti come le immagini dei pulsanti di salvataggio ed eliminazione.

Inoltre, anche se l'hacker non altera il contenuto del tuo sito, è comunque in grado di tracciare i modelli degli utenti e visualizzare quali pagine, risorse e prodotti hanno visualizzato.

Attivo

Il contenuto misto attivo interagisce con la pagina nel suo insieme e include contenuti come fogli di stile, script, iframe e risorse flash. Un hacker è in grado di fare molto per il tuo sito web se riesce a impossessarsene.

L'attaccante sarebbe in grado di modificare qualsiasi cosa nella pagina, incluso l'inserimento di contenuti diversi, il furto di password o persino il reindirizzamento degli utenti a un sito dannoso.

Se hai contenuti attivi che alcuni browser bloccano completamente dal sito, può ostacolare l'esperienza dell'utente e la fiducia del tuo visitatore nel tuo sito web.

Perché i contenuti misti sono cattivi

L'uso del protocollo HTTPS e la crittografia della comunicazione tra browser e server è importante per proteggere il tuo sito e i tuoi utenti dagli attacchi.

Le pagine con contenuto misto sono solo parzialmente crittografate, il che rende il contenuto non crittografato suscettibile agli hacker.

A seconda che il contenuto sia passivo o attivo, puoi potenzialmente cedere il controllo dell'intero sito web senza esserne a conoscenza.

Come si comportano i browser

Idealmente, tutti i browser bloccherebbero tutti i contenuti pericolosi. Ma questo non è davvero fattibile poiché milioni di persone fanno affidamento su Internet per esercitare la libertà di parola. Ma non tutti hanno la capacità di rimanere aggiornati sulle ultime pratiche di sicurezza.

Al contrario, i browser bloccano i contenuti pericolosi e consentono all'utente di richiedere i contenuti meno pericolosi. Determina il livello di pericolo utilizzando le specifiche del contenuto misto e determina se il contenuto è opzionalmente bloccabile o bloccabile .

Il contenuto è opzionalmente bloccabile "quando il rischio di consentirne l'utilizzo come contenuto misto è superato dal rischio di rompere porzioni significative del web", secondo la specifica del contenuto misto del W3C.

Tutti i contenuti misti che non sono considerati opzionalmente bloccabili sono bloccabili . Pertanto, i browser aggiornati per seguire la specifica del contenuto misto lo limitano.

Potrebbe essere importante notare che non tutti i visitatori utilizzano browser aggiornati. Durante lo sviluppo di un sito, sul sito Web di ciascun browser è possibile trovare comportamenti specifici del browser che coinvolgono contenuti misti.

Separare il contenuto

Se hai ricevuto questi avvisi di contenuto misto, ci sono alcuni passaggi che puoi eseguire per proteggere il tuo sito Web e i tuoi contenuti.

Sostienilo

Prima di apportare modifiche drastiche al tuo sito, assicurati di avere un backup nel caso qualcosa vada storto. Ti consigliamo inoltre di eseguire un backup dopo queste modifiche per bloccare il contenuto appena protetto.

Se hai bisogno di qualche consiglio sulla scelta di un plug-in di backup, dai un'occhiata a 5 plug-in di backup WordPress gratuiti e migliori: l'elenco definitivo.

Alcuni plug-in hanno persino scanner di sicurezza integrati per proteggere i tuoi contenuti.

Giocare a detective

Ogni browser ha un modo diverso per avvisarti del tuo avviso di contenuto misto. Ma in genere si trova nella barra degli URL con l'icona di un lucchetto alterata.

Chrome versione 21 o successiva ha uno scudo grigio con una casella rossa sul lato destro della barra degli URL.

Firefox ha un piccolo lucchetto con un'icona di avviso. Le versioni di Safari 9.0.1 o successive non visualizzano un avviso di contenuto misto, ma il contenuto potrebbe comunque essere bloccato.

Metodo della console

Dopo aver visualizzato l'avviso di contenuto misto per il tuo sito, puoi determinare quale contenuto non è sicuro controllando la console JavaScript nel tuo browser.

Il metodo per raggiungere la console varia da browser a browser e puoi consultare la documentazione del tuo browser per i dettagli.

In Chrome, fai clic con il pulsante destro del mouse sulla finestra e seleziona Ispeziona .

Nella parte superiore della finestra Impostazioni c'è una serie di schede. Fare clic su Console .

Se un contenuto è stato caricato sulla pagina e ha attivato un avviso di contenuto misto, viene visualizzato nella console.

La notifica ti dirà cosa è successo con il protocollo HTTPS e cosa è stato ritenuto opzionalmente bloccabile o bloccabile dal tuo browser. Puoi quindi prendere nota di tutti i tuoi contenuti non sicuri in modo da poterli proteggere in un secondo momento.

Nota : la console JavaScript carica solo avvisi di contenuto misto per la pagina in cui si trova. Quindi, dovrai visitare ogni pagina manualmente per testare il contenuto del tuo sito.

Metodo del codice sorgente

Puoi anche visualizzare i contenuti non sicuri del tuo sito web guardando il suo codice sorgente.

In Chrome e Firefox, fai clic con il pulsante destro del mouse sul tuo sito Web e seleziona Visualizza sorgente pagina . In Safari, l'opzione si chiama Mostra sorgente pagina .

Verrà visualizzato il codice sorgente dell'intera pagina. Quindi, puoi eseguire una ricerca per "http://" per vedere quali risorse sul tuo sito non utilizzano il protocollo HTTPS.

Verifica dei tuoi contenuti

Puoi anche inserire l'URL del contenuto non sicuro che trovi nella barra degli indirizzi del tuo browser. Tuttavia, sostituisci "http://" con "https://" per assicurarti che la risorsa sia ancora disponibile su una connessione sicura.

Se il tuo sito web viene caricato senza errori, puoi accedere ai file e alle impostazioni. Quindi, modifica permanentemente ogni URL con il prefisso sicuro "https://".

Cerca e sostituisci plugin

Esistono numerosi plug-in e strumenti che ti aiuteranno a trovare contenuti non sicuri, quindi a sostituirli in pochi clic.

Le opzioni del plug-in possono essere eliminate una volta che i tuoi URL sono stati aggiornati.

Perché senza lucchetto

Why No Padlock è un sito Web che ti consente di inserire un URL sicuro e il sito ti fornirà un rapporto sul tuo certificato SSL e su qualsiasi contenuto misto nel tuo sito.

Verifica anche il test dell'algoritmo SHA-1, il test POODLE e le chiamate di moduli non sicure.

È un'ottima alternativa a un plug-in se vuoi mantenere snelli i file del tuo sito. Ma è solo uno strumento diagnostico e non eseguirà alcuna sostituzione effettiva.

Fixer di contenuti non sicuri SSL

SSL Insecure Content Fixer è un plug-in che controllerà e troverà i tuoi contenuti non sicuri e li risolverà per te.

Esistono diversi livelli di profondità che utilizzano per cercare contenuti non sicuri dagli URL al controllo di ogni singolo elemento del tuo sito web.

Puoi iniziare con il contenuto statico e proseguire da lì se vengono ancora visualizzati gli avvisi di contenuto misto.

Migliore ricerca Sostituisci

Il plug-in Better Search Replace ti consente di eseguire una ricerca di una stringa di testo, quindi aggiornare il contenuto di un sito Web per assicurarti che funzioni correttamente dopo il trasferimento di un sito Web.

È possibile cercare il prefisso "https://". Quindi, sostituisci automaticamente tutti gli URL che lo contengono per avere invece il prefisso "https://.

Una delle caratteristiche interessanti del plug-in Better Search Replace è la possibilità di eseguire un test a secco per assicurarsi di non aver modificato nulla in modo accidentale o involontario.

Questo plugin viene fornito anche con il supporto multisito.

Contenuto: non miscelato

Un avviso di contenuto misto potrebbe non essere ovvio, ma aiuta a evidenziare un grave problema con il tuo sito. Fare alcuni passi per modificare le tue risorse insicure vale il tuo tempo. Soprattutto per la tranquillità dei tuoi utenti, per non parlare della tua.

Hai trovato l'avviso di contenuto misto sul tuo sito Web WordPress? Sei riuscito a risolverlo o hai riscontrato problemi? Qual è la tua soluzione preferita per correggere l'avviso di contenuto misto? Sentiti libero di condividere la tua esperienza con noi nei commenti qui sotto.