WordPressでHTTPS混合コンテンツの警告またはエラーを修正する方法

公開: 2018-10-05

混合コンテンツの警告は、Webサイトの一部のコンテンツのみがSSL証明書で保護および暗号化されている場合に発生します。

これにより、セキュリティの問題が発生するだけでなく、訪問者にWebサイトが安全でないことを示すエラーメッセージが表示されます。

この投稿では、混合コンテンツの警告、その意味、修正方法、WordPressWebサイトでの回避方法について詳しく説明します。

混合コンテンツとは何ですか?

Webサイトは、HTMLファイル、画像、ビデオ、スタイルシート、スクリプトなど、さまざまな種類のコンテンツで構成されています。 ユーザーがブラウザにURLを入力すると、ブラウザはサーバーにファイルを返すように要求します。

Webサイトのコンテンツの量が多いため、すべてを適切にロードするために、ブラウザはサーバーに対して複数の要求を行う必要がある場合があります。

最初のHTMLファイルは安全な接続で読み込まれますが(SSL証明書がある場合)、サブリソースに対する後者の要求は安全に返されない場合があります。

HTTPSリソースとHTTPリソースの両方が単一のページにロードされた結果、混合コンテンツになります。

これは、一部のURLがHTTPS経由で提供されるように設定されていない場合に発生します。 URLをHTTPからHTTPSに更新すると、警告が解決されます。 これについては後で詳しく説明します。

前述のように、ほとんどのブラウザは、ロードしたリソースが安全でないことをユーザーに知らせるために、混合コンテンツの警告を表示します。

混合コンテンツの種類

サイトが危険にさらされた場合、すべての安全でないコンテンツが同じレベルの危険を保持するわけではありません。 混合コンテンツは、パッシブとアクティブの2つのカテゴリに分類できます。

受け身

パッシブ混合コンテンツは、ページ上の他のコンテンツと相互作用しません。 これには、画像、ビデオ、オーディオコンテンツなどのリソースが含まれます。 リソースは静的であるため、攻撃者はサイトを入手した場合に達成できることを制限されます。

ハッキングの可能性としては、画像の変更、広告の挿入、サイトの改ざん、保存ボタンや削除ボタンの画像などのユーザーを混乱させる要素の移動などがあります。

また、ハッカーがサイトのコンテンツを変更しなくても、ユーザーパターンを追跡し、表示したページ、リソース、および製品を表示することができます。

アクティブ

アクティブな混合コンテンツは、ページ全体と相互作用し、スタイルシート、スクリプト、iframe、フラッシュリソースなどのコンテンツを含みます。 彼らがこれらを手に入れれば、ハッカーはあなたのウェブサイトにかなり多くのことをすることができます。

攻撃者は、さまざまなコンテンツの挿入、パスワードの盗用、さらにはユーザーを悪意のあるサイトにリダイレクトするなど、ページに関するあらゆることを変更する可能性があります。

一部のブラウザがサイトから完全にブロックするアクティブコンテンツがある場合、ユーザーエクスペリエンスと、訪問者のWebサイトへの信頼を妨げる可能性があります。

混合コンテンツが悪い理由

HTTPSプロトコルを使用し、ブラウザとサーバー間の通信を暗号化することは、サイトとユーザーを攻撃から保護するために重要です。

コンテンツが混在するページは部分的にのみ暗号化されるため、暗号化されていないコンテンツはハッカーの影響を受けやすくなります。

コンテンツがパッシブであるかアクティブであるかに応じて、気付かないうちにWebサイト全体の制御を放棄する可能性があります。

ブラウザの動作

理想的には、すべてのブラウザがすべての危険なコンテンツをブロックします。 しかし、何百万もの人々が言論の自由を行使するためにインターネットに依存しているため、これは実際には実現可能ではありません。 しかし、誰もが最新のセキュリティ慣行について最新の状態を保つことができるわけではありません。

代わりに、ブラウザは危険なコンテンツをブロックし、危険性の低いコンテンツをユーザーが要求できるようにします。 混合コンテンツ仕様を使用して危険レベルを決定し、コンテンツがオプションでブロック可能ブロック可能かを決定します。

W3Cの混合コンテンツ仕様によれば、コンテンツは「混合コンテンツとしての使用を許可するリスクがWebの重要な部分を破壊するリスクよりも重要である場合」、オプションでブロック可能です。

オプションでブロック可能と見なされないすべての混合コンテンツはブロック可能です。 したがって、混合コンテンツ仕様に従うように更新されたブラウザーは、それを制限します。

すべての訪問者が最新のブラウザを使用しているわけではないことに注意することが重要かもしれません。 サイトを開発するとき、混合コンテンツを含む特定のブラウザの動作は、各ブラウザのWebサイトで見つけることができます。

コンテンツの混合を解除する

これらの混合コンテンツの警告を受け取っている場合は、Webサイトとコンテンツを保護するために実行できるいくつかの手順があります。

バックアップする

サイトに大幅な変更を加える前に、何か問題が発生した場合に備えて、バックアップがあることを確認してください。 また、これらの変更後にバックアップを作成して、新しく安全なコンテンツを固定することもできます。

バックアッププラグインの選択についてアドバイスが必要な場合は、5つの無料で最高のWordPressバックアッププラグイン:決定的なリストをご覧ください。

一部のプラグインには、コンテンツを安全に保つためのセキュリティスキャナーが組み込まれています。

探偵を再生する

混合コンテンツの警告について通知する方法は、ブラウザごとに異なります。 ただし、通常、南京錠のアイコンが変更されたURLバーにあります。

Chromeでの混合コンテンツ警告の例
Chromeの通知は、前面に赤いボックスの「X」が付いた盾です。 その上にカーソルを合わせると、警告メッセージが表示されます。

Chromeバージョン21以降には、URLバーの右側に赤いボックスが付いた灰色のシールドがあります。

Firefoxには、警告アイコンが付いた小さなロックがあります。 Safariバージョン9.0.1以降では、混合コンテンツの警告は表示されませんが、コンテンツがブロックされる可能性があります。

コンソール方式

サイトの混合コンテンツの警告を確認したら、ブラウザのJavaScriptコンソールを確認することで、どのコンテンツが安全でないかを判断できます。

コンソールにアクセスする方法はブラウザによって異なります。詳細については、ブラウザのドキュメントを参照してください。

Chromeで、ウィンドウを右クリックして[検査]を選択します。

インスペクターウィンドウの上部には、一連のタブがあります。 [コンソール]をクリックします。

Chromeコンソール
警告メッセージが表示されるJavaScriptコンソールを表示するには、[コンソール]タブを選択します。

ページにコンテンツが読み込まれ、混合コンテンツの警告がトリガーされた場合は、コンソールに表示されます。

通知には、HTTPSプロトコルで何が成功したか、およびオプションでブロック可能またはブラウザによってブロック可能と見なされたものが通知されます。 その後、安全でないコンテンツをすべてメモして、後で保護できるようにすることができます。

JavaScriptコンソール
重大度に応じて、混合コンテンツの警告はアクティブとパッシブで色分けされます。 リンクをチェックして、どのコンテンツが安全でないかを確認できます。

注意:JavaScriptコンソールは、表示されているページの混合コンテンツ警告のみをロードします。 したがって、サイトのコンテンツをテストするには、各ページに手動でアクセスする必要があります。

ソースコード方式

また、ソースコードを確認することで、Webサイトにある安全でないコンテンツを表示することもできます。

ChromeとFirefoxでは、Webサイトを右クリックして、 [ページソースの表示]を選択します。 Safariでは、このオプションは「ページソースの表示」と呼ばれます。

ページ全体のソースコードが表示されます。 次に、「http://」を検索して、サイトのどのリソースがHTTPSプロトコルを使用していないかを確認できます。

コンテンツの確認

見つけた安全でないコンテンツのURLをブラウザのアドレスバーに配置することもできます。 ただし、「http://」を「https://」に置き換えて、リソースが安全な接続で引き続き利用できるようにします。

Webサイトがエラーなしで読み込まれる場合は、ファイルと設定に移動できます。 次に、各URLを安全な「https://」プレフィックスに恒久的に変更します。

プラグインの検索と置換

安全でないコンテンツを見つけて、数回クリックするだけで置き換えるのに役立つプラグインやツールがいくつかあります。

URLが更新されたら、プラグインオプションを削除できます。

南京錠がない理由

南京錠のウェブサイトがない理由

なぜ南京錠は安全なURLをプラグインできるWebサイトであり、サイトはSSL証明書とサイト内の混合コンテンツに関するレポートを提供します。

また、SHA-1アルゴリズムテスト、POODLEテスト、および安全でないフォーム呼び出しをチェックします。

サイトファイルを無駄のないものにしたい場合は、プラグインの優れた代替手段です。 ただし、これは単なる診断ツールであり、実際の交換は行いません。

SSLの安全でないコンテンツフィクサー

SSLセキュアコンテンツフィクサープラグイン

SSL Insecure Content Fixerは、安全でないコンテンツをチェックして見つけ、修正するプラグインです。

URLから安全でないコンテンツを検索し、Webサイトのすべての要素をチェックするために利用する、さまざまなレベルの深さがあります。

静的コンテンツから始めて、混合コンテンツの警告が引き続き表示される場合は、そこから作業を進めることができます。

より良い検索置換

より良い検索置換プラグイン

Better Search Replaceプラグインを使用すると、テキストの文字列の検索を実行し、Webサイトのコンテンツを更新して、Webサイトの転送後に正しく実行されていることを確認できます。

「https://」プレフィックスを検索できます。 次に、それを含むURLを自動的に置き換えて、代わりに「https://プレフィックス」を付けます。

Better Search Replaceプラグインの優れた機能の1つは、ドライランを実行して、誤ってまたは意図せずに何かを変更していないことを確認する機能です。

このプラグインにはマルチサイトサポートも付属しています。

内容:混合されていない

混合コンテンツの警告は明白ではないかもしれませんが、それはあなたのサイトの主要な問題を指摘するのに役立ちます。 安全でないリソースを変更するためにいくつかの手順を実行することは、時間の価値があります。 特にユーザーの安心のために、あなた自身は言うまでもありません。

WordPressのウェブサイトで混合コンテンツの警告を見つけましたか? あなたはそれを解決することができましたか、それとも問題に遭遇しましたか? 混合コンテンツの警告を修正するためのお気に入りのソリューションは何ですか? 以下のコメントで私たちとあなたの経験を共有してください。