Jak naprawić ostrzeżenie lub błąd dotyczący mieszanej zawartości HTTPS w WordPress?

Ostrzeżenia o mieszanej zawartości pojawiają się, gdy tylko niektóre treści w Twojej witrynie są zabezpieczone i zaszyfrowane za pomocą certyfikatu SSL.

Prowadzi to do problemów z bezpieczeństwem, a także do komunikatu o błędzie, który odwiedzający mogą zobaczyć, wskazującego, że Twoja witryna nie jest bezpieczna.

W tym poście przedstawię więcej szczegółów na temat ostrzeżeń o mieszanej treści, ich znaczenia, sposobów ich naprawy i sposobów ich unikania w witrynie WordPress.

Co to jest zawartość mieszana?

Twoja witryna składa się z wielu różnych rodzajów treści: pliku HTML, obrazów, filmów, arkuszy stylów, skryptów i innych. Gdy użytkownik wpisuje adres URL do przeglądarki, przeglądarka wysyła do serwera żądanie zwrócenia plików.

Ze względu na ilość treści w witrynie może być konieczne wysyłanie przez przeglądarkę wielu żądań do serwera, aby poprawnie załadować wszystko.

Podczas gdy początkowy plik HTML zostanie załadowany w bezpiecznym połączeniu (pod warunkiem, że masz certyfikat SSL), ostatnie żądania dotyczące zasobów podrzędnych mogą nie zostać zwrócone w sposób bezpieczny.

Wynikiem załadowania zasobów HTTPS i HTTP na jedną stronę jest zawartość mieszana.

Dzieje się tak, gdy niektóre adresy URL nie są skonfigurowane do obsługi przez HTTPS. Aktualizacja adresów URL z HTTP na HTTPS rozwiąże ostrzeżenie. Zostanie to szczegółowo wyjaśnione później.

Jak wspomniano wcześniej, większość przeglądarek wyświetla ostrzeżenie o mieszanej zawartości, aby poinformować użytkownika, że ​​załadowane przez niego zasoby są niezabezpieczone.

Rodzaje treści mieszanych

Nie wszystkie niezabezpieczone treści mają ten sam poziom zagrożenia, jeśli Twoja witryna zostanie naruszona. Treści mieszane można podzielić na dwie kategorie: pasywną i aktywną.

Bierny

Pasywna zawartość mieszana nie wchodzi w interakcję z inną zawartością na stronie. Obejmuje to zasoby, takie jak obrazy, filmy i treści audio. Ponieważ zasoby są statyczne, osoby atakujące mają ograniczone możliwości, jeśli zdobędą Twoją witrynę.

Możliwe działania hakerskie mogą obejmować zmianę obrazów, wstawianie reklam, niszczenie witryny i przesuwanie elementów, aby zdezorientować użytkowników, takich jak zapisywanie i usuwanie obrazów przycisków.

Ponadto, nawet jeśli haker nie zmieni zawartości Twojej witryny, nadal jest w stanie śledzić wzorce użytkowników i wyświetlać przeglądane strony, zasoby i produkty.

Aktywny

Aktywna zawartość mieszana wchodzi w interakcję ze stroną jako całością i obejmuje zawartość, taką jak arkusze stylów, skrypty, ramki iframe i zasoby flash. Haker może wiele zrobić w Twojej witrynie, jeśli zdobędzie je.

Atakujący mógłby zmienić wszystko na stronie, w tym wstawiać różne treści, kraść hasła, a nawet przekierowywać użytkowników na złośliwą stronę.

Jeśli masz aktywne treści, które niektóre przeglądarki całkowicie blokują dostęp do witryny, może to utrudnić korzystanie z witryny, a także zaufanie odwiedzających do Twojej witryny.

Dlaczego zawartość mieszana jest zła

Korzystanie z protokołu HTTPS i szyfrowanie komunikacji między przeglądarką a serwerem jest ważne, aby chronić Twoją witrynę i użytkowników przed atakami.

Strony z mieszaną zawartością są tylko częściowo zaszyfrowane, co sprawia, że ​​niezaszyfrowana zawartość jest podatna na ataki hakerów.

W zależności od tego, czy treść jest pasywna czy aktywna, możesz potencjalnie zrezygnować z kontroli nad całą witryną, nie będąc tego świadomym.

Jak zachowują się przeglądarki

W idealnym przypadku wszystkie przeglądarki blokowałyby wszystkie niebezpieczne treści. Ale nie jest to naprawdę możliwe, ponieważ miliony ludzi polegają na Internecie, aby korzystać z wolności słowa. Jednak nie każdy może być na bieżąco z najnowszymi praktykami w zakresie bezpieczeństwa.

Zamiast tego przeglądarki blokują niebezpieczne treści i pozwalają na żądanie mniej niebezpiecznej treści przez użytkownika. Decyduje o poziomie zagrożenia przy użyciu specyfikacji zawartości mieszanej i określa, czy zawartość jest opcjonalnie blokowana , czy blokowalna .

Treść jest opcjonalnie blokowana „gdy ryzyko zezwolenia na jej użycie jako treści mieszanej jest większe niż ryzyko uszkodzenia znacznych części sieci”, zgodnie ze Specyfikacją Mieszanej Treści W3C.

Cała zawartość mieszana, która nie jest uważana za opcjonalnie możliwą do zablokowania, jest możliwa do zablokowania . Dlatego przeglądarki, które zostały zaktualizowane zgodnie ze Specyfikacją treści mieszanych, ograniczają ją.

Warto zauważyć, że nie wszyscy odwiedzający korzystają z aktualnych przeglądarek. Podczas tworzenia witryny można znaleźć określone zachowania przeglądarki związane z zawartością mieszaną w witrynie każdej przeglądarki.

Rozpakowywanie treści

Jeśli otrzymujesz ostrzeżenia o mieszanej zawartości, możesz wykonać kilka czynności, aby zabezpieczyć swoją witrynę i zawartość.

Utwórz kopię zapasową

Zanim wprowadzisz jakiekolwiek drastyczne zmiany w swojej witrynie, upewnij się, że masz kopię zapasową na wypadek, gdyby coś poszło nie tak. Po wprowadzeniu tych zmian warto również wykonać kopię zapasową, aby zablokować nowo zabezpieczoną zawartość.

Jeśli potrzebujesz porady na temat wyboru wtyczki do tworzenia kopii zapasowych, zapoznaj się z 5 darmowymi i najlepszymi wtyczkami do tworzenia kopii zapasowych WordPress: Lista ostateczna.

Niektóre wtyczki mają nawet wbudowane skanery bezpieczeństwa, aby zapewnić bezpieczeństwo treści.

Zabawa w detektywa

Każda przeglądarka ma inny sposób powiadamiania o ostrzeżeniu o mieszanej zawartości. Ale zwykle znajduje się na pasku adresu URL ze zmienioną ikoną kłódki.

Chrome w wersji 21 lub nowszej ma szarą tarczę z czerwonym polem po prawej stronie paska adresu URL.

Firefox ma małą kłódkę z ikoną ostrzeżenia. Safari w wersji 9.0.1 lub nowszej nie wyświetla ostrzeżenia o mieszanej zawartości, ale zawartość może być nadal zablokowana.

Metoda konsoli

Po wyświetleniu ostrzeżenia o mieszanej zawartości w witrynie możesz określić, która zawartość jest niezabezpieczona, sprawdzając konsolę JavaScript w przeglądarce.

Metoda uzyskania dostępu do konsoli różni się w zależności od przeglądarki, a szczegółowe informacje można znaleźć w dokumentacji przeglądarki.

W Chrome kliknij prawym przyciskiem myszy okno i wybierz Sprawdź .

W górnej części okna Inspektora znajduje się seria zakładek. Kliknij Konsola .

Jeśli jakakolwiek zawartość została załadowana na stronie i wywołała ostrzeżenie o mieszanej zawartości, pojawi się ona w konsoli.

Powiadomienie poinformuje Cię, co przeszło przez protokół HTTPS i co zostało uznane za opcjonalnie blokowane lub możliwe do zablokowania przez przeglądarkę. Następnie możesz zanotować wszystkie niezabezpieczone treści, aby móc je później zabezpieczyć.

Uwaga : konsola JavaScript ładuje ostrzeżenia o mieszanej zawartości tylko dla strony, na której się znajduje. Musisz więc ręcznie odwiedzić każdą stronę, aby przetestować zawartość swojej witryny.

Metoda kodu źródłowego

Możesz także wyświetlić niezabezpieczone treści, które zawiera Twoja witryna, patrząc na jej kod źródłowy.

W przeglądarkach Chrome i Firefox kliknij prawym przyciskiem myszy swoją witrynę i wybierz opcję Wyświetl źródło strony . W Safari opcja nosi nazwę Pokaż źródło strony .

Pojawi się cały kod źródłowy Twojej strony. Następnie możesz wyszukać „http://”, aby zobaczyć, które zasoby w Twojej witrynie nie korzystają z protokołu HTTPS.

Weryfikowanie treści

Możesz również umieścić adres URL niezabezpieczonej zawartości, którą znajdziesz w pasku adresu przeglądarki. Ale zamień „http://” na „https://”, aby upewnić się, że zasób jest nadal dostępny przez bezpieczne połączenie.

Jeśli Twoja strona ładuje się bezbłędnie, możesz przejść do swoich plików i ustawień. Następnie na stałe zmień każdy adres URL na bezpieczny prefiks „https://”.

Wyszukaj i zamień wtyczki

Istnieje wiele wtyczek i narzędzi, które pomogą Ci znaleźć niezabezpieczoną zawartość, a następnie zastąpić ją kilkoma kliknięciami.

Opcje wtyczki można usunąć po zaktualizowaniu adresów URL.

Dlaczego nie ma kłódki

Dlaczego nie ma kłódki to witryna, która umożliwia podłączenie bezpiecznego adresu URL, a witryna wyświetli raport dotyczący certyfikatu SSL, a także wszelkich mieszanych treści w witrynie.

Sprawdza również test algorytmu SHA-1, test POODLE i niezabezpieczone wywołania formularzy.

To doskonała alternatywa dla wtyczki, jeśli chcesz, aby pliki witryny były szczupłe. Ale to tylko narzędzie diagnostyczne i nie wykona żadnej rzeczywistej wymiany.

Narzędzie do naprawy niezabezpieczonych treści SSL

SSL Insecure Content Fixer to wtyczka, która sprawdzi i znajdzie niezabezpieczoną zawartość i naprawi ją za Ciebie.

Istnieje wiele różnych poziomów głębokości, które wykorzystują do wyszukiwania niezabezpieczonych treści, od adresów URL po sprawdzanie każdego elementu witryny.

Możesz zacząć od zawartości statycznej i stamtąd przejść, jeśli ostrzeżenia o mieszanej zawartości nadal się pojawiają.

Lepsze wyszukiwanie Zamień

Wtyczka Better Search Replace umożliwia wyszukiwanie ciągu tekstu, a następnie aktualizowanie treści w witrynie, aby upewnić się, że po przeniesieniu witryny działa ona prawidłowo.

Możesz wyszukać prefiks „https://”. Następnie automatycznie zamień wszystkie adresy URL, które go zawierają, na prefiks „https://”.

Jedną z fajnych funkcji wtyczki Better Search Replace jest możliwość wykonania próby, aby upewnić się, że nie zmieniłeś niczego przypadkowo lub nieumyślnie.

Ta wtyczka ma również wsparcie dla wielu witryn.

Treść: Niezmieszana

Ostrzeżenie o mieszanej zawartości może nie być oczywiste, ale pomaga wskazać poważny problem z Twoją witryną. Podjęcie kilku kroków w celu zmodyfikowania niezabezpieczonych zasobów jest warte twojego czasu. Specjalnie dla spokoju ducha użytkowników, nie wspominając o własnym.

Czy znalazłeś ostrzeżenie o mieszanej zawartości na swojej stronie WordPress? Czy udało Ci się go rozwiązać, czy napotkałeś problemy? Jakie jest twoje ulubione rozwiązanie do naprawy ostrzeżenia o mieszanej zawartości? Podziel się z nami swoim doświadczeniem w komentarzach poniżej.