Como corrigir o aviso ou erro de conteúdo misto HTTPS no WordPress

Os avisos de conteúdo misto ocorrem quando apenas algum conteúdo do seu site é protegido e criptografado com um certificado SSL.

Isso leva a problemas de segurança, bem como uma mensagem de erro que seus visitantes podem ver indicando que seu site não é seguro.

Neste post, compartilharei mais detalhes sobre avisos de conteúdo misto, o que eles significam, como corrigi-los e como eles podem ser evitados em seu site WordPress.

O que é conteúdo misto?

Seu site é composto de muitos tipos diferentes de conteúdo: um arquivo HTML, imagens, vídeos, folhas de estilo, scripts e muito mais. Quando um usuário digita uma URL em um navegador, o navegador faz uma solicitação ao servidor para retornar os arquivos.

Devido à quantidade de conteúdo em um site, seu navegador pode precisar fazer várias solicitações a um servidor para carregar tudo corretamente.

Embora o arquivo HTML inicial seja carregado em uma conexão segura, (desde que você tenha um certificado SSL), as últimas solicitações de sub-recursos podem não ser retornadas com segurança.

O resultado dos recursos HTTPS e HTTP sendo carregados em uma única página é o conteúdo misto.

Isso acontece quando alguns URLs não estão configurados para serem veiculados por HTTPS. A atualização dos URLs de HTTP para HTTPS resolverá o aviso. Isso é explicado em detalhes mais adiante.

Como mencionado anteriormente, a maioria dos navegadores exibirá um aviso de conteúdo misto para informar ao usuário que os recursos carregados não são seguros.

Tipos de conteúdo misto

Nem todo conteúdo inseguro tem o mesmo nível de perigo se seu site for comprometido. O conteúdo misto pode ser dividido em duas categorias: passivo e ativo.

Passiva

O conteúdo misto passivo não interage com outros conteúdos na página. Isso inclui recursos como imagens, vídeos e conteúdo de áudio. Como os recursos são estáticos, os invasores são limitados no que podem realizar se conseguirem acessar seu site.

Possíveis hackers podem incluir alterar imagens, inserir anúncios, desfigurar o site e deslocar elementos para confundir os usuários, como as imagens do botão salvar e excluir.

Além disso, mesmo que o hacker não altere o conteúdo do seu site, ele ainda poderá rastrear os padrões do usuário e visualizar quais páginas, recursos e produtos eles visualizaram.

Ativo

O conteúdo misto ativo interage com a página como um todo e inclui conteúdo como folhas de estilo, scripts, iframes e recursos flash. Um hacker é capaz de fazer muito no seu site se conseguir isso.

O invasor poderia alterar qualquer coisa na página, incluindo inserir conteúdo diferente, roubar senhas ou até redirecionar usuários para um site malicioso.

Se você tiver conteúdo ativo que alguns navegadores bloqueiam totalmente do site, isso pode impedir a experiência do usuário, bem como a confiança do visitante em seu site.

Por que o conteúdo misto é ruim

Usar o protocolo HTTPS e criptografar a comunicação entre o navegador e o servidor é importante para proteger seu site e seus usuários contra ataques.

Páginas com conteúdo misto são apenas parcialmente criptografadas, o que deixa o conteúdo não criptografado suscetível a hackers.

Dependendo se o conteúdo é passivo ou ativo, você pode potencialmente abrir mão do controle de todo o seu site sem estar ciente disso.

Como os navegadores se comportam

Idealmente, todos os navegadores bloqueariam todo o conteúdo perigoso. Mas isso não é realmente viável, pois milhões de pessoas dependem da internet para exercer a liberdade de expressão. Mas nem todo mundo tem a capacidade de se manter atualizado sobre as práticas de segurança mais recentes.

Em vez disso, os navegadores bloqueiam conteúdo perigoso e permitem que o conteúdo menos perigoso seja solicitado por um usuário. Ele decide o nível de perigo usando as especificações de conteúdo misto e determina se o conteúdo é opcionalmente bloqueável ou bloqueável .

O conteúdo é opcionalmente bloqueável “quando o risco de permitir seu uso como conteúdo misto é superado pelo risco de quebrar partes significativas da web”, de acordo com a especificação de conteúdo misto do W3C.

Todo conteúdo misto que não é considerado opcionalmente bloqueável é bloqueável . Portanto, os navegadores atualizados para seguir a Especificação de conteúdo misto o restringem.

Pode ser importante observar que nem todos os visitantes usam navegadores atualizados. Ao desenvolver um site, comportamentos específicos do navegador envolvendo conteúdo misto podem ser encontrados no site de cada navegador.

Desmisturando o conteúdo

Se você estiver recebendo esses avisos de conteúdo misto, há algumas etapas que você pode seguir para ajudar a proteger seu site e seu conteúdo.

Apoia-la

Antes de fazer qualquer alteração drástica em seu site, certifique-se de ter um backup para o caso de algo dar errado. Você também desejará fazer um backup após essas alterações para bloquear seu conteúdo recém-seguro.

Se você precisar de alguns conselhos sobre como escolher um plug-in de backup, dê uma olhada em 5 plug-ins de backup gratuitos e melhores do WordPress: a lista definitiva.

Alguns plugins até têm scanners de segurança integrados para manter seu conteúdo seguro.

Brincando de detetive

Cada navegador tem uma maneira diferente de notificá-lo sobre seu aviso de conteúdo misto. Mas, normalmente é encontrado na barra de URL com um ícone de cadeado alterado.

O Chrome versão 21 ou posterior tem um escudo cinza com uma caixa vermelha no lado direito da barra de URL.

O Firefox tem um pequeno cadeado com um ícone de aviso. As versões 9.0.1 ou posteriores do Safari não exibem um aviso de conteúdo misto, mas o conteúdo ainda pode estar bloqueado.

Método do console

Depois de ver o aviso de conteúdo misto para seu site, você pode determinar qual conteúdo não é seguro verificando o console JavaScript em seu navegador.

O método para acessar o console varia de navegador para navegador e você pode consultar a documentação do seu navegador para obter detalhes.

No Chrome, clique com o botão direito do mouse na janela e selecione Inspecionar .

Na parte superior da janela do Inspetor há uma série de guias. Clique em Console .

Se algum conteúdo tiver sido carregado na página e acionado um aviso de conteúdo misto, ele aparecerá no console.

A notificação informará o que foi feito com o protocolo HTTPS e o que foi considerado opcionalmente bloqueável ou bloqueável pelo seu navegador. Você pode anotar todo o seu conteúdo inseguro para protegê-lo mais tarde.

Observação : o console JavaScript carrega apenas avisos de conteúdo misto para a página em que está. Portanto, você terá que visitar cada página manualmente para testar o conteúdo do seu site.

Método de código-fonte

Você também pode visualizar o conteúdo inseguro do seu site observando o código-fonte.

No Chrome e no Firefox, clique com o botão direito do mouse em seu site e selecione Exibir código-fonte da página . No Safari, a opção é chamada de Show Page Source .

O código-fonte da sua página inteira aparecerá. Em seguida, você pode fazer uma pesquisa por “http://” para ver quais recursos em seu site não estão usando o protocolo HTTPS.

Verificando seu conteúdo

Você também pode colocar o URL do conteúdo inseguro que encontrar na barra de endereços do seu navegador. Mas, substitua “http://” por “https://” para garantir que o recurso ainda esteja disponível em uma conexão segura.

Se o seu site carregar sem erros, você pode acessar seus arquivos e configurações. Em seguida, altere permanentemente cada URL para o prefixo seguro “https://”.

Pesquisar e substituir plug-ins

Existem vários plugins e ferramentas que ajudarão você a encontrar conteúdo inseguro e substituí-lo em apenas alguns cliques.

As opções do plug-in podem ser excluídas assim que seus URLs forem atualizados.

Por que não há cadeado

Why No Padlock é um site que permite conectar uma URL segura e o site fornecerá um relatório sobre seu certificado SSL, bem como qualquer conteúdo misto em seu site.

Ele também verifica o teste de algoritmo SHA-1, teste POODLE e chamadas de formulário inseguras.

É uma excelente alternativa a um plugin se você quiser manter os arquivos do seu site enxutos. Mas, é apenas uma ferramenta de diagnóstico e não fará nenhuma substituição real.

Fixador de conteúdo inseguro SSL

O SSL Insecure Content Fixer é um plugin que irá verificar e encontrar seu conteúdo inseguro e corrigi-lo para você.

Existem vários níveis diferentes de profundidade que eles utilizam para pesquisar conteúdo inseguro de URLs para verificar cada elemento do seu site.

Você pode começar com conteúdo estático e seguir seu caminho a partir daí se os avisos de conteúdo misto ainda aparecerem.

Melhor Pesquisa Substituir

O plug-in Better Search Replace permite que você execute uma pesquisa por uma sequência de texto e, em seguida, atualize o conteúdo em um site para garantir que você esteja funcionando corretamente após a transferência de um site.

Você pode pesquisar o prefixo “https://”. Em seguida, substitua automaticamente qualquer URL que o contenha para ter o prefixo “https://.

Um dos recursos interessantes do plug-in Better Search Replace é a capacidade de fazer uma simulação para garantir que você não alterou nada acidentalmente ou não intencionalmente.

Este plugin também vem com suporte Multisite.

Conteúdo: Não misturado

Um aviso de conteúdo misto pode não ser óbvio, mas ajuda a apontar um grande problema com seu site. Vale a pena dar alguns passos para modificar seus recursos inseguros. Especialmente para a tranquilidade de seus usuários, para não mencionar a sua.

Você encontrou o aviso de conteúdo misto em seu site WordPress? Conseguiu resolver ou teve problemas? Qual é a sua solução favorita para corrigir o aviso de conteúdo misto? Sinta-se à vontade para compartilhar sua experiência conosco nos comentários abaixo.