Как исправить предупреждение или ошибку HTTPS Mixed Content в WordPress

Предупреждения о смешанном контенте появляются, когда только часть контента на вашем веб-сайте защищена и зашифрована с помощью SSL-сертификата.

Это приводит к проблемам с безопасностью, а также к сообщению об ошибке, которое могут видеть ваши посетители, указывающему на то, что ваш веб-сайт небезопасен.

В этом посте я расскажу более подробно о предупреждениях о смешанном содержании, о том, что они означают, как их исправить и как их избежать на вашем веб-сайте WordPress.

Что такое смешанный контент?

Ваш веб-сайт состоит из множества различных типов контента: HTML-файла, изображений, видео, таблиц стилей, скриптов и многого другого. Когда пользователь вводит URL-адрес в браузер, браузер отправляет серверу запрос на возврат файлов.

Из-за большого количества контента на веб-сайте вашему браузеру может потребоваться несколько запросов к серверу, чтобы правильно загрузить все.

Хотя первоначальный HTML-файл будет загружаться при безопасном соединении (при условии, что у вас есть сертификат SSL), последние запросы на подресурсы могут быть небезопасно возвращены.

Результатом загрузки ресурсов HTTPS и HTTP на одну страницу является смешанный контент.

Это происходит, когда некоторые URL-адреса не настроены для обслуживания через HTTPS. Обновление URL-адресов с HTTP на HTTPS устранит предупреждение. Это объясняется подробно позже.

Как упоминалось ранее, большинство браузеров будут отображать предупреждение о смешанном содержимом, чтобы пользователь знал, что загруженные им ресурсы небезопасны.

Типы смешанного контента

Не все незащищенное содержимое имеет одинаковый уровень опасности, если ваш сайт взломан. Смешанный контент можно разделить на две категории: пассивный и активный.

Пассивный

Пассивный смешанный контент не взаимодействует с другим контентом на странице. Сюда входят такие ресурсы, как изображения, видео и аудиоконтент. Поскольку ресурсы статичны, злоумышленники ограничены в том, что они могут сделать, если завладеют вашим сайтом.

Возможный взлом может включать изменение изображений, вставку рекламы, порчу сайта и перемещение элементов, чтобы запутать пользователей, таких как изображения кнопок сохранения и удаления.

Кроме того, даже если хакер не изменяет содержимое вашего сайта, он все равно может отслеживать поведение пользователей и просматривать, какие страницы, ресурсы и продукты они просматривали.

Активный

Активный смешанный контент взаимодействует со страницей в целом и включает такой контент, как таблицы стилей, скрипты, фреймы и флэш-ресурсы. Хакер может многое сделать с вашим сайтом, если он получит их.

Злоумышленник сможет что-либо изменить на странице, в том числе вставить другой контент, украсть пароли или даже перенаправить пользователей на вредоносный сайт.

Если у вас есть активный контент, который некоторые браузеры полностью блокируют с сайта, это может помешать работе пользователей, а также ухудшить доверие посетителей к вашему сайту.

Почему смешанный контент — это плохо

Использование протокола HTTPS и шифрование связи между браузером и сервером важно для защиты вашего сайта и ваших пользователей от атак.

Страницы со смешанным содержимым шифруются лишь частично, что делает незашифрованный контент уязвимым для хакеров.

В зависимости от того, является ли контент пассивным или активным, вы потенциально можете отказаться от контроля над всем своим веб-сайтом, даже не подозревая об этом.

Как ведут себя браузеры

В идеале все браузеры должны блокировать весь опасный контент. Но на самом деле это невозможно, поскольку миллионы людей полагаются на Интернет для осуществления свободы слова. Но не у всех есть возможность быть в курсе последних практик безопасности.

Вместо этого браузеры блокируют опасный контент и позволяют пользователю запрашивать менее опасный контент. Он определяет уровень опасности, используя спецификации смешанного содержимого, и определяет, является ли содержимое блокируемым или необязательно блокируемым .

Контент при желании может быть заблокирован, «когда риск его использования в качестве смешанного контента перевешивается риском взлома значительных частей сети», согласно Спецификации смешанного контента W3C.

Весь смешанный контент, который не считается необязательно блокируемым, блокируется . Таким образом, браузеры, обновленные в соответствии со спецификацией смешанного содержимого, ограничивают ее.

Важно отметить, что не все посетители используют современные браузеры. При разработке сайта на веб-сайте каждого браузера можно найти определенные варианты поведения браузера со смешанным содержимым.

Разделение содержимого

Если вы получаете эти предупреждения о смешанном контенте, вы можете предпринять несколько шагов, чтобы защитить свой веб-сайт и контент.

Резервное копирование

Прежде чем вносить радикальные изменения в свой сайт, убедитесь, что у вас есть резервная копия на случай, если что-то пойдет не так. Вы также захотите сделать резервную копию после этих изменений, чтобы заблокировать ваш новый защищенный контент.

Если вам нужен совет по выбору плагина для резервного копирования, взгляните на 5 бесплатных и лучших плагинов для резервного копирования WordPress: окончательный список.

Некоторые плагины даже имеют встроенные сканеры безопасности для обеспечения безопасности вашего контента.

Игра в детектива

Каждый браузер по-своему уведомляет вас о предупреждении о смешанном содержании. Но обычно он находится в строке URL с измененным значком замка.

Chrome версии 21 или более поздней версии имеет серый щит с красным прямоугольником справа от строки URL.

Firefox имеет небольшой замок со значком предупреждения. Safari версии 9.0.1 или более поздней версии не отображает предупреждение о смешанном содержимом, но содержимое по-прежнему может быть заблокировано.

Консольный метод

Увидев предупреждение о смешанном содержании для своего сайта, вы можете определить, какой контент небезопасен, проверив консоль JavaScript в своем браузере.

Способ доступа к консоли зависит от браузера, и вы можете обратиться к документации вашего браузера для получения подробной информации.

В Chrome щелкните правой кнопкой мыши окно и выберите Inspect .

В верхней части окна Инспектора есть ряд вкладок. Щелкните Консоль .

Если какое-либо содержимое было загружено на страницу и вызвало предупреждение о смешанном содержимом, оно появится в консоли.

В уведомлении будет указано, что было сделано с протоколом HTTPS, а что было сочтено либо необязательным блокируемым, либо блокируемым вашим браузером. Затем вы можете принять к сведению весь ваш небезопасный контент, чтобы защитить его позже.

Обратите внимание : консоль JavaScript загружает предупреждения о смешанном содержании только для той страницы, на которой она находится. Таким образом, вам придется посещать каждую страницу вручную, чтобы проверить содержимое вашего сайта.

Метод исходного кода

Вы также можете просмотреть небезопасный контент вашего веб-сайта, посмотрев его исходный код.

В Chrome и Firefox щелкните правой кнопкой мыши свой веб-сайт и выберите «Просмотреть исходный код страницы ». В Safari эта опция называется « Показать исходный код страницы» .

Появится весь исходный код вашей страницы. Затем вы можете выполнить поиск «http://», чтобы узнать, какие ресурсы на вашем сайте не используют протокол HTTPS.

Проверка вашего контента

Вы также можете поместить URL-адрес незащищенного контента, который вы найдете, в адресную строку вашего браузера. Но замените «http://» на «https://», чтобы убедиться, что ресурс по-прежнему доступен через безопасное соединение.

Если ваш сайт загружается без ошибок, вы можете зайти в свои файлы и настройки. Затем навсегда измените каждый URL-адрес на безопасный префикс «https://».

Поиск и замена плагинов

Существует ряд плагинов и инструментов, которые помогут найти небезопасный контент, а затем заменить его в несколько кликов.

Параметры плагина можно удалить после обновления ваших URL-адресов.

Почему нет замка

Why No Padlock — это веб-сайт, который позволяет вам подключить безопасный URL-адрес, и сайт предоставит вам отчет о вашем SSL-сертификате, а также о любом смешанном содержании на вашем сайте.

Он также проверяет тест алгоритма SHA-1, тест POODLE и небезопасные вызовы форм.

Это отличная альтернатива плагину, если вы хотите, чтобы файлы вашего сайта были компактными. Но это всего лишь диагностический инструмент, и никакой фактической замены не будет.

Исправление небезопасного содержимого SSL

SSL Insecure Content Fixer — это плагин, который проверит и найдет ваш небезопасный контент и исправит его для вас.

Существует несколько различных уровней глубины, которые они используют для поиска небезопасного контента, от URL-адресов до проверки каждого отдельного элемента вашего сайта.

Вы можете начать со статического контента и двигаться дальше, если предупреждения о смешанном контенте все еще появляются.

Лучший поиск Заменить

Плагин Better Search Replace позволяет вам выполнить поиск строки текста, а затем обновить содержимое на веб-сайте, чтобы убедиться, что вы работаете правильно после переноса веб-сайта.

Вы можете выполнить поиск по префиксу «https://». Затем автоматически замените все URL-адреса, содержащие его, на префикс «https://».

Одной из полезных функций плагина Better Search Replace является возможность пробного запуска, чтобы убедиться, что вы ничего не изменили случайно или непреднамеренно.

Этот плагин также поставляется с поддержкой Multisite.

Содержимое: несмешанное

Предупреждение о смешанном содержании может быть неочевидным, но оно помогает указать на серьезную проблему с вашим сайтом. Выполнение нескольких шагов по изменению небезопасных ресурсов стоит вашего времени. Особенно для спокойствия ваших пользователей, не говоря уже о вашем собственном.

Вы нашли предупреждение о смешанном содержании на своем веб-сайте WordPress? Удалось решить или возникли проблемы? Какое ваше любимое решение для исправления предупреждения о смешанном содержании? Не стесняйтесь поделиться своим опытом с нами в комментариях ниже.