วิธีแก้ไขคำเตือนเนื้อหาผสม HTTPS หรือข้อผิดพลาดใน WordPress
เผยแพร่แล้ว: 2018-10-05คำเตือนเนื้อหาผสมเกิดขึ้นเมื่อเนื้อหาบางส่วนบนเว็บไซต์ของคุณได้รับการรักษาความปลอดภัยและเข้ารหัสด้วยใบรับรอง SSL
สิ่งนี้นำไปสู่ปัญหาด้านความปลอดภัยรวมถึงข้อความแสดงข้อผิดพลาดที่ผู้เยี่ยมชมของคุณสามารถดูระบุว่าเว็บไซต์ของคุณไม่ปลอดภัย
ในโพสต์นี้ ฉันจะแบ่งปันรายละเอียดเพิ่มเติมเกี่ยวกับคำเตือนเนื้อหาผสม ความหมาย วิธีแก้ไข และวิธีหลีกเลี่ยงบนเว็บไซต์ WordPress ของคุณ
เนื้อหาผสมคืออะไร?
เว็บไซต์ของคุณประกอบด้วยเนื้อหาหลายประเภท: ไฟล์ HTML, รูปภาพ, วิดีโอ, สไตล์ชีต, สคริปต์ และอื่นๆ เมื่อผู้ใช้พิมพ์ URL ลงในเบราว์เซอร์ เบราว์เซอร์จะส่งคำขอไปยังเซิร์ฟเวอร์เพื่อส่งคืนไฟล์
เนื่องจากปริมาณเนื้อหาในเว็บไซต์ เบราว์เซอร์ของคุณอาจต้องส่งคำขอหลายรายการไปยังเซิร์ฟเวอร์เพื่อโหลดทุกอย่างอย่างเหมาะสม
แม้ว่าไฟล์ HTML เริ่มต้นจะโหลดภายใต้การเชื่อมต่อที่ปลอดภัย (หากคุณมีใบรับรอง SSL) คำขอหลังสำหรับทรัพยากรย่อยอาจไม่ถูกส่งกลับอย่างปลอดภัย
ผลลัพธ์ของทรัพยากรทั้ง HTTPS และ HTTP ถูกโหลดลงในหน้าเดียวคือเนื้อหาแบบผสม
กรณีนี้เกิดขึ้นเมื่อไม่ได้ตั้งค่า URL บางรายการให้แสดงผลผ่าน HTTPS การอัปเดต URL จาก HTTP เป็น HTTPS จะเป็นการแก้ไขคำเตือน ซึ่งจะอธิบายโดยละเอียดในภายหลัง
ดังที่ได้กล่าวไว้ก่อนหน้านี้ เบราว์เซอร์ส่วนใหญ่จะแสดงคำเตือนเนื้อหาผสมเพื่อแจ้งให้ผู้ใช้ทราบว่าทรัพยากรที่โหลดไม่ปลอดภัย
ประเภทของเนื้อหาผสม
เนื้อหาที่ไม่ปลอดภัยทั้งหมดมีระดับอันตรายไม่เท่ากันหากไซต์ของคุณถูกบุกรุก เนื้อหาผสมสามารถแบ่งออกเป็นสองประเภท: แบบพาสซีฟและแอคทีฟ
Passive
เนื้อหาผสมแบบพาสซีฟไม่โต้ตอบกับเนื้อหาอื่นบนหน้า ซึ่งรวมถึงแหล่งข้อมูลต่างๆ เช่น รูปภาพ วิดีโอ และเนื้อหาที่เป็นเสียง เนื่องจากทรัพยากรเป็นแบบคงที่ ผู้โจมตีจึงถูกจำกัดในสิ่งที่พวกเขาสามารถทำได้หากพวกเขาได้ครอบครองไซต์ของคุณ
การแฮ็กที่เป็นไปได้อาจรวมถึงการเปลี่ยนรูปภาพ การแทรกโฆษณา ทำให้ไซต์เสียหาย และการย้ายองค์ประกอบไปรอบๆ เพื่อทำให้ผู้ใช้สับสน เช่น รูปภาพปุ่มบันทึกและลบ
นอกจากนี้ แม้ว่าแฮ็กเกอร์จะไม่เปลี่ยนแปลงเนื้อหาในไซต์ของคุณ พวกเขายังสามารถติดตามรูปแบบผู้ใช้และดูหน้าเว็บ ทรัพยากร และผลิตภัณฑ์ที่พวกเขาดูได้
คล่องแคล่ว
เนื้อหาผสมที่ใช้งานอยู่โต้ตอบกับหน้าเว็บโดยรวมและรวมถึงเนื้อหา เช่น สไตล์ชีต สคริปต์ iframes และทรัพยากรแฟลช แฮ็กเกอร์สามารถทำอะไรกับเว็บไซต์ของคุณได้ค่อนข้างมากหากพวกเขาได้รับสิ่งเหล่านี้
ผู้โจมตีจะสามารถเปลี่ยนแปลงอะไรก็ได้เกี่ยวกับเพจ รวมถึงการแทรกเนื้อหาที่แตกต่างกัน ขโมยรหัสผ่าน หรือแม้แต่เปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ที่เป็นอันตราย
หากคุณมีเนื้อหาที่ใช้งานได้ซึ่งเบราว์เซอร์บางตัวบล็อกจากเว็บไซต์ทั้งหมด เนื้อหาดังกล่าวอาจขัดขวางประสบการณ์ของผู้ใช้รวมถึงความเชื่อถือของผู้เยี่ยมชมในเว็บไซต์ของคุณ
ทำไมเนื้อหาผสมจึงไม่ดี
การใช้โปรโตคอล HTTPS และการเข้ารหัสการสื่อสารระหว่างเบราว์เซอร์และเซิร์ฟเวอร์เป็นสิ่งสำคัญในการปกป้องไซต์และผู้ใช้ของคุณจากการถูกโจมตี
หน้าที่มีเนื้อหาผสมจะได้รับการเข้ารหัสเพียงบางส่วน ซึ่งทำให้เนื้อหาที่ไม่ได้เข้ารหัสมีความเสี่ยงต่อแฮกเกอร์
ขึ้นอยู่กับว่าเนื้อหาเป็นแบบพาสซีฟหรือใช้งานอยู่ คุณสามารถยอมจำนนการควบคุมเว็บไซต์ทั้งหมดของคุณโดยไม่ต้องรับรู้
เบราว์เซอร์ทำงานอย่างไร
ตามหลักการแล้วเบราว์เซอร์ทั้งหมดจะบล็อกเนื้อหาที่เป็นอันตรายทั้งหมด แต่สิ่งนี้ไม่สามารถทำได้จริง ๆ เนื่องจากผู้คนหลายล้านพึ่งพาอินเทอร์เน็ตเพื่อใช้เสรีภาพในการพูด แต่ไม่ใช่ทุกคนที่มีความสามารถในการติดตามการปฏิบัติด้านความปลอดภัยล่าสุด
เบราว์เซอร์บล็อกเนื้อหาที่เป็นอันตรายและอนุญาตให้ผู้ใช้ร้องขอเนื้อหาที่อันตรายน้อยกว่า กำหนดระดับอันตรายโดยใช้ข้อกำหนดเนื้อหาแบบผสม และกำหนดว่าเนื้อหาสามารถ เลือกที่จะบล็อก หรือ บล็อก ได้
เนื้อหาสามารถ เลือกที่จะปิดกั้นได้ “เมื่อความเสี่ยงในการอนุญาตให้ใช้งานเนื่องจากเนื้อหาแบบผสมนั้นมีมากกว่าความเสี่ยงที่จะทำลายส่วนสำคัญของเว็บ” ตามข้อกำหนดเนื้อหาแบบผสมของ W3C
เนื้อหาผสมทั้งหมดที่ไม่ได้รับการพิจารณาว่าสามารถเลือกบล็อกได้สามารถ บล็อก ได้ ดังนั้น เบราว์เซอร์ที่ได้รับการอัปเดตเพื่อให้เป็นไปตามข้อกำหนดเนื้อหาแบบผสมจึงจำกัดไว้
สิ่งสำคัญคือต้องสังเกตว่าไม่ใช่ผู้เยี่ยมชมทั้งหมดที่ใช้เบราว์เซอร์ที่ทันสมัย เมื่อพัฒนาเว็บไซต์ คุณจะพบพฤติกรรมเฉพาะของเบราว์เซอร์ที่เกี่ยวข้องกับเนื้อหาแบบผสมบนเว็บไซต์ของเบราว์เซอร์แต่ละแห่ง
การผสมเนื้อหา
หากคุณได้รับคำเตือนเนื้อหาแบบผสมเหล่านี้ คุณสามารถดำเนินการได้สองสามขั้นตอนเพื่อช่วยรักษาความปลอดภัยให้เว็บไซต์และเนื้อหาของคุณ
สำรอง
ก่อนที่คุณจะทำการเปลี่ยนแปลงที่รุนแรงในไซต์ของคุณ ตรวจสอบให้แน่ใจว่าคุณได้สำรองข้อมูลไว้เผื่อในกรณีที่มีสิ่งผิดปกติเกิดขึ้น คุณจะต้องสำรองข้อมูลหลังจากการเปลี่ยนแปลงเหล่านี้เพื่อล็อกเนื้อหาใหม่ที่มีการรักษาความปลอดภัย
หากคุณต้องการคำแนะนำในการเลือกปลั๊กอินสำรอง ให้ดูที่ 5 ปลั๊กอินสำรอง WordPress ฟรีและดีที่สุด: รายการขั้นสุดท้าย
ปลั๊กอินบางตัวยังมีเครื่องสแกนความปลอดภัยในตัวเพื่อให้เนื้อหาของคุณปลอดภัย
กำลังเล่นนักสืบ
แต่ละเบราว์เซอร์มีวิธีแจ้งให้คุณทราบเกี่ยวกับคำเตือนเนื้อหาผสมที่แตกต่างกัน แต่โดยทั่วไปจะพบในแถบ URL ที่มีไอคอนแม่กุญแจที่เปลี่ยนแปลง
Chrome เวอร์ชัน 21 ขึ้นไปมีโล่สีเทาพร้อมกล่องสีแดงที่ด้านขวาของแถบ URL
Firefox มีล็อคขนาดเล็กพร้อมไอคอนคำเตือน Safari เวอร์ชัน 9.0.1 หรือใหม่กว่าจะไม่แสดงคำเตือนเนื้อหาแบบผสม แต่เนื้อหาอาจยังคงถูกบล็อก
วิธีคอนโซล
เมื่อคุณเห็นคำเตือนเนื้อหาแบบผสมสำหรับไซต์ของคุณแล้ว คุณสามารถระบุได้ว่าเนื้อหาใดไม่ปลอดภัยโดยตรวจสอบคอนโซล JavaScript ในเบราว์เซอร์ของคุณ
วิธีเข้าถึงคอนโซลแตกต่างกันไปในแต่ละเบราว์เซอร์ และคุณสามารถดูรายละเอียดในเอกสารประกอบของเบราว์เซอร์ได้
ใน Chrome ให้คลิกขวาที่หน้าต่างและเลือก ตรวจสอบ
ที่ด้านบนของหน้าต่างสารวัตรจะมีชุดแท็บต่างๆ คลิก คอนโซล
หากมีเนื้อหาใดๆ โหลดบนหน้าและทริกเกอร์คำเตือนเนื้อหาแบบผสม เนื้อหานั้นจะปรากฏในคอนโซล
การแจ้งเตือนจะบอกคุณว่าผ่านอะไรมากับโปรโตคอล HTTPS และเบราว์เซอร์ของคุณถือว่าตัวเลือกบล็อกหรือบล็อกได้ จากนั้นคุณสามารถจดบันทึกเนื้อหาที่ไม่ปลอดภัยทั้งหมดของคุณ เพื่อให้สามารถรักษาความปลอดภัยได้ในภายหลัง
โปรดทราบ : คอนโซล JavaScript โหลดเฉพาะคำเตือนเนื้อหาแบบผสมสำหรับหน้าที่เปิดอยู่ ดังนั้น คุณจะต้องไปที่แต่ละหน้าด้วยตนเองเพื่อทดสอบเนื้อหาในไซต์ของคุณ
วิธีการรหัสที่มา
คุณยังสามารถดูเนื้อหาที่ไม่ปลอดภัยที่เว็บไซต์ของคุณมีได้โดยดูจากซอร์สโค้ด
ใน Chrome และ Firefox ให้คลิกขวาที่เว็บไซต์ของคุณและเลือก View Page Source ใน Safari ตัวเลือกนี้จะเรียกว่า Show Page Source
ซอร์สโค้ดของหน้าทั้งหมดของคุณจะปรากฏขึ้น จากนั้น คุณสามารถค้นหา “http://” เพื่อดูว่าทรัพยากรใดในไซต์ของคุณไม่ได้ใช้โปรโตคอล HTTPS
การตรวจสอบเนื้อหาของคุณ
คุณยังสามารถวาง URL ของเนื้อหาที่ไม่ปลอดภัยที่คุณพบลงในแถบที่อยู่ของเบราว์เซอร์ได้ แต่ให้แทนที่ “http://” ด้วย “https://” เพื่อให้แน่ใจว่าทรัพยากรยังคงพร้อมใช้งานผ่านการเชื่อมต่อที่ปลอดภัย
หากเว็บไซต์ของคุณโหลดได้โดยไม่มีข้อผิดพลาด คุณสามารถไปที่ไฟล์และการตั้งค่าของคุณได้ จากนั้น เปลี่ยนแต่ละ URL เป็นคำนำหน้า “https://” ที่ปลอดภัยอย่างถาวร
ค้นหาและแทนที่ปลั๊กอิน
มีปลั๊กอินและเครื่องมือมากมายที่จะช่วยคุณค้นหาเนื้อหาที่ไม่ปลอดภัย จากนั้นแทนที่เนื้อหานั้นด้วยการคลิกเพียงไม่กี่ครั้ง
คุณสามารถลบตัวเลือกปลั๊กอินได้เมื่อ URL ของคุณได้รับการอัปเดตแล้ว
ทำไมไม่มีแม่กุญแจ
เหตุใดจึงไม่มีแม่กุญแจเป็นเว็บไซต์ที่ให้คุณเสียบ URL ที่ปลอดภัยและเว็บไซต์จะให้รายงานเกี่ยวกับใบรับรอง SSL ของคุณรวมถึงเนื้อหาแบบผสมในเว็บไซต์ของคุณ
นอกจากนี้ยังตรวจสอบการทดสอบอัลกอริทึม SHA-1 การทดสอบ POODLE และการเรียกแบบฟอร์มที่ไม่ปลอดภัย
เป็นทางเลือกที่ยอดเยี่ยมสำหรับปลั๊กอิน หากคุณต้องการให้ไฟล์ไซต์ของคุณเป็นแบบลีน แต่มันเป็นเพียงเครื่องมือวินิจฉัยและจะไม่ทำการแทนที่ใดๆ
ตัวแก้ไขเนื้อหา SSL ที่ไม่ปลอดภัย
SSL Insecure Content Fixer เป็นปลั๊กอินที่จะตรวจสอบและค้นหาเนื้อหาที่ไม่ปลอดภัยของคุณและแก้ไขให้กับคุณ
มีความลึกหลายระดับที่พวกเขาใช้เพื่อค้นหาเนื้อหาที่ไม่ปลอดภัยตั้งแต่ URL ไปจนถึงการตรวจสอบทุกองค์ประกอบในเว็บไซต์ของคุณ
คุณสามารถเริ่มต้นด้วยเนื้อหาแบบคงที่และดำเนินการจากที่นั่นหากคำเตือนเนื้อหาผสมยังคงปรากฏอยู่
การค้นหาที่ดีกว่าแทนที่
ปลั๊กอิน Better Search Replace ช่วยให้คุณทำการค้นหาสตริงข้อความ จากนั้นอัปเดตเนื้อหาบนเว็บไซต์เพื่อให้แน่ใจว่าคุณทำงานอย่างถูกต้องหลังจากโอนเว็บไซต์
คุณสามารถค้นหาคำนำหน้า “https://” จากนั้นให้แทนที่ URLS ใด ๆ ที่มีคำนำหน้า “https:// แทนโดยอัตโนมัติ
หนึ่งในคุณสมบัติที่ดีของปลั๊กอิน Better Search Replace คือความสามารถในการดำเนินการแบบแห้งเพื่อให้แน่ใจว่าคุณไม่ได้เปลี่ยนแปลงอะไรโดยบังเอิญหรือไม่ได้ตั้งใจ
ปลั๊กอินนี้ยังมาพร้อมกับการรองรับ Multisite
เนื้อหา: ไม่ผสม
คำเตือนเนื้อหาผสมอาจไม่ชัดเจน แต่ช่วยชี้ให้เห็นปัญหาสำคัญในเว็บไซต์ของคุณ การทำตามขั้นตอนสองสามขั้นตอนเพื่อแก้ไขทรัพยากรที่ไม่ปลอดภัยของคุณนั้นคุ้มค่ากับเวลาของคุณ โดยเฉพาะอย่างยิ่งเพื่อความอุ่นใจของผู้ใช้ของคุณ ไม่ต้องพูดถึงตัวคุณเอง
คุณพบคำเตือนเนื้อหาผสมบนเว็บไซต์ WordPress ของคุณหรือไม่? คุณสามารถแก้ไขได้หรือพบปัญหาหรือไม่ วิธีแก้ปัญหาที่คุณชื่นชอบในการแก้ไขคำเตือนเนื้อหาแบบผสมคืออะไร รู้สึกอิสระที่จะแบ่งปันประสบการณ์ของคุณกับเราในความคิดเห็นด้านล่าง