如何修復 WordPress 中的 HTTPS 混合內容警告或錯誤

已發表: 2018-10-05

當您網站上的某些內容使用 SSL 證書進行保護和加密時,就會出現混合內容警告。

這會導致安全問題以及訪問者可以看到的錯誤消息,表明您的網站不安全。

在這篇文章中,我將分享有關混合內容警告的更多詳細信息、它們的含義、如何修復它們以及如何在您的 WordPress 網站上避免它們。

什麼是混合內容?

您的網站由許多不同類型的內容組成:HTML 文件、圖像、視頻、樣式表、腳本等等。 當用戶在瀏覽器中鍵入 URL 時,瀏覽器會向服務器發出請求以返回文件。

由於網站中的內容量很大,您的瀏覽器可能必須向服務器發出多個請求才能正確加載所有內容。

雖然初始 HTML 文件將在安全連接下加載,但(如果您有 SSL 證書)後面的子資源請求可能無法安全返回。

HTTPS 和 HTTP 資源都加載到單個頁面的結果是混合內容。

當某些 URL 未設置為通過 HTTPS 提供時,就會發生這種情況。 將 URL 從 HTTP 更新為 HTTPS 將解決該警告。 這將在後面詳細解釋。

如前所述,大多數瀏覽器都會顯示混合內容警告,讓用戶知道他們加載的資源是不安全的。

混合內容的類型

如果您的網站遭到入侵,並非所有不安全的內容都具有相同程度的危險。 混合內容可以分為兩類:被動和主動。

被動的

被動混合內容不與頁面上的其他內容交互。 這包括圖像、視頻和音頻內容等資源。 由於資源是靜態的,因此如果攻擊者控制了您的站點,他們所能完成的工作就會受到限制。

可能的黑客攻擊可能包括更改圖像、插入廣告、破壞網站以及移動元素以混淆用戶,例如保存和刪除按鈕圖像。

此外,即使黑客沒有更改您網站的內容,他們仍然能夠跟踪用戶模式並查看他們查看的頁面、資源和產品。

積極的

活動混合內容與整個頁面交互,包括樣式表、腳本、iframe 和 Flash 資源等內容。 如果黑客掌握了這些信息,他們就可以對您的網站做很多事情。

攻擊者將能夠更改頁面的任何內容,包括插入不同的內容、竊取密碼甚至將用戶重定向到惡意站點。

如果您有一些瀏覽器完全阻止網站訪問的活動內容,則可能會阻礙用戶體驗以及訪問者對您網站的信任。

為什麼混合內容不好

使用 HTTPS 協議並加密瀏覽器和服務器之間的通信對於保護您的站點和用戶免受攻擊非常重要。

具有混合內容的頁面僅被部分加密,這使得未加密的內容容易受到黑客的攻擊。

根據內容是被動的還是主動的,您可能會在不知情的情況下放棄對整個網站的控制。

瀏覽器的行為方式

理想情況下,所有瀏覽器都會阻止所有危險內容。 但是,這並不可行,因為數百萬人依靠互聯網來行使言論自由。 但是,並不是每個人都有能力了解最新的安全實踐。

相反,瀏覽器會阻止危險內容並允許用戶請求不太危險的內容。 它使用混合內容規範來確定危險級別,並確定內容是可選擇阻止還是可阻止

根據 W3C 的混合內容規範,“當允許將其用作混合內容的風險超過了破壞 Web 重要部分的風險時”,內容是可選的可阻止的。

所有不被視為可選擇性阻止的混合內容都是可阻止的。 因此,更新為遵循混合內容規範的瀏覽器會限制它。

值得注意的是,並非所有訪問者都使用最新的瀏覽器。 在開發網站時,可以在每個瀏覽器的網站上找到涉及混合內容的特定瀏覽器行為。

分解內容

如果您一直收到這些混合內容警告,您可以採取一些步驟來幫助保護您的網站和內容。

把它備份

在對您的網站進行任何重大更改之前,請確保您有備份,以防萬一出現任何問題。 在進行這些更改後,您還需要進行備份以鎖定新的安全內容。

如果您在選擇備份插件方面需要一些建議,請查看 5 個免費和最佳 WordPress 備份插件:權威列表。

一些插件甚至內置了安全掃描程序以確保您的內容安全。

扮演偵探

每個瀏覽器都有不同的通知您混合內容警告的方式。 但是,它通常在 URL 欄中找到,並帶有更改的掛鎖圖標。

Chrome 中的混合內容警告示例
Chrome 通知是一個盾牌,前面有一個紅框“X”。 將鼠標懸停在其上以查看警告消息。

Chrome 版本 21 或更高版本在 URL 欄的右側有一個帶有紅色框的灰色盾牌。

Firefox 有一個帶有警告圖標的小鎖。 Safari 9.0.1 或更高版本不會顯示混合內容警告,但內容可能仍會被阻止。

控制台方法

看到站點的混合內容警告後,您可以通過檢查瀏覽器中的 JavaScript 控制台來確定哪些內容不安全。

訪問控制台的方法因瀏覽器而異,您可以查閱瀏覽器的文檔了解詳細信息。

在 Chrome 中,右鍵單擊窗口並選擇Inspect

在 Inspector 窗口的頂部有一系列選項卡。 單擊控制台

鉻控制台
選擇控制台選項卡以查看顯示警告消息的 JavaScript 控制台。

如果頁面上加載了任何內容並觸發了混合內容警告,它會出現在控制台中。

該通知將告訴您使用 HTTPS 協議的原因以及您的瀏覽器認為可以選擇阻止或阻止的內容。 然後,您可以記下所有不安全的內容,以便以後保護它。

JavaScript 控制台
根據嚴重程度,混合內容警告會以顏色區分主動和被動。 您將能夠檢查鏈接以查看哪些內容不安全。

請注意:JavaScript 控制台僅加載其所在頁面的混合內容警告。 因此,您必須手動訪問每個頁面來測試您網站的內容。

源代碼方法

您還可以通過查看其源代碼來查看您網站的不安全內容。

在 Chrome 和 Firefox 中,右鍵單擊您的網站並選擇View Page Source 。 在 Safari 中,該選項稱為Show Page Source

您的整個頁面源代碼將出現。 然後,您可以搜索“http://”以查看您網站上的哪些資源未使用 HTTPS 協議。

驗證您的內容

您還可以將找到的不安全內容的 URL 放入瀏覽器的地址欄中。 但是,將“http://”替換為“https://”以確保該資源仍可通過安全連接使用。

如果您的網站加載沒有錯誤,您可以進入您的文件和設置。 然後,將每個 URL 永久更改為安全的“https://”前綴。

搜索和替換插件

有許多插件和工具可以幫助您找到不安全的內容,然後單擊幾下即可將其替換。

更新您的 URL 後,可以刪除插件選項。

為什麼沒有掛鎖

為什麼沒有掛鎖網站

為什麼沒有掛鎖是一個允許您插入安全 URL 的網站,該網站將為您提供有關您的 SSL 證書以及您網站中的任何混合內容的報告。

它還檢查 SHA-1 算法測試、POODLE 測試和不安全的表單調用。

如果您想保持站點文件精簡,它是插件的絕佳替代品。 但是,它只是一個診斷工具,不會進行任何實際替換。

SSL 不安全內容修復程序

SSL 安全內容修復插件

SSL Insecure Content Fixer 是一個插件,它將檢查並找到您的不安全內容並為您修復它。

他們利用許多不同級別的深度來搜索從 URL 到檢查網站的每個元素的不安全內容。

如果仍然出現混合內容警告,您可以從靜態內容開始並從那裡開始工作。

更好的搜索替換

更好的搜索替換插件

Better Search Replace 插件可讓您搜索一串文本,然後更新網站上的內容,以確保您在網站轉移後正常運行。

您可以搜索“https://”前綴。 然後,自動將包含它的任何 URL 替換為具有“https://”前綴。

Better Search Replace 插件的一項簡潔功能是能夠進行試運行以確保您沒有意外或無意更改任何內容。

這個插件還帶有多站點支持。

內容:未混合

混合內容警告可能並不明顯,但它有助於指出您網站的主要問題。 採取一些步驟來修改不安全的資源是值得的。 尤其是為了您的用戶的安心,更不用說您自己的了。

您是否在 WordPress 網站上找到混合內容警告? 你能解決它還是遇到問題? 您最喜歡修復混合內容警告的解決方案是什麼? 請隨時在下面的評論中與我們分享您的經驗。