Смешанный контент как исправить
Определение и удаление смешанного контента
Несмотря на использование SSL-шифрования, сайт может не получить желанного «зеленого замка» (обозначающего защищенное соединение), а только примечание – «смешанный контент».
В этой статье вы узнаете, как найти на сайте и удалить смешанный контент, чтобы добиться SSL-шифрования.
Что такое смешанный контент?
Смешанный контент возникает, когда HTTPS-сайт, частично предоставляет материалы в незашифрованном виде через HTTP. Типичным примером смешанного контента являются изображения, аудио и видеофайлы, iFrames, CSS, а также файлы и объекты JavaScript.
В зависимости от используемого браузера обозначение смешанного контента может выглядеть в адресной строке по-разному.
Полностью зашифрованный ресурс будет обозначаться в адресной строке браузера следующим образом.
Инструменты разработчика (консоль), доступные в браузере Google Chrome или в Firefox, предоставляют подробный обзор того, какое содержимое сайта является смешанным контентом.
Отличия активного и пассивного смешанного контента
Существует два типа смешанного контента:
Удаление и замена смешанного контента (WordPress)
Проблема смешанного контента в WordPress может быть решена двумя простыми действиями:
Преобразование HTTP-ссылок в HTTPS-ссылки
Для замены ссылок в базе данных WordPress можно использовать различные методы. Важно: перед внесением изменений в базу убедитесь, что вы создали ее резервную копию.
1. Плагин WordPress: Better Search Replace
Плагин пробного запуска для поиска и замены в базе данных. Также можно включать или исключать отдельные таблицы.
Better Search Replace
2. PHP-скрипт: Database Search and Replace of Interconnect
PHP-скрипт, который нужно скопировать с помощью (S)FTP в подкаталог, расположенный в корне WordPress.
Основным преимуществом этого метода является независимость от действующей установки WordPress. Даже если база данных WordPress больше не работает, невозможно войти в бэкэнд WordPress, и у вас нет доступа к плагинам, то все равно можно внести изменения в базу с помощью Database Search and Replace.
3. WP-CLI: WP-CLI установлен на всех серверах веб-хостинга 1&1 IONOS.
С помощью этого инструмента командной строки можно настраивать ссылки в базе данных WordPress с помощью Database Search and Replace.
Для этого зайдите на сайт через SSH и перейдите в папку WordPress. Вы можете настроить ссылки с помощью этой команды:
Настройка редиректа 301
Если сайт работает на сервере Nginx, нужно добавить в конфигурацию VHost следующее:
В браузере по-прежнему отображается предупреждение о смешанном контенте?
К сожалению, на данный момент универсальных рекомендаций для решения подобной проблемы не существует.
Разработчики тем и плагинов для WordPress часто используют внешние ресурсы (например, Google Fonts) в исходном коде через HTTP. Но адаптация ссылок в этом случае не помогает. Исходный код темы / плагина нужно редактировать вручную.
Еще одной причиной появления смешанного контента могут быть файлы изображений, iFrame, CSS и JavaScript с внешних сайтов, которые встроены через HTTP-ссылки.
Пожалуйста, опубликуйте ваши отзывы по текущей теме статьи. Мы очень благодарим вас за ваши комментарии, отклики, лайки, подписки, дизлайки!
Смешанный контент после подключения HTTPS: как решить проблему?
Начиная с 2014 года Google стал активно продвигать защищенный протокол соединения HTTPS, сделав его в скором времени одним из факторов ранжирования сайтов в поисковой выдаче. Но кроме самой страницы, все ее содержимое должно также передаваться по HTTPS, в противном случае пользователь получит уведомление о том, что подключение к сайту не защищено. Какой бывает смешанный контент (mixed content), чем он опасен, и как от него избавиться?
Что такое смешанный контент?
Смешанный контент или по-другому mixed content, ситуация, в которой страница загружается с использованием сертификата SSL по защищенному соединению HTTPS, но некоторые ее элементы по стандартному HTTP. Такое может произойти, когда, например, картинка подгружается с другого сервера по незащищенному протоколу.
Суть HTTPS заключается в передаче данных между пользователем и сервером с помощью TLS шифрования. Важно, чтобы все ресурсы страницы также подгружались по зашифрованному соединению, иначе появляется уязвимость, и злоумышленники могут перехватить данные.
Каким он бывает?
Смешанное содержимое страницы может быть двух типов:
Mixed Content, или Смешанный Контент в WordPress: Причины, Решения
Если вы столкнулись с предупреждением о смешанном контенте на вашем сайте WordPress (англ), не игнорируйте его. Оно свидетельствует о неправильных настройках. Смешанный контент, или mixed content может привести к более серьёзным проблемам. Но, к счастью, ошибку довольно просто устранить.
В этой статье мы расскажем, что такое mixed content, почему появляется предупреждение о смешанном контенте и как его исправить.
Предупреждение о Смешанном Контенте
Сообщение, которое указывает на смешанный контент на вашем сайте WordPress может отличаться в зависимости от браузера. Оно может звучать как «Подключение к сайту защищено не полностью» или «Подключение к сайту не защищено».
Предупреждение о смешанном контенте в Firefox
Предупреждение о смешанном контенте в Chrome
Как правило, предупреждение информирует о том, что на странице вашего сайта обнаружен небезопасный контент. В большинстве случаев это происходит после миграции с HTTP на HTTPS (англ).
Когда вы переходите с HTTP на HTTPS, соединение с вашим сайтом становится более безопасным.
Но если при переходе некоторые настройки были выполнены неправильно, не все ресурсы на вашем сайте WordPress будут загружаться через соединение HTTPS. Как результат браузер будет выдавать предупреждение о смешанном контенте.
Есть три основных причины появления сообщения о смешанном контенте:
Но почему HTTPS лучше HTTP? Проще говоря, HTTPS делает ваш сайт безопасным.
HTTPS расшифровывается как Hyper Text Transfer Protocol Secure. Это означает, что все данные, которые проходят через ваш сайт защищены безопасным шифрованием. Таким образом, пользователь не имеющий права на эти данные, не может их прочитать. Это также означает, что вся конфиденциальная информация, такая как данные кредитной карты надёжно защищена от мошенников.
Если ваш сайт WordPress защищён с помощью SSL — использует HTTPS — вы увидите зелёный замок в адресной строке. Вы можете нажать на него, чтобы получить подробную информацию о сертификации.
Почему это важно?
Проще говоря, сайт без сертификата — не безопасный. Вот почему важно как можно быстрее это исправить.
Безопасность
Сегодня безопасность не является чем-то опциональным.
Фактически, это один из приоритетов при создании сайта WordPress. Если вы используете безопасное соединение HTTPS, вы уменьшаете потенциальные риски, которые могут негативно повлиять на ваших посетителей.
Небезопасное соединение может привести к тому, что ваши клиенты откажутся совершать какие-либо финансовые операции на вашем сайте. Так что, если вы ведёте онлайн-бизнес, убедитесь, что ваши клиенты не увидят это сообщение во время покупки.
Фактор SEO
SEO является жизненно важным фактором для любого сайта, который хочет привлечь посетителей из органического поиска.
Google официально подтвердил, что HTTPS является фактором, непосредственно влияющим на рейтинг сайта в поиске (SERP). Кроме того, mixed content может негативно сказаться на скорости загрузки вашего сайта, при этом скорость также является фактором SEO. Следовательно, игнорирование предупреждений о смешанном контенте может перечеркнуть все ваши усилия по SEO-потимизации.
Надёжность
Предупреждение о небезопасном контенте в браузере посетителя, может подорвать репутацию вашей компании, ухудшить пользовательский опыт и помешать вам укрепить доверие клиентов.
Так что, если у вас отличный информативный контент, но есть проблемы с безопасностью — подключение к сайту защищено не полностью — посетители уйдут так же быстро, как и пришли.
Типы Смешанного Контента
Существует два типа смешанного контента:
Определяем Активы HTTP, Загружаемые на Странице HTTPS
Прежде чем приступить к устранению сообщения о смешанном контенте, вам необходимо определить проблему, вызвавшую его появление.
Прежде всего убедитесь, что на вашем сайте уже есть SSL. Если сертификат ещё не установлен, у вас есть возможность приобрести его у Hostinger по доступной цене.
Используем Плагины
Установите специальный плагин, обнаруживающий элементы HTTP.
WordPress HTTPS (SSL) является одним из лучших плагинов для этой задачи. После установки и активации плагина перейдите на страницу настроек HTTPS на панели инструментов. Там вы сможете:
Используем Сайт Онлайн-тестирования
Вы также можете проверить свой сайт с помощью WhyNoPadLock. На этом сайте вы найдёте простой инструмент проверки, которым, между прочим, уже успешно воспользовались более 6 миллионов веб-ресурсов.
Всё, что вам нужно сделать, это ввести URL вашего сайта и запустить тестирование. Если на веб-сайте будет обнаружена проблема, вы увидите предупреждение вроде этого:
Если же результат теста выдаст зелёную галочку, это означает, что у вас всё в порядке.
В качестве альтернативы можете попробовать HTTPS Checker. У этого замечательного инструмента есть как онлайн, так и десктопная версия. С его помощью вы сможете выявить любой активный или пассивный смешанный контент, небезопасные перенаправления и ссылки, а также узнать статус SSL-сертификата вашего сайта.
Используем Inspect Element
Лично мы рекомендуем третий метод.
По сути, вам не нужно искать ошибки вручную, так как инструмент сам предложит список ошибок, которые необходимо исправить. Но обратите внимание, что это действие нужно выполнить для каждой страницы отдельно.
Если вы хотите провести комплексный анализ сайта, тогда стоит использовать инструмент аудита Ahrefs. Этот инструмент поможет вам выявить ссылки и ресурсы, которые вызывают проблемы. На самом деле, этот сервис даёт намного больше возможностей, и может быть использован для более тщательного аудита сайта, чем просто выявление смешанного контента.
Предупреждение о Смешанном Контенте: Как Исправить
Итак, вы увидели сообщение “Подключение к сайту не защищено” или “Подключение к сайту защищено не полностью”, как это исправить? После того, как вы установили причину его появления на вашем сайте WordPress, можно приступить непосредственно к “ремонту”.
Но этот метод слишком трудоёмкий, если вы собираетесь исправлять ошибки вручную по всему сайту.
Вместо этого вы можете установить плагин SSL Insecure Content Fixer, который поможет вам легко диагностировать и устранить проблемы.
Мы рекомендуем начать с опции по умолчанию и постепенно переходить к следующим уровням, если вы хотите выполнить более сложные исправления.
Выводы
Не стоит игнорировать mixed content и предупреждение о его наличии. Смешанный контент серьёзно подрывает безопасность вашего сайта. Поэтому, если возникла такая проблема, настоятельно рекомендуется немедленно действовать.
В этой статье, мы показали, что исправить смешанный контент в WordPress не так сложно, как кажется. Выбирайте метод, который вам больше нравится, а если ошибка не исчезнет, воспользуйтесь дополнительными инструментами, упомянутыми в нашем руководстве.
Успехов в настройке вашего сайта WordPress и никаких “Подключение к сайту не защищено ”!
Ольга уже около пяти лет работает менеджером в сфере IT. Написание технических заданий и инструкций — одна из её главных обязанностей. Её хобби — узнавать что-то новое и создавать интересные и полезные статьи о современных технологиях, веб-разработке, языках программирования и многом другом.
Чем опасна ошибка смешанного контента на сайте
Каждый владелец сайта слышал о необходимости перевода своего сайта на HTTPS-протокол. Если еще несколько лет назад установка SSL-сертификата на сайт казалась какой-то непонятной и ненужной процедурой, то сейчас бо́льшее удивление вызывают сайты, которые до сих пор работают по незащищенному протоколу (да, они и сейчас существуют).
Более того, если раньше вопрос безопасности информации на сайте был делом сугубо добровольным, то сейчас, когда появляются все более изощренные способы обмана пользователей, к борьбе с мошенниками и заботе о пользователях подключились мировые корпорации. Так, в 2018 году компания Google в своем браузере стала помечать сайты, работающие по HTTP-протоколу, как небезопасные. И впереди нас ждет еще одно важное нововведение. Оно касается «mixed content» (или смешанного контента, содержимого сайта).
Что такое HTTP, HTTPS и SSL
Перед тем как рассказать о самой новости, разберемся в том, что такое смешанное содержимое, а также почему такая проблема возникает. Начнем с базовых моментов.
Протокол HTTP используется в интернете для передачи различных данных. Именно благодаря ему вы можете запрашивать и получать информацию на сайте (или, если говорить более точно, на сервере, где расположен сайт). Проблема в том, что все эти данные передаются в незашифрованном виде, а это значит, их может перехватить и увидеть кто-то другой. Когда речь идет о конфиденциальной информации, например, о данных вашей банковской карты, то это может обернуться значительными финансовыми потерями.
Для того чтобы обезопасить передачу данных, было придумано расширение протокола HTTP, которое носит название HTTPS (S в конце расшифровывается как «Secure» – «защищенный»). При использовании HTTPS-протокола данные обеспечиваются криптографической защитой и уже не попадут в руки мошенников.
А для того чтобы сайт мог работать по HTTPS-протоколу, на него необходимо установить SSL-сертификат. Именно он обеспечивает безопасное соединение между вашим браузером и сервером, где находится сайт.
Почему возникает ошибка смешанного контента
Чем опасен смешанный контент на сайте?
Но главная причина, почему вам стоит уже сегодня решить проблему смешанного контента, касается нововведения от компании Google. О нем расскажем ниже.
Chrome начнет полностью блокировать смешанный контент
Продолжая свою политику по обеспечению безопасности в интернете, компания Google анонсировала, что после выхода 80-й версии Google Chrome в январе 2020 все элементы, которые грузятся по небезопасному протоколу (например, музыка и видеоролики), будут блокироваться.
Как решить проблему смешанного контента
Ошибка смешанного содержимого индивидуальна для каждого сайта, поэтому дать какие-то конкретные, подходящие для любого сайта рекомендации тут нельзя.
В сети можно найти множество материалов по данной тематике, так что если вы уверены в своих знаниях и опыте, вы можете попробовать решить проблему своими силами.
Второй вариант – обратиться к профильным специалистам, которые занимаются разработкой и обслуживанием сайтов.
Если вы являетесь клиентом Timeweb или хотите им стать, вы можете воспользоваться нашей акцией: при заказе и установке SSL-сертификата Timeweb Pro наши специалисты решат проблему смешанного контента бесплатно. Заказ, установку сертификата и исправление ошибки смешанного содержимого мы берем на себя.
Как найти и убрать смешанный контент на сайте с HTTPS
Проверенные методы поиска и устранения смешанного контента
О важности перехода на HTTPS уже даже перестали говорить — это и так всем известно. Более того, большинство активно развивающихся сайтов уже давно перешли на защищенный протокол.
Тем временем Google от рекомендаций перешел к более активной мотивации — начал блокировать сайты, которые используют HTTP. Казалось бы, у вас HTTPS, и нечего переживать по этому поводу. Но есть нюанс: если на сайте есть смешанный контент, вы рискуете попасть под горячую руку Google, несмотря на то, что большинство страниц подгружаются по HTTPS.
В статье рассказываем о том, что считается смешанным контентом, почему Google с ним борется, как найти его на своем сайте и устранить.
Что считается смешанным контентом и почему от него следует избавиться
Смешанный контент — наличие на HTTPS-сайте контента, который доступен только по старому протоколу HTTP.
Например, у вас сайт давно переведен на HTTPS, и все страницы по умолчанию доступны по защищенному соединению — https://site.ru. Но на главной странице есть картинка, которая до сих пор загружается по незащищенному протоколу — http://site.ru/image.
По спецификации W3C смешанный контент делится на две группы:
Если изображения, аудио или видео доступны на сайте только по протоколу HTTP — браузер их заблокирует. Чтобы этого не произошло, такой контент нужно выявить и обеспечить его доступность по протоколу HTTPS.
Планы Google по отношению к смешанному контенту
С 2017 года в адресной строке Chrome начало отображаться уведомление «Not secure», если пользователь начинал заполнять формы ввода данных на сайте с HTTP.
Годом позже (после релиза Chrome 68) Google стал показывать «Not secure» по умолчанию для всех сайтов, которые не перешли на протокол HTTPS.
Самое интересное началось в 2019 году — Google объявил о планах постепенно избавляться от подгрузки ресурсов на сайтах по незащищенному протоколу HTTP.
Важно! 4 июня 2020 года Google сообщил о переносе релиза функции на версию Chrome 84.
Активное подталкивание к миграции на https дало свои плоды: с ноября 2018 по ноябрь 2019 года доля сайтов, использующих защищенный протокол, выросла с 43,5% до 56,5%:
По состоянию на сентябрь 2020 года протокол https:// по умолчанию используют 64,8% сайтов:
В России 85% страниц, которые пользователи загружают в браузере Google Chrome, по умолчанию доступны по https://. В 2015 году доля таких страниц была на уровне 28%.
Сам Chrome в России популярен среди 41% пользователей:
Это существенная доля, поэтому стоит по максимуму избавляться от смешанного контента, если такой есть на сайте. Иначе из-за блокировки можно потерять позиции в поиске.
Ищем смешанный контент на сайте
Есть несколько способов определить, что на сайте содержится смешанный контент.
По наличию предупреждения в адресной строке браузера
Самый простой и очевидный способ. Покажем, как это выглядит на примере страницы, на которой есть изображение, подгружаемое по незащищенному протоколу.
В исходном коде мы видим:
В адресной строке Chrome отображается иконка с восклицательным знаком. При клике на иконку мы видим уведомление о том, что подключение к сайту защищено не полностью:
Похожее уведомление показывает и Мозилла:
Правда, такой способ годится больше в качестве индикатора — поможет увидеть, что на некоторых страницах сайта присутствует смешанный контент.
Недостаток способа — придется просматривать каждую страницу, чтобы получить полное представление о положении дел на сайте. А также вручную проверять, какие именно картинки, видео и другие ресурсы подгружаются по незащищенному протоколу.
Поиск по исходному коду
Так можно проверить отдельные страницы сайта и оценить, насколько много смешанного контента на них.
Поиск найдет все упоминания http в коде страницы и мы сможем определить, какие именно картинки, видео или другие типы ресурсов до сих пор используют незащищенный протокол.
С помощью консоли разработчика
Переходим на страницу, которую необходимо проверить, и жмем сочетание клавиш Ctrl + Shift + I для Windows или Cmd + Opt + J для Mac (откроется консоль разработчика). Если на странице обнаружен смешанный контент, в консоли отобразятся ошибки «Mixed Content».
Консоль удобна тем, что в ней отображаются сразу все ошибки, которые система нашла на странице. Так вы сможете понять, что именно подгружается по незащищенному протоколу и оценить объем работ по устранению. Единственный минус этого способа — нельзя автоматизировать проверку большого количества страниц.
SSL-чекер от JitBit
JitBit — бесплатный сервис, который поможет быстро определить, есть ли на сайте смешанный контент и на каких именно страницах.
Работать с сервисом предельно просто:
Два недостатка:
Анализ страниц сайта с помощью Lighthouse
Смешанный контент можно выявить с помощью Lighthouse — это бесплатный инструмент от Google с открытым исходным кодом для улучшения качества веб-страниц.
С помощью этого инструмента можно проверить любое количество URL и получить полный список ресурсов, которые подгружаются по HTTP.
Придется проделать некоторые дополнительные манипуляции, так как в Lighthouse по умолчанию нет отчета по смешанному контенту. Сейчас покажем, как это сделать.
1. Установите Google Canary (специальный браузер от Google для разработчиков).
3. Запустите командную строку Node.js.
4. Пропишите и выполните следующую команду:
Начнется установка Lighthouse.
Если установка прошла успешно, в консоли отобразится такое сообщение:
5. Пропишите команду для анализа и формирования отчета:
Вместо URL укажите адрес нужной страницы в формате site.ru.
Система начнет анализ страницы:
После окончания анализа система сообщит об этом и покажет путь к сохраненному отчету.
Отчет сохраняется в HTML и содержит две части:
Если на странице найден смешанный контент, в отчете вы увидите список ресурсов, в URL которых используется протокол http.
Как проверить массив URL
Чтобы проверить сразу группу страниц или все страницы сайта, воспользуйтесь следующей инструкцией:
Вместо “C:\Users\light\urls.txt” укажите путь к своему текстовому файлу со списком страниц.
Подождите, пока Lighthouse проверит все страницы и сформирует отчет (время формирования отчета зависит от количества страниц, которые вы проверяете).
Проверка страниц с помощью Screaming Frog
Это самый удобный и быстрый способ — не нужно проверять каждую страницу отдельно и разбираться в консоли.
В Screaming Frog SEO Spider много различных функций, но нам понадобится отчет «Insecure Content». После запуска инструмент проанализирует ваш сайт и подготовит список всех ресурсов, подгружаемых по http.
Единственный минус — инструмент платный, стоимость лицензии — £149 в год.
Кстати, с помощью Screaming Frog можно парсить любую открытую информацию с любого сайта. Об этом у нас есть подробная статья с инструкцией.
Как устранить смешанный контент
После проверки сайта и обнаружения смешанного контента необходимо исправить ситуацию.
И тут может быть два варианта — ссылки с HTTP могут вести на внутренние ресурсы или на внешние.
В первом случае все решается достаточно быстро и просто — после миграции на https необходимо лишь поменять ссылки с абсолютных на относительные, настроить необходимые редиректы и все внутренние ресурсы автоматически подгружаются правильно.
Если же на сайте есть внешние ресурсы — тут ситуация посложнее.
Базово алгоритм решения проблемы с внешними ресурсами выглядит так:
Что делать, если внешние ресурсы доступны только по http, а по https не подгружаются?
Есть несколько вариантов решения этой проблемы:
Плагины для автоматического устранения смешанного контента
Если при анализе сайта вы нашли один — два URL с http, их проще заменить вручную — отредактировать исходный код и указать правильный протокол.
Если же ссылок с http много, они размещены в стилях, скриптах и т.д. — тут нужен программист или специальные плагины.
Вот два популярных плагина для WordPress:
Важно! Будьте аккуратны при работе с плагинами. Вносите изменения только тогда, когда точно понимаете, что именно сделает плагин. Перед каждым изменением делайте резервную копию сайта. Если что-то пойдет не так — вы сможете без проблем откатить изменения и вернуться к предыдущей версии.
Нет времени разбираться в тонкостях поиска и ликвидации смешанного контента? Специалисты PromoPult сделают все необходимые работы за вас в рамках модуля SEO. Все по чек-листу и в оговоренные сроки. Возможна оплата в рассрочку. Регистрируйтесь в PromoPult и забудьте о технических проблемах на сайте.