Оптимизация шифрования SSL: Обнаружение и удаление смешанного содержимого

Даже если шифрование SSL активировано, мой сайт не получает нужный зеленый навесной замок для надежного соединения. Вместо этого, есть только сообщение о смешанном содержании. Это, вероятно, приведет к отсутствию доверия к безопасности моего сайта.

Что происходит не так?

В этой статье вы можете узнать, как найти смешанный контент на вашем сайте и удалить или заменить его, чтобы обеспечить безаварийное SSL шифрование для вашего сайта. Заодно прочитайте статью о том как добавить бесплатный SSL сертификат от Let’s Encrypt в WordPress.

Подсказка : Если вы используете управляемый WordPress, то он заботится о смешанном содержании автоматически и оптимизации вашего сайта для безаварийной шифрования SSL.

Что такое смешанное содержание?

Смешанное содержание возникает тогда, когда веб-сайт, открывается с помощью шифрования HTTPS и обеспечивает некоторый контент через HTTP без шифрования. Типичные причины для смешанного содержимого включают в себя изображения, аудио и видео файлов, IFrames, CSS и JavaScript файлов и объектов.

В зависимости от используемого браузера, смешанное содержимое отображается в адресной строке:

Если все содержимое веб-сайта поставляется в полностью зашифрованном виде через HTTPS, это будет выглядеть следующим образом, например, в адресной строке браузера:

В Developer tools (консоль) в Google Chrome или в браузере Firefox предоставляет подробный обзор содержания веб — сайта и показывает предупреждение смешанного содержимого.

В браузере Google Chrome, инструменты разработчика расположены в главном меню в разделе: меню Chrome > Дополнительные инструменты > инструменты для разработчиков (горячая клавиша: CTRL+shift+I/cmd–opt–I)

В области консоли, теперь можно просмотреть сведения о содержании или данных, которые вызывает отображение смешанного содержимого:

Хорошей альтернативой инструментов разработчика браузера является интерактивный инструмент Why No Padlock. Там, надо просто ввести свой адрес веб — сайта. Через некоторое время, вы получаете приемлемую, значимую и очень подробную информацию о том, какой контент я должен изменить, чтобы удалить смешанное содержимое.

Различение между активным и пассивным смешанным содержимым

Для того, чтобы получить немного больше, есть два вида смешанного содержания:

1. Смешанный пассивный контент является веб — контент, который не может изменить другие части веб — сайта, но он есть на сайте. Это включает в себя изображения, видео, аудио файлов и объектов суб-ресурсов, которые включены на веб — сайте.
2. Смешанное активное содержание является веб — контентом, который является частью «Документ объектов модели» (DOM) веб — сайта. Этот веб — контент может сделать сохранение изменения на части веб — сайта и их поведение. Оно включает в себя ссылки, скрипты (например , JavaScript), объекты XMLHttpRequest , плавающие фреймы CSS файлы , в которых используются URL — адреса и атрибуты данных объекта.

Снятие и замена смешанного содержимого (WordPress)

В принципе, проблема проста, чтобы решить в два этапа в WordPress:

Шаг 1: Преобразовать все HTTP — ссылки в базе данных WordPress в HTTPS ссылки.
Шаг 2: Настройка постоянной переадресации 301 от HTTP к HTTPS на веб — сервере.

Преобразование HTTP ссылки на HTTPS ссылки

Я могу использовать целый ряд различных методов, чтобы заменить ссылки в базе данных WordPress.

Важно: Перед тем, как внести изменения в базу данных WordPress, пожалуйста, убедитесь, что вы создали резервную копию базы данных. ( Резервное копирование базы данных: как это сделать)

1. WordPress плагин: Better Search Replace.
   Простой , но эффективный WordPress плагин, который позволяет также выполнить тестовый прогон (сухой ход) для поиска и замены объектов в базе данных. Вы также можете выбрать или отменить выбор отдельных таблиц базы данных.
2. PHP скрипт: Database Search and Replace
   PHP — скрипт, который должен быть скопирован с помощью (S) FTP или должен быть скопирован в папку, в которой установлен WordPress в порядке, который должен быть установлен заранее.
   Затем я могу открыть приложение через http(s)//wordpress.address/created-folder/.
   Database Search and Replace предоставляет больше возможностей , чем Better Search Replace (SFTP загрузить с FileZilla: как это работает). Тем не менее, самое большое преимущество в том что она не зависит от функционирования установки WordPress. То есть: Если база данных WordPress больше не работает, то не возможно войти в админку WordPress и я не могу получить доступ к моим плагинам. Тем не менее, изменения в базе данных WordPress с использованием Database Search and Replace по- прежнему могут быть сделаны без проблем.
3. WP-CLI
   Этот практичный инструмент командной строки позволяет легко для меня , чтобы изменить ссылки в базе данных WordPress с помощью поиска и замены.
   Чтобы это сделать, вы должны получить доступ через SSH и перейти к папке установки WordPress. Пример:

4. wp search-replace 'http://example.ru' 'https://example.ru'
   wp search-replace 'http://www.example.ru' 'https://www.example.ru'

    

«HTTP» был заменен на «HTTPS». ( Показать помощь для WP-CLI )

Настройка постоянной переадресации 301 из HTTP на HTTPS в веб — сервере

Если ссылки, относящиеся к веб-сайте, преобразуются из HTTP в HTTPS, тогда просто нужно настроить постоянный 301 редирект.

Apache : Если веб — сайт работает на веб — сервере Apache, я должен добавить следующие строки в файле .htaccess для этого веб — сайта:

<IfModule mod_rewrite.c>
     RewriteEngine On
     RewriteCond %{SERVER_PORT} 80
     RewriteRule ^(.*)$ https://www.yoursite.ru/$1 [R,L]
</IfModule>

Nginx : Если веб — сайт работает на веб — сервере Nginx, я должен добавить следующее, например, в конфигурации VHost для веб — сервера Nginx:

server {
        listen 80;
        .
        server_name example.com;

        return 301 https://example.ru$request_uri;
}

Мой браузер по-прежнему отображения смешанное содержимое, несмотря на внесенные изменения!

На данный момент, нет, к сожалению, общих шагов для исправления ошибки.

Из — за множества тем и плагинов в WordPress, разработчики постоянно внедряют внешние ресурсы (например Google Fonts) в исходном тексте через HTTP. Естественно, что изменение ссылки не поможет в таком случае. Более практический подход необходим для исходного текста для темы / плагина.

Другой причиной может быть изображение или содержимого плавающего фрейма, CSS или JavaScript — файлы с внешних сайтов, которые были добавлены после поиска и замены HTTP ссылок или которые просто не предусмотрены через HTTPS.

Мы рассмотрели проблему смешанного содержимого, если у вас возникли вопросы, оставляйте их в комментариях ниже. Все го вам доброго!

Редактор: AndreyEx