Ειδικά τα προηγούμενα χρόνια, αυτό ήταν ένα φαινόμενο που στο τμήμα τεχνικής υποστήριξης της MultiHosting, συναντούσαμε πάρα πολύ συχνά. Η αιτία ήταν πως οι περισσότεροι προγραμματιστές που είχαν αναπτύξει ένα plugin για Joomla,. Wordpress ή οποιοδήποτε άλλο CMS, δεν είχαν προνοήσει ότι θα έρθει μία μέρα όπου τα SSL και το https, θα ήταν υποχρεωτικά. Έτσι, φόρτωναν συνδέσμους εντός του plugin, με http (αντί για http).
Αυτό που αναφέραμε ακριβώς παραπάνω, είναι και η αιτία του Mixed Content, άρα και η αιτία που η ιστοσελίδα σας δεν εμφανίζει το πράσινο λουκέτο του SSL.
Αντιμετωπίζετε προειδοποιήσεις mixed content στην ιστοσελίδα σας; Δείτε πώς μπορείτε να αντιμετωπίσετε το πρόβλημα.
Ας δούμε λίγο πιο αναλυτικά τι είναι η προειδοποίηση mixed content και γιατί σας εμφανίζεται.
Όταν τα προγράμματα περιήγησης συναντούν ιστότοπους με δυνατότητα HTTPS, περιμένουν να είναι πλήρως ασφαλείς. Εάν δεν τους βρίσκουν εντελώς ασφαλείς, προειδοποιούν τους χρήστες με τη μορφή προειδοποιήσεων mixed content.
Πιο αναλυτικά, όταν ορισμένα τμήματα του ιστότοπού σας εμφανίζονται μέσω HTTPS και μερικά μέσω HTTP, τα προγράμματα περιήγησης το θεωρούν «mixed content» και στη συνέχεια, εμφανίζουν τις αντίστοιχες προειδοποιήσεις.
Όσον αφορά το μικτό περιεχόμενο (mixed content), υπάρχουν δύο βασικοί τύποι μικτού περιεχομένου που πρέπει να λάβετε υπόψη.
Το πρώτο είναι το Mixed Active Content (Mixed Scripting) και το δεύτερο είναι το Mixed Passive Content (Mixed Display Content).
Όταν πρόκειται για Mixed Active Content, ένα σενάριο φορτώνεται μέσω μη ασφαλούς HTTP. Τα προγράμματα περιήγησης αποκλείουν εντελώς τέτοιο περιεχόμενο. Από την άλλη πλευρά, το Mixed Passive Content αποτελείται από εικόνες, αρχεία ήχου, βίντεο κ.λπ. Αυτό το περιεχόμενο δεν θεωρείται πολύ επικίνδυνο από προγράμματα περιήγησης και, επομένως, εμφανίζει προειδοποιήσεις αντί να αποκλείει ολόκληρο το περιεχόμενο.
Ελπίζουμε ότι εξοικιωθήκατε λίγο με την ιδέα του mixed content. Τώρα το επόμενο βήμα είναι η εύρεση του εν λόγω μικτού περιεχομένου. Πώς όμως μπορείτε να το διορθώσετε όταν δεν μπορείτε να το βρείτε;
Ας το βρούμε λοιπόν.
Πώς να βρείτε το mixed content
Υπάρχουν πολλοί τρόποι για να να βρείτε το mixed content. Ας μιλήσουμε για το πρώτο. Ανοίξτε οποιαδήποτε σελίδα σε πρόγραμμα περιήγησης και δείτε τον πηγαίο κώδικα/source code. Τώρα αναζητήστε src = http και προσδιορίστε κάθε πόρο που εξυπηρετείται μέσω HTTP. Αυτή είναι η καλύτερη μέθοδος που μπορούμε να προτείνουμε.
Μπορείτε επίσης να το εντοπίσετε μέσω της κονσόλας του προγράμματος περιήγησής σας.
Πώς να διορθώσετε μια προειδοποίηση mixed content
Είναι αρκετά προφανές ότι πρέπει να καλύψετε ολόκληρο τον ιστότοπό με “ομπρέλα” HTTPS ή SSL. Για να το κάνετε αυτό, θα πρέπει να προβάλλετε το μη ασφαλές περιεχόμενο μέσω HTTPS. Με άλλα λόγια, θα πρέπει να βεβαιωθείτε ότι οι διευθύνσεις URL των πηγών σας έχουν HTTPS μπροστά τους.
Βήμα 1
Είναι σημαντικό να ελέγξετε πρώτα τον ιστότοπό σας για να δείτε εάν φορτώνετε μικτό ή μη ασφαλές περιεχόμενο μέσω της ασφαλούς σύνδεσης HTTPS. Θυμηθείτε, το Google Chrome θα εμφανίζει μικτές προειδοποιήσεις περιεχομένου εάν υπάρχει Mixed Content στον ιστότοπό σας.
Για να δείτε τις προειδοποιήσεις μικτού περιεχομένου του Chrome, κάντε πρώτα κλικ στην ιστοσελίδα που θέλετε να ελέγξετε.
Στη συνέχεια, κάντε δεξί κλικ και μετακινηθείτε προς τα κάτω στο στοιχείο «Επιθεώρηση στοιχείου/Inspect Element».
Όταν το κάνετε αυτό, επιλέξτε την καρτέλα με την ετικέτα Κονσόλα/Console.
Το πρόγραμμα περιήγησης θα εντοπίσει mixed content και θα εμφανίσει προειδοποιήσεις όπως στην παρακάτω εικόνα.
Εάν το mixed content είναι πολύ σοβαρό (που σημαίνει ότι ανοίγει στους χάκερς “δρόμο” για τον πλήρη έλεγχο ολόκληρης της ιστοσελίδας σας), οι προειδοποιήσεις μικτού περιεχομένου θα εμφανίζονται με κόκκινο χρώμα.
Τα Chrome Developer tools θα εμφανίζουν προειδοποιήσεις mixed content για την ιστοσελίδα που προβάλλετε αυτήν τη στιγμή. Αυτό σημαίνει ότι θα πρέπει να επιθεωρήσετε με μη αυτόματο τρόπο κάθε ιστοσελίδα στον ιστότοπό σας εάν θέλετε να διορθώσετε όλες τις μικτές προειδοποιήσεις περιεχομένου στον ιστότοπό σας. Aυτό μπορεί να είναι πολύ χρονοβόρο και κουραστικό έργο, εάν δεν αντιμετωπίσετε τα προβλήματα από νωρίς.
Βήμα 2
Εκτός από την επιθεώρηση του Source Code σε ολόκληρο τον ιστότοπό σας, ένας άλλος σίγουρος τρόπος για να εντοπίσετε μη ασφαλές περιεχόμενο στον ιστότοπό σας, παρά τη σύνδεση με HTTPS, είναι να ελέγξετε τις διευθύνσεις URL του ιστότοπού σας.
Εάν παρατηρήσετε ότι ορισμένες από τις διευθύνσεις URL του ιστότοπού σας είναι HTTP αντί για HTTPS όταν γνωρίζετε ότι διαθέτετε ενεργό πιστοποιητικό SSL στον ιστότοπό σας, τότε υπάρχει πιθανό πρόβλημα με τη φόρτωση mixed content στη διεπαφή για τους επισκέπτες του ιστότοπου. Είναι καλύτερο να διατηρείτε μια λίστα με όλες τις διευθύνσεις στον ιστότοπό σας που περιέχουν μικτό ή μη ασφαλές περιεχόμενο. Αυτό θα σας βοηθήσει να παραμείνετε οργανωμένοι όταν πρόκειται να διορθώσετε όλες τις προειδοποιήσεις που ανακαλύπτετε.
Βήμα 3
Μόλις δείτε ότι το mixed content φορτώνεται στον ιστότοπό σας HTTPS, το επόμενο πράγμα που πρέπει να κάνετε είναι να συγκρίνετε την μη ασφαλή ιστοσελίδα HTTP με την ασφαλή ιστοσελίδα HTTPS (χρησιμοποιώντας την ίδια διεύθυνση URL και για τα δύο). Εάν οι ιστοσελίδες είναι πανομοιότυπες μέσω HTTP και HTTPS, προχωρήστε στο επόμενο βήμα. Αυτό σημαίνει ότι δεν αποκλείεται περιεχόμενο από το Google Chrome και μπορείτε να προχωρήσετε.
Εάν, ωστόσο, δείτε μια προειδοποίηση ή το περιεχόμενο δεν θα εμφανίζεται μέσω της σύνδεσης HTTP, θα πρέπει να κάνετε ένα από τα εξής:
• Απαλλαγείτε εντελώς από τον πόρο (π.χ. την εικόνα, το βίντεο κ.λπ.)που δεν εμφανίζετα μέσω HTTP.
• Ειδάλλως κατεβάστε και φιλοξενήστε τον πόρο στον ιστότοπό σας απευθείας.
Βήμα 4
Εάν ο ιστότοπός σας αποδίδει το ίδιο και στις δύο συνδέσεις HTTP και HTTPS, το επόμενο βήμα είναι να αλλάξετε τη διεύθυνση URL από http: // σε https: //, να αποθηκεύσετε το αρχείο προέλευσης και να επανατοποθετήσετε το ενημερωμένο αρχείο.
Στη συνέχεια, κάντε κλικ στην ιστοσελίδα όπου εμφανίστηκε το σφάλμα mixed content και βεβαιωθείτε ότι έχει διορθωθεί και αποδίδεται μέσω ασφαλούς σύνδεσης HTTPS.
Τρόποι αποτροπής προειδοποιήσεων μικτού περιεχομένου στον HTTPS ιστότοπό σας
1. Να χρησιμοποιείτε πάντα διευθύνσεις (URL) HTTPS κατά τη φόρτωση των ιστοσελίδων σας.
Είναι σημαντικό να εφαρμόσετε τη σύνδεσή σας HTTPS (https: //) σε όλες τις ιστοσελίδες του ιστότοπού σας όποτε είναι δυνατόν. Εάν παρατηρήσετε ότι οι ιστοσελίδες σας φορτώνουν μέσω μη ασφαλούς σύνδεσης, παρά το γεγονός ότι έχετε ενεργό πιστοποιητικό SSL στον ιστότοπό σας, πρέπει να το διορθώσετε. Αυτό μπορεί να σημαίνει ότι έρχεστε σε επαφή με την ομάδα υποστήριξης του παρόχου φιλοξενίας, εάν ο πάροχος σας είναι αυτός που σας παρέχει το πιστοποιητικό SSL.
2. Χρησιμοποιήστε την οδηγία Upgrade-Insecure-Requests CSP
Ένας άλλος τρόπος για να εντοπίσετε και να διορθώσετε αυτόματα τις προειδοποιήσεις μικτού περιεχομένου στον HTTPS ιστότοπό σας πριν δημιουργηθεί κάποιο πρόβλημα είναι να χρησιμοποιήσετε το εργαλείο οUpgrade-Insecure-Requests. Αυτό το εργαλείο λέει στο πρόγραμμα περιήγησης να αναβαθμίσει όλες τις μη ασφαλείς διευθύνσεις URL πριν υποβάλει αιτήματα χρήστη.
Με άλλα λόγια, μια ανασφαλής διεύθυνση URL θα γίνει ασφαλής πριν από τη φόρτωση για έναν επισκέπτη ιστότοπου στο μπροστινό άκρο του ιστότοπού σας. Για να το κάνετε αυτό, προσθέστε αυτό το απόσπασμα meta tag κώδικα στην ενότητα <head> HTML του εγγράφου:
Προσοχή, εάν ο πόρος που φορτώνει μέσω HTTP μέσω σύνδεσης HTTPS δεν είναι διαθέσιμος μέσω HTTPS, αυτό το εργαλείο δεν θα λειτουργήσει. Επομένως, ο πόρος δεν θα αναβαθμιστεί ως ασφαλής και δεν θα φορτωθεί για τους επισκέπτες του ιστότοπου. Αν και αυτό σημαίνει ότι οι επισκέπτες του ιστότοπου θα χάσουν μέρος του περιεχομένου του ιστότοπού σας, αυτό σημαίνει επίσης ότι παραμένουν ασφαλείς καθώς εξερευνούν τον ιστότοπό σας.
Πώς να διορθώσετε μια προειδοποίηση mixed content σε έναν ιστότοπο WordPress
Φυσικά, οι παραπάνω επιλογές θα λειτουργήσουν για οποιοδήποτε περιβάλλον. Αλλά αν έχετε έναν ιστότοπο WordPress, δεν χρειάζεται να αντιμετωπίσετε εσείς αυτά τα προβλήματα χειροκίνητα, καθώς υπάρχει μια προσθήκη που θα κάνει τη δουλειά για εσάς.
Πρέπει να κάνετε λήψη του SSL Insecure Content Fixer. Αυτή η προσθήκη είναι αρκετά απλή και κάνει τη δουλειά σας πολύ πιο εύχρηστη.
Συμπερασματικά
Το να έχετε έναν ιστότοπο HTTPS είναι πιο σημαντικό από ποτέ. Το Google Chrome θα είναι το πρώτο που θα ενημερώνει τους επισκέπτες του ιστότοπου όταν ο ιστότοπός σας δεν είναι ασφαλής και χρησιμοποιεί σύνδεση HTTPS. Η κατάταξη της ιστοσελίδας σας στη μηχανή αναζήτησής θα μειωθεί, εάν διαθέτετε έναν μη ασφαλή ιστότοπο και τα άτομα θα αργήσουν να εμπιστευτούν την επωνυμία ή την επιχείρησή σας εάν δεν μπορείτε να αποδείξετε ότι είναι ασφαλείς κατά την περιήγηση στον ιστότοπό σας.