Как исправить предупреждение о смешанном содержании в WordPress? –

В настоящее время использование SSL с протоколом HTTPS является обязательным для всех веб-сайтов, даже если ваш сайт предоставляет только текстовый/графический контент без сбора пользовательских данных. Большинство хостинговых компаний WordPress используют бесплатный Let’s Encrypt SSL и автоматически продлевают его, чтобы упростить задачу. Однако проблема связана с предупреждениями о смешанном содержании, когда на вашем сайте есть небезопасные HTTP-ссылки. В этой статье давайте рассмотрим, как найти небезопасный контент и исправить предупреждение о смешанном контенте на сайте WordPress.

Проверка предупреждения о смешанном содержании

Когда у вас есть SSL и страница загружается с HTTPS, не так просто найти проблемы с уменьшением смешанного контента. Для вас есть два варианта:

• Проверьте консоль браузера – щелкните правой кнопкой мыши на своей странице и выберите опцию «Проверить» или «Проверить элемент». Это откроет раздел «Инструменты разработчика» и проверит ошибки на вкладке «Консоль».
• Проверьте адресную строку браузера – вы можете заметить, что Chrome и другие браузеры часто показывают сообщение «Небезопасно» в адресной строке вместо замка, когда вы посещаете свой сайт. Иногда вы увидите только информационный значок вместо замка, и нажатие на него покажет, что соединение небезопасно.

Соединение не защищено

Почему возникает проблема с предупреждением о смешанном содержании?

Прежде чем устранять проблему, важно сначала понять, почему это происходит. На это могут быть две основные причины:

• Вы используете сторонний скрипт для рекламы или аналитики, которые загружаются с небезопасного домена. В этом случае вы можете заставить все файлы, загруженные на ваш сайт, использовать HTTPS. Поскольку вы не можете изменять внешние веб-сайты, вы все равно будете видеть ошибки консоли браузера на своем сайте. Поскольку рекламные объявления каждый раз загружаются динамически, вы можете обнаружить, что предупреждения о смешанном содержании появляются случайным образом и не всегда.
• Вы пропустили некоторые настройки в WordPress, хотя SSL установлен. Например, вы могли перенести URL-адреса http на https и не изменять все экземпляры URL-адресов внутри своего контента. В этом случае вы можете легко проверить и заменить URL-адреса, чтобы устранить проблему.

Исправление предупреждений о смешанном содержании в WordPress

Сначала убедитесь, что на вашем домене установлен SSL-сертификат с правильной действительностью. После этого попробуйте следующие вещи в зависимости от ситуации.

1. Проверьте настройку адреса сайта WordPress.

Некоторые хостинговые компании, такие как SiteGround, не добавляют HTTPS к адресу сайта при установке WordPress. Вы можете изменить адрес сайта, чтобы использовать HTTPS вместо HTTP:

• Войдите в свою панель администратора WordPress (может работать с URL-адресом https://).
• Перейдите в раздел «Настройки > Общие».
• Проверьте поля «Адрес WordPress (URL)» и «Адрес сайта (URL)».
• Если они используют изменение на
• Вы выйдете из системы и снова войдете с https:// URL. Отныне вы можете использовать https:// только для просмотра всех страниц вашего сайта.

Добавьте HTTPS к URL-адресу сайта в WordPress

2. Принудительно HTTPS на хостинге

Также можно принудительно включить HTTPS в URL разными способами. Лучше всего проверить, предлагает ли ваша хостинговая компания такую ​​​​возможность. Например, вы можете принудительно включить HTTPS в SiteGround Site Tools, перейдя в раздел «Безопасность > HTTPS Enforce».

Использование HTTPS в учетной записи хостинга SiteGround

Кроме того, вы можете добавить следующую директиву в свой файл .htaccess, чтобы принудительно подключиться по HTTPS. Узнайте больше о том, как редактировать файл .htaccess в WordPress.

# НАЧАТЬ ПРИНУДИТЕЛЬНО HTTPS RewriteEngine On RewriteCond %{HTTP:X-Forwarded-Proto} !https RewriteCond %{HTTPS} off RewriteRule ^ (L,R=301) # END FORCE HTTPS

Добавить директиву Force HTTPS в файл htaccess SiteGround

3. Включите перезапись HTTPS в Cloudflare

Если вы используете службы CDN, такие как Cloudflare, обязательно включите параметр HTTPS в настройках, чтобы исправить предупреждения о смешанном содержимом. В Cloudflare перейдите в раздел «SSL/TLS > Edge Certificates» и включите опцию «Automatic HTTPS Rewrites». Когда на вашем сайте есть URL-адреса HTTP, Cloudflare попытается получить эквивалентные URL-адреса HTTPS, избегая предупреждения о смешанном содержании. Это очень полезно для внешних ресурсов, таких как jQuery, когда ваш сайт пытается загрузить старую ссылку http.

Включить перезапись HTTPS в Cloudflare

Помимо автоматической перезаписи, в том же разделе «Edge Certificates» в Cloudflare доступно еще несколько опций.

• Всегда используйте HTTPS — этот параметр похож на форсирование HTTPS и использует перенаправление 301 для всех URL-адресов http, чтобы принудительно использовать https.
• Строгая транспортная безопасность HTTP (HSTS) — это добавит HTTP-заголовок в ответ сервера, чтобы заменить все ссылки http на https при загрузке страницы. Вы должны знать об этом факте, кроме того, это поможет исправить предупреждения о смешанном содержании и повысить безопасность вашего сайта.

Всегда используйте HTTPS и HSTS в Cloudflare

4. Вручную замените HTTP на HTTPS

Иногда на вашем сайте может быть много экземпляров http://, которые используют протоколы SSL и HTTPS. Это могло произойти из-за миграции со старого сайта или из-за того, что вы связали сторонние URL-адреса с HTTP. Когда вы принудительно используете HTTPS в этой ситуации, все источники, связанные с HTTP, будут заблокированы на вашем сайте. Это означает, что вы увидите битые изображения, скрипты или макет (из-за CSS) на опубликованном сайте. Браузеры также будут отображать предупреждение в адресной строке.

• Если у вас есть сторонние URL-адреса в верхнем или нижнем колонтитуле, подтвердите это у разработчика и замените HTTP на HTTPS везде, где это поддерживается.
• Если у вас есть большое количество связанных файлов (например, изображений), решение состоит в том, чтобы найти и заменить все экземпляры http:// на https:// в вашей базе данных WordPress. Вы можете сделать это с помощью инструмента phyMyAdmin из панели хостинга или использовать для этой цели плагин. Узнайте больше о том, как искать замену текста в базе данных WordPress.

5. Используйте плагин для исправления предупреждений о смешанном содержании

Доступно несколько плагинов для проверки того, как WordPress определяет https и принудительно, если какие-либо URL-адреса не используют защищенный протокол. Плагин SG Optimizer — один из самых простых плагинов, которые вы можете использовать для исправления предупреждений о смешанном контенте. После установки и активации плагина перейдите в раздел «SG Optimizer > Environment» и включите параметр «Исправить небезопасное содержимое». Плагин будет динамически заменять https на https в запросах, отправляемых с вашего сайта, и избегать загрузки небезопасного контента.

Исправление небезопасного контента с помощью SG Optimizer

Помните, что плагин SG Optimizer предустановлен во всех установках SiteGround WordPress. Тем не менее, это бесплатный плагин, доступный для всех пользователей. Если вы не используете SiteGround, вы можете установить плагин из панели администратора, как и любой другой плагин, перейдя в меню «Плагины > Добавить новый».

Примечание: В разделе «SG Optimizer > Environment» вы также можете включить «HTTPS Enforce» для принудительного использования HTTPS. Это заменит все небезопасные ссылки в вашей базе данных и добавит директиву htaccess, как описано в разделе 2 выше, для обеспечения безопасного соединения.

Заключительные слова

Помните, что бесплатная установка локального хоста, такая как MAMP, не использует https://, и вы увидите предупреждение об этом в панели администратора. Например, такие плагины, как WooCommerce, предупредят вас о том, что сайт не использует защищенное соединение, и деактивируют функции транзакций. Вы можете использовать премиальную версию MAMP или попробовать другую настройку, например Local from Flywheel. Для действующих веб-сайтов проблему решит исправление адреса сайта, CDN и принудительное использование HTTPS. Если проблема смешанного контента динамически возникает из-за сторонних рекламных скриптов, то вы не сможете полностью решить проблему, если исходный скрипт не будет изменен на принудительный HTTPS на вашем сайте, такие скрипты будут заблокированы и отобразится ошибка консоли, хотя вы увидите значок защищенного замка в адресная строка браузера.