La necesidad de cambiar a HTTPS es un registro atascado. La mayoría de los sitios comerciales y blogs legibles llevan mucho tiempo funcionando con un protocolo seguro. Parece que cruzaron y olvidaron. Pero no, Google está alerta. En un momento, alentó a los webmasters a cambiar a HTTPS, convirtiéndolo en un factor de clasificación. Y ahora lanzó el "refuerzo negativo": comenzó un bloqueo total de los recursos cargados a través de HTTP. Y, una sorpresa, puede que no le guste su excelente HTTPS, porque el sitio tiene contenido mixto.
Entendemos por qué a Google no le gusta, cómo encontrarlo y lograr que todo esté bien.
Cómo Google motiva ir a HTTPS: del pan de jengibre al látigo
La lucha de Google para asegurar las transferencias de datos usando HTTPS comenzó hace mucho tiempo:
- 2018: en Chrome 68, todos los sitios en HTTP comenzaron a marcarse en la barra de direcciones como inseguros;
- 2019: Google anunció que se moverá sistemáticamente para garantizar que solo se carguen los recursos HTTPS en las páginas HTTPS. Como resultado, Chrome comenzará a bloquear contenido mixto .
El bloqueo se implementará gradualmente:
- Diciembre de 2019: Chrome 79 desbloqueará su contenido bloqueado. Con esta opción, puede desbloquear scripts, marcos y otros tipos de contenido que Chrome bloquea de forma predeterminada. Esta opción se verá así:
- Enero de 2020: en Chrome 80, el contenido de audio y video se descargará automáticamente desde HTTPS. Si la descarga a través de HTTPS no es exitosa, Chrome bloqueará dichos recursos. Si es necesario, los usuarios pueden desbloquearlos manualmente. En Chrome 80, las imágenes cargadas en sitios HTTPS con HTTP no se bloquearán, pero aparece un mensaje que indica que la conexión no es segura.
- Febrero de 2020: Chrome 81 descargará automáticamente imágenes de HTTPS. Si no son accesibles, el navegador los bloqueará.
El bloqueo de contenido mixto no solo se usa en Chrome. Por ejemplo, el contenido activo bloquea Firefox (desde la versión 23), Internet Explorer (desde la versión 9) y otros navegadores. Pero el bloqueo de imágenes, audio y contenido de video comenzó precisamente en Google.
Como resultado de estimular la transición a un protocolo seguro, la proporción de sitios que usan HTTPS durante el año pasado aumentó de 43.5% a 56.5%.
Y el 85% de las páginas cargadas en Chrome por los usuarios de Rusia transmiten datos a través de HTTPS. En 2015, este indicador era solo del 28%.
Teniendo en cuenta que en Rusia, alrededor del 41% de los usuarios usan el navegador Chrome, vale la pena prepararse para bloquear el contenido mixto para no perder tráfico y puestos en la organización.
Módulo SEO en el sistema Promopult: todas las herramientas para mejorar la calidad del sitio y la promoción de motores de búsqueda. Una gama completa de trabajo: con nosotros no se perderá ni un poco. Listas de verificación, consejos, informes transparentes y recomendaciones profesionales. Garantías, pago a plazos.
Vamos a resolverlo en orden.
¿Qué es el contenido mixto y por qué no debería estar en el sitio?
Contenido mixto (en el original - "contenido mixto"): es cuando la página se carga a través de una conexión HTTPS segura, pero recursos individuales (imágenes, estilos, scripts, etc.) - a través de HTTP desprotegido.
Por ejemplo, cambió a HTTPS (¿todavía no? Aquí está la instrucción ). Pero en una de las páginas todavía está cargando la imagen desde una biblioteca externa, que está disponible en la dirección del tipo de sitio site.ru. Este es contenido mixto.
Según la especificación W3C , el contenido mixto se divide en dos tipos:
- opcionalmente bloqueable (esto incluye imágenes, video, audio);
- bloqueable (otro contenido: scripts, estilos, marcos, flash, etc.).
El contenido bloqueado está activo. Los atacantes pueden interceptar y modificar el contenido activo para obtener un control completo sobre la página o incluso todo el sitio. El robo de contraseñas de usuario y datos personales, cookies, redirigir a los usuarios a otro sitio, cambiar el contenido visible son solo algunos ejemplos de las amenazas que plantea la descarga de contenido activo a través de HTTP.
Debido al alto potencial de daño y riesgo para los usuarios, se aconseja a los navegadores que bloqueen dicho contenido mixto.
Estos son algunos tipos de solicitudes HTTP que se consideran contenido activo:
- <script> (atributo src);
- <link> (atributo href) (incluidos los enlaces en CSS);
- <iframe> (atributo src);
- Solicitudes XMLHttpRequest
- solicitudes fetch ()
- uso de enlaces en CSS (font-face, cursor, background-image);
- <objeto> (atributo de datos).
El contenido opcionalmente bloqueado es pasivo. Si los atacantes lo interceptan, no podrán interrumpir el sitio ni hacerse cargo, por ejemplo, de los datos de pago de los usuarios.
Pero el peligro persiste. Por ejemplo, los atacantes pueden interceptar imágenes o videos y reemplazarlos por otros. Esto puede causar graves daños a la reputación (las historias sobre la aparición de videos o imágenes con contenido pornográfico en los sitios web de canales federales o instituciones estatales están frescas en la memoria). Además, los atacantes pueden rastrear qué páginas vieron los usuarios, en qué productos estaban interesados y qué contenido vieron.
Estos son los tipos de solicitudes HTTP que se consideran contenido pasivo:
- <img> (atributo src);
- <audio> (atributo src);
- <video> (atributo src).
Si no desea que se bloqueen los recursos de su sitio, audítelo, encuentre contenido mixto y hágalo accesible a través de HTTPS.
Cómo detectar contenido mixto en un sitio
Hay diferentes formas de descubrir que su sitio tiene contenido mixto.
Por icono en la barra de direcciones del navegador
Esta es la forma más obvia. Por ejemplo, abriremos una página segura con una imagen que se carga a través de HTTP. El código fuente de esta página es:
En el navegador Chrome, vemos un icono, al hacer clic, obtenemos una explicación:
Mozilla Firefox tiene una historia similar:
Las desventajas del método:
- no está claro qué recursos se cargan a través de HTTP;
- tienes que revisar cada página manualmente.
Por lo tanto, es más un indicador que una forma completa de buscar contenido mixto.
Al buscar la fuente de la página
Abra el código fuente HTML de la página en el navegador (Ctrl + U) y busque el fragmento "http:" (Ctrl + F).
En este caso, sabemos exactamente qué recursos se cargan a través de HTTP. Pero si hay muchas páginas en el sitio, este método no funciona.
Notificaciones en la consola del desarrollador
Abrimos la página en Chrome que queremos verificar y presionamos Ctrl + Shift + I. La página tiene contenido mixto, como lo demuestran los errores de "Contenido mixto" con una descripción detallada.
Del mismo modo, podemos verificar si hay errores en Firefox:
La ventaja del método es que todos los errores relacionados con la carga de contenido mixto en la página se recopilan inmediatamente en la consola. La desventaja es, nuevamente, que debe verificar cada página manualmente.
Comprobador SSL de JitBit
JitBit es una forma rápida de identificar páginas en un sitio que tienen contenido mixto. Especificamos el dominio: recibimos la lista de URL "problemáticas".
La desventaja es que no está claro qué tipo de contenido mixto hay en las páginas. Luego tienes que verificar todo manualmente. Además, el servicio no es adecuado para sitios con más de 300-400 páginas.
Informe de contenido mixto de Lighthouse
Este método le permite obtener datos de inmediato mediante una matriz de URL. No tiene que verificar cada URL manualmente, y verá una lista completa de los recursos que se cargan a través de HTTP.
Pero, de manera predeterminada, la extensión Lighthouse no tiene un informe de contenido mixto. Debe ejecutarse desde la línea de comando. Cómo hacerlo:
1. Instale el navegador para desarrolladores de Google Canary .
2. Instale Node.js.
3. Ejecute el símbolo del sistema Node.js.
4. Ejecute el comando:
npm install -g lighthouse
Comienza la instalación del faro.
Después de que la instalación se complete con éxito, recibirá la siguiente notificación:
5. Ejecute el informe con el comando (reemplace la URL con la dirección de la página en el formato site.ru ):
lighthouse --preset="mixed-content" URL
La generación de informes comenzará.
Una vez completado, el sistema le informará en qué carpeta se almacena el informe.
Por defecto, los informes se guardan en formato HTML.
Puede cambiar el formato de salida con el comando --output. Para obtener ayuda sobre estos y otros comandos, escriba la consola:
lighthouse --help
El informe tiene dos auditorías:
- Usando HTTPS
- Carga segura de recursos.
Si hay problemas, se indicará qué recursos se cargan a través de HTTP.
Informe de contenido mixto de Lighthouse para múltiples URL a la vez
Para verificar varias URL:
1. Cree un archivo TXT y coloque en él una lista de URL para verificar.
2. Cree un archivo BAT y coloque el siguiente código (las comillas indican la ruta a su archivo TXT y su nombre):
@For /F "UseBackQ Delims=" %%A In ("C:\Users\light\urls.txt") Do @LightHouse "%%A" --preset="mixed-content"
3. Ejecute el archivo BAT desde la línea de comando. Si el archivo está almacenado en la misma carpeta que los informes, simplemente ingrese el nombre del archivo y presione Entrar. De lo contrario, debe escribir start y especificar la dirección del archivo BAT con un espacio.
El tiempo que debe esperar depende de la cantidad de URL en el archivo de texto. Por cada URL, recibirá un informe por separado.
Gracias a Christopher Giezendanner por este método.
Informe de contenido mixto en Screaming Frog SEO Spider
Esta es probablemente la forma más conveniente. Pero, a diferencia de los anteriores, se paga. El costo del programa Screaming Frog SEO Spider es de £ 149 por año.
Para obtener los datos, ejecute el informe de Contenido inseguro y tendrá una lista de recursos con HTTP.
Lea acerca de cómo analizar casi cualquier información de cualquier sitio usando Screaming Frog en el blog PromoPult.
Cómo eliminar contenido mixto
Entonces, has encontrado contenido mixto en tu sitio. Aproximadamente la mitad del trabajo está hecho. Pero aún necesitas eliminarlo. No existe una solución única: debe actuar de acuerdo con la situación.
Los enlaces de HTTP pueden conducir a recursos internos y externos.
Después de cambiar a HTTPS, todos los recursos internos deben cargarse con HTTPS. Por lo general, cambian los enlaces absolutos a los relativos, configuran redirecciones y el problema se resuelve de inmediato.
Con recursos externos no es tan simple.
El escenario ideal es este:
- encuentra la URL con HTTP;
- Compruebe si el mismo recurso está disponible a través de HTTPS;
- si es así, cambie el enlace de HTTP a HTTPS;
- comprobar: si todo funciona, olvídate del problema.
Pero sucede que los recursos no están disponibles a través de HTTPS. En este caso, hay tres soluciones:
- Póngase en contacto con el propietario del recurso y pídale que cambie a HTTPS (esto es de la categoría de ciencia ficción).
- Encuentre una alternativa segura a un recurso en HTTP (todos los recursos decentes han cambiado durante mucho tiempo a HTTPS).
- No haga nada (este es un caso extremo, si simplemente no puede reemplazar el recurso en absoluto, y es importante para sus usuarios).
Desde el punto de vista técnico, es más fácil reemplazar una sola URL (por ejemplo, en un artículo al que hizo referencia en un sitio sin HTTPS). Es suficiente abrir el código fuente y hacer una edición.
Pero hay URL que no se pueden arreglar de una vez. Por ejemplo, esto incluye enlaces en estilos, scripts, enlaces de extremo a extremo, etc. En este caso, debe conectar un programador o usar complementos.
Por ejemplo, para WordPress hay tales complementos:
- SSL Fixer de contenido inseguro . Le permite corregir automáticamente enlaces a recursos inseguros. Convenientemente, puede elegir una "profundidad" diferente de correcciones y, si es necesario, ignorar sitios externos.
- SSL realmente simple . Este es un complemento para cambiar rápidamente a HTTPS. Cambia automáticamente los enlaces a relativo y elimina el contenido mixto. La versión PRO tiene la capacidad de escanear el sitio en busca de contenido mixto.
- Buscar y reemplazar . Un complemento para buscar y reemplazar cualquier contenido en el sitio, incluido el contenido mixto. Los dominios cambian en la pestaña "Reemplazar URL de dominio".
Después del reemplazo, puede ver los detalles: qué enlaces y en qué partes del código se reemplazaron.
Al usar complementos, es importante comprender claramente lo que está haciendo. No recomendamos realizar cambios sin antes hacer una copia de seguridad del sitio. Por lo tanto, siempre puede volver al punto de partida.
Y que el poder de HTTPS te acompañe.