Konten campuran saat mengunduh dari HTTPS: cara menemukan dan mengatasinya

Kebutuhan untuk beralih ke HTTPS adalah catatan yang macet. Sebagian besar situs komersial dan blog yang dapat dibaca telah lama berjalan pada protokol yang aman. Tampaknya mereka menyeberang dan lupa. Tapi tidak - Google sedang waspada. Pada suatu waktu, ia mendorong webmaster untuk beralih ke HTTPS, menjadikannya sebagai faktor peringkat. Dan sekarang dia meluncurkan "penguatan negatif" - dia mulai memblokir total sumber daya yang dimuat melalui HTTP. Dan - kejutan - dia mungkin tidak menyukai HTTPS luar biasa Anda, karena situs tersebut memiliki konten campuran.

Kami mengerti mengapa Google tidak menyukainya, bagaimana menemukannya dan membuatnya agar semuanya baik-baik saja.

Bagaimana Google Memotivasi Pergi ke HTTPS: Dari Gingerbread ke Whip

Perjuangan Google untuk mengamankan transfer data menggunakan HTTPS telah dimulai sejak lama:

• 2010 - Pencarian Google Terenkripsi diluncurkan ;
• 2011 - HTTPS mulai digunakan untuk mencari Google dan Gmail secara default;
• 2014 - memuat situs melalui HTTPS menjadi sinyal peringkat ;
• 2015 - Googlebot mulai mengindeks versi halaman HTTPS secara default;
• 2017 - di Chrome 62, ketika memasukkan data di situs dengan HTTP , pemberitahuan tentang koneksi tidak aman ("Tidak aman") mulai muncul di bilah alamat browser;

• 2018 - di Chrome 68, semua situs di HTTP mulai ditandai di bilah alamat sebagai tidak aman;

• 2019 - Google mengumumkan bahwa ia akan bergerak secara sistematis untuk memastikan bahwa hanya sumber daya HTTPS yang dimuat pada halaman HTTPS. Akibatnya, Chrome akan mulai memblokir konten campuran .

Pemblokiran akan dilaksanakan secara bertahap:

• Desember 2019 - Chrome 79 akan membuka kunci konten Anda yang diblokir. Dengan opsi ini, Anda dapat membuka kunci skrip, bingkai, dan jenis konten lain yang diblokir secara default oleh Chrome. Opsi ini akan terlihat seperti ini:

• Januari 2020 - Di Chrome 80, konten audio dan video akan secara otomatis mengunduh dari HTTPS. Jika unduhan melalui HTTPS tidak berhasil, Chrome akan memblokir sumber daya tersebut. Jika perlu, pengguna dapat membukanya secara manual. Di Chrome 80, gambar yang diunggah ke situs HTTPS dengan HTTP tidak akan diblokir, tetapi pesan muncul bahwa koneksi tidak aman.

• Februari 2020 - Chrome 81 akan mengunduh gambar secara otomatis dari HTTPS. Jika tidak dapat diakses, browser akan memblokirnya.

Pencekalan konten campuran tidak hanya digunakan di Chrome. Misalnya, konten yang aktif memblokir Firefox (dari versi 23), Internet Explorer (dari versi 9) dan browser lainnya. Tetapi pemblokiran konten gambar, audio dan video dimulai tepat di Google.

Sebagai hasil merangsang transisi ke protokol yang aman, pangsa situs yang menggunakan HTTPS selama setahun terakhir telah meningkat dari 43,5% menjadi 56,5%.

Dan 85% halaman yang dimuat di Chrome oleh pengguna dari Rusia mengirimkan data melalui HTTPS. Pada 2015, indikator ini hanya 28%.

Menimbang bahwa di Rusia, sekitar 41% pengguna menggunakan browser Chrome, ada baiknya mempersiapkan diri untuk memblokir konten campuran agar tidak kehilangan lalu lintas dan posisi dalam organisasi.

Modul SEO dalam sistem Promopult: semua alat untuk meningkatkan kualitas situs dan promosi pencarian. Berbagai macam pekerjaan - bersama kami Anda tidak akan ketinggalan satu hal pun. Daftar periksa, tip, pelaporan transparan dan rekomendasi profesional. Jaminan, pembayaran dengan angsuran.

Mari kita bereskan.

Apa itu konten campuran dan mengapa tidak boleh ada di situs

Konten campuran (dalam konten asli - “konten campuran”) - ini adalah saat halaman dimuat melalui koneksi HTTPS yang aman, tetapi sumber daya individual (gambar, gaya, skrip, dll.) - lebih dari HTTP yang tidak dilindungi.

Misalnya, Anda beralih ke HTTPS (belum? Ini instruksinya ). Tetapi pada salah satu halaman Anda masih memuat gambar dari perpustakaan eksternal, yang tersedia di alamat tipe situs site.ru. Ini adalah konten campuran.

Menurut spesifikasi W3C , konten campuran dibagi menjadi dua jenis:

• dapat dikunci secara opsional (ini termasuk gambar, video, audio);
• dikunci (konten lain - skrip, gaya, bingkai, flash, dll.).

Konten yang diblokir aktif. Penyerang dapat mencegat dan memodifikasi konten aktif sehingga mereka mendapatkan kontrol penuh atas halaman atau bahkan seluruh situs. Pencurian kata sandi pengguna dan data pribadi, cookie, mengarahkan pengguna ke situs lain, mengubah konten yang terlihat hanyalah beberapa contoh ancaman yang mengunduh konten aktif melalui pos HTTP.

Karena potensi kerusakan yang tinggi dan risiko bagi pengguna, browser disarankan untuk memblokir konten campuran tersebut.

Berikut adalah beberapa jenis permintaan HTTP yang dianggap konten aktif:

• <script> (atribut src);
• <link> (atribut href) (termasuk tautan di CSS);
• <iframe> (atribut src);
• Permintaan XMLHttpRequest
• ambil () permintaan
• penggunaan tautan dalam CSS (font-face, cursor, background-image);
• <object> (atribut data).

Konten yang diblokir opsional adalah pasif. Jika penyerang mencegatnya, mereka tidak akan dapat mengganggu situs atau mengambil alih, misalnya, data pembayaran pengguna.

Tapi bahayanya tetap ada. Misalnya, penyerang dapat mencegat gambar atau video dan menggantinya dengan orang lain. Hal ini dapat menyebabkan kerusakan serius pada reputasi (cerita tentang penampilan video atau gambar dengan konten porno di situs web saluran federal atau lembaga negara masih segar dalam ingatan). Selain itu, penyerang dapat melacak halaman mana yang dilihat pengguna, produk apa yang mereka minati, dan konten apa yang mereka lihat.

Berikut adalah jenis permintaan HTTP yang dianggap konten pasif:

• <img> (atribut src);
• <audio> (atribut src);
• <video> (atribut src).

Jika Anda tidak ingin sumber daya di situs Anda diblokir, lakukan audit, temukan konten campuran, dan aksesibel melalui HTTPS.

Cara mendeteksi konten campuran di situs

Ada berbagai cara untuk mengetahui bahwa situs Anda memiliki konten campuran.

Dengan ikon di bilah alamat browser

Ini adalah cara yang paling jelas. Misalnya, kami akan membuka halaman yang aman dengan gambar yang diunggah melalui HTTP. Kode sumber untuk halaman ini adalah:

Di browser Chrome, kami melihat ikon, ketika diklik, kami mendapatkan penjelasan:

Mozilla Firefox memiliki kisah serupa:

Kerugian dari metode ini:

• tidak jelas sumber daya mana yang dimuat melalui HTTP;
• Anda harus memeriksa setiap halaman secara manual.

Oleh karena itu, ini lebih merupakan indikator daripada cara lengkap untuk mencari konten campuran.

Dengan mencari sumber halaman

Buka kode HTML sumber halaman di browser (Ctrl + U) dan cari fragmen "http:" (Ctrl + F).

Dalam hal ini, kami tahu persis sumber daya apa yang dimuat melalui HTTP. Tetapi jika ada banyak halaman di situs, metode ini tidak berfungsi.

Pemberitahuan di konsol pengembang

Kami membuka halaman di Chrome yang ingin kami periksa dan tekan Ctrl + Shift + I. Halaman ini memiliki konten campuran, sebagaimana dibuktikan oleh kesalahan "Konten Campuran" dengan deskripsi terperinci.

Demikian pula, kita dapat memeriksa kesalahan di Firefox:

Keuntungan dari metode ini adalah bahwa semua kesalahan yang terkait dengan memuat konten campuran pada halaman dikumpulkan segera di konsol. Kerugiannya, sekali lagi, Anda harus memeriksa setiap halaman secara manual.

Pemeriksa SSL dari JitBit

JitBit adalah cara cepat untuk mengidentifikasi halaman di situs yang memiliki konten campuran. Kami menentukan domain - kami menerima daftar URL "masalah".

Kerugiannya adalah tidak jelas apa jenis konten campuran pada halaman. Maka Anda harus memeriksa semuanya secara manual. Selain itu, layanan ini tidak cocok untuk situs dengan lebih dari 300-400 halaman.

Laporan Konten Campuran Mercusuar

Metode ini memungkinkan Anda untuk mendapatkan data segera dengan berbagai URL. Anda tidak perlu memeriksa setiap URL secara manual, dan Anda akan melihat daftar lengkap sumber daya yang dimuat melalui HTTP.

Tetapi secara default, ekstensi Lighthouse tidak memiliki laporan konten campuran. Itu harus dijalankan dari baris perintah. Bagaimana cara melakukannya:

1. Instal Browser Pengembang Google Canary .

2. Pasang Node.js.

3. Jalankan prompt perintah Node.js.

4. Jalankan perintah:

npm install -g lighthouse 

Instalasi Mercusuar dimulai.

Setelah instalasi berhasil diselesaikan, Anda akan menerima pemberitahuan berikut:

5. Jalankan laporan menggunakan perintah (ganti URL dengan alamat halaman dalam format site.ru ):

 lighthouse --preset="mixed-content" URL 

Pembuatan laporan akan dimulai.

Setelah selesai, sistem akan memberi tahu Anda di folder mana laporan disimpan.

Secara default, laporan disimpan dalam format HTML.

Anda dapat mengubah format output menggunakan perintah --output. Untuk bantuan tentang perintah ini dan lainnya, ketik konsol:

 lighthouse --help 

Laporan ini memiliki dua audit:

1. Menggunakan HTTPS
2. Pemuatan sumber daya yang aman.

Jika ada masalah, itu akan ditunjukkan sumber daya mana yang dimuat melalui HTTP.

Laporan Lighthouse Mixed-Content untuk beberapa URL sekaligus

Untuk memeriksa beberapa URL:

1. Buat file TXT dan masukkan daftar URL untuk diperiksa.

2. Buat file BAT dan tempatkan kode berikut di dalamnya (dalam tanda kutip menunjukkan path ke file TXT Anda dan namanya):

 @For /F "UseBackQ Delims=" %%A In ("C:\Users\light\urls.txt") Do @LightHouse "%%A" --preset="mixed-content" 

3. Jalankan file BAT dari baris perintah. Jika file disimpan dalam folder yang sama dengan laporan, cukup masukkan nama file dan tekan Enter. Jika tidak, Anda harus menulis mulai dan tentukan alamat file BAT dengan spasi.

Berapa lama Anda harus menunggu tergantung pada jumlah URL dalam file teks. Untuk setiap URL Anda akan menerima laporan terpisah.

Terima kasih kepada Christopher Giezendanner untuk metode ini.

Laporan Konten Campuran dalam Berteriak Spider Katak SEO

Ini mungkin cara yang paling nyaman. Tapi, tidak seperti yang sebelumnya, itu dibayar. Biaya program Screaming Frog SEO Spider adalah £ 149 per tahun.

Untuk mendapatkan data, jalankan laporan Konten Tidak Aman dan Anda akan memiliki daftar sumber daya dengan HTTP.

Baca tentang cara mem-parsing hampir semua data dari situs mana pun menggunakan Screaming Frog di blog PromoPult.

Cara menghilangkan konten campuran

Jadi, Anda telah menemukan konten campuran di situs Anda. Sekitar setengah dari pekerjaan sudah selesai. Tapi Anda masih harus menghilangkannya. Tidak ada solusi tunggal - Anda harus bertindak sesuai dengan situasi.

Tautan dari HTTP dapat mengarah ke sumber daya internal dan eksternal.

Setelah beralih ke HTTPS, semua sumber daya internal harus dimuat dengan HTTPS. Biasanya mereka mengubah tautan absolut ke tautan relatif, mengatur arahan ulang, dan masalahnya segera diselesaikan.

Dengan sumber daya eksternal tidak begitu sederhana.

Skenario yang ideal adalah ini:

• temukan URL dengan HTTP;
• Periksa apakah sumber daya yang sama tersedia melalui HTTPS;
• jika demikian, ubah tautan dari HTTP ke HTTPS;
• check - jika semuanya berfungsi, lupakan masalahnya.

Tetapi ini terjadi bahwa sumber daya tidak tersedia melalui HTTPS. Dalam hal ini, ada tiga solusi:

1. Hubungi pemilik sumber daya dan minta dia untuk beralih ke HTTPS (ini dari kategori fiksi ilmiah).
2. Temukan alternatif yang aman untuk sumber daya pada HTTP (semua sumber daya yang layak telah lama beralih ke HTTPS).
3. Jangan lakukan apa pun (ini adalah kasus ekstrem - jika Anda tidak dapat mengganti sumber daya sama sekali, dan ini penting bagi pengguna Anda).

Secara teknis murni, lebih mudah untuk mengganti satu URL (misalnya, dalam artikel yang Anda rujuk ke situs tanpa HTTPS). Cukup membuka kode sumber dan mengedit.

Tetapi ada URL yang tidak bisa diperbaiki dalam sekali jalan. Misalnya, ini termasuk tautan dalam gaya, skrip, tautan ujung ke ujung, dll. Dalam hal ini, Anda harus menghubungkan pemrogram atau menggunakan plugin.

Misalnya, untuk WordPress ada beberapa plugin:

• Pemecah Konten Tidak Aman SSL . Memungkinkan Anda memperbaiki tautan secara otomatis ke sumber daya tidak aman. Dengan mudah, Anda dapat memilih "kedalaman" koreksi yang berbeda dan, jika perlu, mengabaikan situs eksternal.

• SSL Sangat Sederhana . Ini adalah plugin untuk dengan cepat beralih ke HTTPS. Secara otomatis mengubah tautan ke relatif dan menghilangkan konten campuran. Versi PRO memiliki kemampuan untuk memindai situs untuk konten campuran.

• Cari & Ganti Plugin untuk mencari dan mengganti konten apa pun di situs, termasuk konten campuran. Perubahan domain pada tab "Ganti Domain URL".

Setelah penggantian, Anda dapat melihat detailnya - tautan mana dan di mana bagian kode diganti.

Saat menggunakan plugin, penting untuk memahami dengan jelas apa yang Anda lakukan. Kami tidak menyarankan melakukan perubahan tanpa terlebih dahulu membuat cadangan situs. Jadi, Anda selalu dapat kembali ke titik awal.

Dan semoga kekuatan HTTPS menyertai Anda.