Начиная с 2014 года Google стал активно продвигать защищенный протокол соединения HTTPS, сделав его в скором времени одним из факторов ранжирования сайтов в поисковой выдаче. Но кроме самой страницы, все ее содержимое должно также передаваться по HTTPS, в противном случае пользователь получит уведомление о том, что подключение к сайту не защищено. Какой бывает смешанный контент (mixed content), чем он опасен, и как от него избавиться?
Что такое смешанный контент?
Смешанный контент или по-другому mixed content, ситуация, в которой страница загружается с использованием сертификата SSL по защищенному соединению HTTPS, но некоторые ее элементы по стандартному HTTP. Такое может произойти, когда, например, картинка подгружается с другого сервера по незащищенному протоколу.
Суть HTTPS заключается в передаче данных между пользователем и сервером с помощью TLS шифрования. Важно, чтобы все ресурсы страницы также подгружались по зашифрованному соединению, иначе появляется уязвимость, и злоумышленники могут перехватить данные.
Каким он бывает?
Смешанное содержимое страницы может быть двух типов:
- Активным, содержащим в себе исполняемые скрипты. Это наиболее опасный вариант смешанного контента, при котором гораздо проще перехватывать данные. Его можно найти в коде с тегами <script>, <object>, <XTMLHttpRequest><iframe>, наличию URL-адресов в CSS файлах. Вариантов мошенничества, при использовании активного типа содержимого страницы, много, и зависит от уровня взломщика. Например, перенаправление на посторонний сайт, воровство личных данных (номера банковских карт, пароли и т.д.).
- Пассивным, при котором контент отображается без использования скриптов, например, медиа-файлы (фото, музыка, видео). Для пользователей такой вариант безопасен, но злоумышленник может подменить такое содержимое, на что-нибудь непристойное, например. В таком случае, сайт или компания понесут ущерб репутации.
Чем опасен mixed content?
Наибольшая опасность от mixed content – кража персональных данных пользователей, как с текущего сайта, так с помощью постороннего. Поэтому такой контент по умолчанию блокируется всеми популярными браузерами. Пассивный же контент предлагается заблокировать пользователю самостоятельно.
Если говорить про влияние на SEO, то незащищенное содержимое оказывает колоссальное влияние на него. Во-первых, посетители оповещаются об опасных ресурсах на странице, после чего пользователи, как правило, покидают сайт. Процент отказов относится к поведенческим факторам ранжирования, если он растет (а он вырастет, если посетители будут получать уведомления о смешанном содержимом), то, соответственно, сайт будет опускаться в результатах органической выдачи. Во-вторых, Google сам факт отсутствия HTTPS протокола у страницы или ее содержимого принимает за негативный сигнал, после чего также идет понижение позиций в поисковиках.
Поэтому при обнаружении смешанного контента, от него следует сразу же избавляться.
Как обнаружить смешанный контент на сайте?
Обнаружить его можно несколькими способами.
Адресная строка браузера
Зайдя на страницу, ее URL-адрес должен начинаться с HTTPS. Далее смотрим на иконку слева от адреса, если содержимое защищено, то отображается замок, в противном случае, появляется надпись: «Не защищено».
«Безопасное подключение» — смешанного содержимого нет
«Подключение к сайту не защищено» — сайт на HTTP
При наличии смешанного содержимого в Chrome следующая картина:
Уведомление о смешанном контенте в Chrome
Как видно, данный браузер помечает всю страницу как не защищенную.
В Firefox информация показывается детальнее, указывая на незащищенный контент:
Информация о смешанном контенте в Firefox
Искать таким образом на сайте проблемные страницы достаточно трудозатратно, т.к. если сайт большой, то каждую придется перебирать вручную. К тому же, не всегда удается сходу понять из-за какого именно элемента возник конфликт.
С помощью консоли разработчика
С помощью данного инструмента можно получить информацию о том, какой именно элемент подгружается не по защищенному протоколу. Чтобы открыть консоль, воспользуйтесь комбинацией клавиш – CTRL + Shift + I, либо щелкните правой кнопкой по пустому месту страницы и выберете «Просмотреть код».
По умолчанию в нижней части окна браузера откроется консоль, где сразу видно mixed content:
Отображение mixed content в консоли браузера
Но опять же, способ вряд ли подойдет для обнаружения проблем на большом количестве страниц.
Поиск в Screaming Frog Seo Spider
Для автоматизации поиска страниц со смешанным контентом, лучше использовать специальный софт. Одной из таких программ является Screaming Frog Seo Spider, которая включает в себя множество инструментов по анализу технической стороны сайта. Правда программа платная, но если вы основательно подходите к оптимизации своего ресурса, то это будет оправданная покупка.
Итак, алгоритм действия по поиску проблемных страниц следующий:
- Копируем адрес изучаемого сайта, вставляем в соответствующее поле, жмем «Start».
Программа Screaming Frog Seo Spider
- После того, как краулер программы обойдет все страницы, идем в «Reports — Insecure Content» (Отчеты — Небезопасный контент).
Заходим в «Reports — Insecure Content»
- После чего будет предложено выбрать путь сохранения CSV файла отчета.
- В отчете программа выведет страницы со смешанным контентом и укажет на небезопасные элементы.
Отчет по страницам со смешанным контентом
С помощью онлайн-сервиса
Если нет Screaming Frog Seo Spider, можно воспользоваться полуавтоматическим способом поиска страниц со смешанным контентом. Для этого существуют специальные сервисы, которые сканируют сайт и выводят URL-адреса, на которых присутствует mixed content.
Одним из таких сканеров является , в поле на главной странице вставляется адрес сайта и запускается поиск SLL ошибок.
Сервис jitbit.com
Сервис выведет списком адреса сайта, которые имеют проблемы. После остается лишь пройти их вручную с помощью консоли разработчика, и найти незащищенные элементы.
Как исправить смешанное содержимое?
Как уже стало понятно из статьи, незащищенные элементы подгружаются по HTTP протоколу со сторонних ресурсов. Поэтому главная задача – сделать так, чтобы они грузились через HTTPS. Сделать это можно разными способами.
Самый очевидный – это перенести, если возможно, контент с чужого сайта на свой. Если это медаконтент, то сделать это достаточно просто: размещаем его в директории сайта, после меняем ссылки на него в материалах.
Если подобное невозможно, то на сайте-доноре можно попробовать поменять HTTP на HTTPS, возможно, сайт поддерживает работу по этому протоколу. Если да, то все в порядке, просто меняем на страницах URL-адреса.
В случае, если SLL-сертификат у донора не установлен, то вероятнее всего придется искать ему замену, либо оставлять все так, как есть.
Иногда при переезде сайта с HTTP на HTTPS, неправильно настраивают 301 редиректы, в итоге перенаправление срабатывает только для страниц, а содержимое продолжает работать по старому протоколу. В таком случае, стоит ознакомиться с инструкциями по правильной миграции сайта на защищенный протокол, т.к. подобная ошибка чревата проблемами с индексацией и последующим выпадением из поисковой выдачи.
Все гораздо проще обстоит у тех, кто использует CMS WordPress, на которую существуют несколько удобных плагинов.
SSL Insecure Content Fixer
Данный плагин автоматически «на лету» работает со ссылками на страницах, исправляя все HTTP на HTTPS.
Разработчики подготовили 5 готовых режимов работы плагина:
- Простой, когда требуется исправлять URL-адреса у несложных элементов, например, ссылки изображений. Однако с JavaScript, фреймами и прочими видами контента в таком режиме плагин не работает.
- Для работы с контентом. Также поддерживаются исправления для простых элементов, но в этом случае плагин очищает фреймы от содержимого.
- Для очистки незащищенного содержимого в виджетах.
- Захват практически всего содержимого, исправления касаются всех медиа-элементов, фреймов, стилей и т.д.
- Исправление всего содержимого, в том числе AJAX. В этом случае, плагин внедряется во всю структуру WordPress, что может повлиять на стабильность работы сайта в целом. Данный режим требует теста стабильности работы, иначе могут возникнуть серьезные проблемы, в том числе с индексацией.
В любом случае, плагин имеет большое количество положительных отзывов, высокий рейтинг и постоянно обновляется, к тому же у него русский интерфейс.
Плагин SSL Insecure Content Fixer
SSL Mixed Content Fix
Более простой плагин, который подходит для случаев, когда сайт переехал на HTTPS, но имеются элементы, у которых URL-адреса прописаны через HTTP. Его удобно использовать на ресурсах с большим количеством страниц, содержащих (чаще всего) мультимедийный контент. В идеале лучше исправить все ссылки внутри самих страниц вручную, но если их количество зашкаливает, а результат нужен в короткий срок, то SSL Mixed Content Fix поможет с этим.
После установки и активации, плагин по умолчанию включен.
Из плюсов: имеет простые настройки, достаточно активировать опцию «Enable HTTP/HTTPs Removal» и у смешанного контента (исключительно тот, который находится на вашем сайте/сервере) подменяются URL-адреса. Есть возможность добавления ссылок, которые плагин должен игнорировать.
Плагин SSL Mixed Content Fix
Из минусов: относительно давно не обновлялся, но актуален для версии WordPress 5.4.2. Интерфейс полностью на английском, хотя он достаточно прост и это вряд ли станет проблемой.
Really Simple SSL
Еще один популярный плагин, имеющий более 4-х млн. скачиваний и высокий рейтинг. У него отличный интерфейс, практически полностью переведенный на русский язык. На вкладке «Конфигурация» указаны замечания по сайту.
Плагин Really Simple SSL
Настройки просты, но в то же время разнообразны, по умолчанию у плагина уже выставлены необходимые опции, подходящие под большинство требований по работе со смешанным контентом.
Настройки в плагине Really Simple SSL
Для простого использования достаточно бесплатной версии.
Итак, если у вас на сайте обнаружился смешанный контент, советуем исправить это в ближайшее время. В противном случае, сайт рискует потерять позиции в поисковой выдаче (особенно в Google), а также утратить лояльность со стороны новых и постоянных пользователей. Кроме того, в некоторых случаях вы подвергаете посетителей реальному риску, связанному с утечкой персональной информации.
