Σε αυτόν τον οδηγό θα μάθετε τι είναι το mixed content, πώς να εντοπίσετε τους συγκεκριμένους πόρους που προκαλούν τις προειδοποιήσεις, και πώς να τους διορθώσετε — είτε χρησιμοποιείτε WordPress, είτε custom εφαρμογή, είτε στατική ιστοσελίδα στη φιλοξενία σας στη HOSTDOG.
Τι είναι το mixed content
Το mixed content εμφανίζεται όταν μια σελίδα που φορτώνεται μέσω HTTPS περιλαμβάνει πόρους — εικόνες, CSS, JavaScript ή γραμματοσειρές — που ζητούνται μέσω HTTP. Οι browsers αντιμετωπίζουν αυτό ως κίνδυνο ασφαλείας, καθώς τα μη κρυπτογραφημένα στοιχεία θα μπορούσαν να υποκλαπούν ή να αλλοιωθούν.
Υπάρχουν δύο τύποι mixed content:
- Παθητικό mixed content: Πόροι όπως εικόνες, ήχος και βίντεο που φορτώνονται μέσω HTTP. Οι browsers εμφανίζουν προειδοποίηση αλλά φορτώνουν τον πόρο. Το λουκέτο μπορεί να εμφανίσει τρίγωνο προειδοποίησης.
- Ενεργό mixed content: Πόροι όπως scripts, stylesheets, iframes και AJAX requests που φορτώνονται μέσω HTTP. Οι browsers τα μπλοκάρουν εντελώς γιατί κακόβουλος κώδικας θα μπορούσε να παραβιάσει τη σελίδα. Αυτό μπορεί να προκαλέσει δυσλειτουργίες στην ιστοσελίδα σας.
Πώς να εντοπίσετε το mixed content
Πριν διορθώσετε το πρόβλημα, πρέπει να βρείτε ποιοι πόροι το προκαλούν:
Μέθοδος 1: Εργαλεία προγραμματιστή του browser
Ανοίξτε την ιστοσελίδα σας σε Chrome ή Firefox, πατήστε F12 για να ανοίξετε τα Developer Tools και επιλέξτε την καρτέλα Console. Τα σφάλματα mixed content εμφανίζονται ως κίτρινες προειδοποιήσεις ή κόκκινα σφάλματα με μηνύματα όπως:
Mixed Content: The page at 'https://yourdomain.com/' was loaded over HTTPS, but requested an insecure image 'http://yourdomain.com/images/logo.png'.Κάθε μήνυμα δείχνει το ακριβές URL του προβληματικού πόρου.
Μέθοδος 2: Online εργαλείο σάρωσης
Εργαλεία όπως το Why No Padlock ή το JitBit SSL Checker σαρώνουν τη σελίδα σας και εμφανίζουν κάθε πόρο που φορτώνεται μέσω HTTP.
Μέθοδος 3: Προβολή πηγαίου κώδικα
Κάντε δεξί κλικ στη σελίδα, επιλέξτε Προβολή πηγαίου κώδικα και αναζητήστε http://. Οποιαδήποτε αναφορά σε http://yourdomain.com αντί για https://yourdomain.com είναι πιθανή πηγή mixed content.
Διόρθωση mixed content σε WordPress
Οι ιστοσελίδες WordPress είναι η πιο συχνή πηγή mixed content γιατί τα URLs αποθηκεύονται στη βάση δεδομένων:
Ενημερώστε τα URLs του WordPress
Στο WordPress admin, πηγαίνετε στις Ρυθμίσεις → Γενικά. Βεβαιωθείτε ότι τα πεδία Διεύθυνση WordPress (URL) και Διεύθυνση ιστότοπου (URL) χρησιμοποιούν https://.
Αναζήτηση και αντικατάσταση στη βάση δεδομένων
Πολλά URLs είναι ενσωματωμένα στο περιεχόμενο δημοσιεύσεων, widgets και custom fields. Χρησιμοποιήστε ένα plugin όπως το Better Search Replace για να βρείτε όλες τις εμφανίσεις http://yourdomain.com και να τις αντικαταστήσετε με https://yourdomain.com.
Ελέγξτε το theme και τα plugins
Ορισμένα themes και plugins ενσωματώνουν HTTP URLs στις ρυθμίσεις τους ή στα template αρχεία. Ελέγξτε τις ρυθμίσεις του ενεργού theme σας και ενημερώστε τυχόν URLs σε HTTPS.
Διόρθωση σε μη WordPress ιστοσελίδες
Για custom ή στατικές ιστοσελίδες, πρέπει να ενημερώσετε απευθείας τον πηγαίο κώδικα:
- Αρχεία HTML: Αναζητήστε
http://σε όλα τα.htmlκαι.phpαρχεία. Αντικαταστήστε μεhttps://για το δικό σας domain. - Αρχεία CSS: Ελέγξτε τους κανόνες
@import, τις αναφορέςurl()για εικόνες background και τα font imports. - Αρχεία JavaScript: Αναζητήστε AJAX calls, API endpoints ή δυναμικά φορτωμένους πόρους που αναφέρονται σε HTTP URLs.
<head> της σελίδας σας ως προσωρινή λύση:
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">Αυτό δίνει εντολή στον browser να αναβαθμίσει αυτόματα τα HTTP requests σε HTTPS. Είναι χρήσιμο ως δίχτυ ασφαλείας, αλλά δεν αντικαθιστά τη διόρθωση των πραγματικών URLs στον κώδικα.
Διόρθωση mixed content από εξωτερικούς πόρους
Μερικές φορές το mixed content προέρχεται από πόρους τρίτων — CDN, ενσωματωμένα βίντεο, scripts analytics ή γραμματοσειρές:
- Αν ο εξωτερικός πόρος υποστηρίζει HTTPS: Αλλάξτε απλά
http://σεhttps://στο URL. - Αν δεν υποστηρίζει HTTPS: Φιλοξενήστε τον πόρο τοπικά στον server σας, ή βρείτε εναλλακτικό πάροχο που υποστηρίζει HTTPS.
- Ενσωματωμένο περιεχόμενο: Το YouTube, τα Google Maps και οι περισσότερες μεγάλες υπηρεσίες υποστηρίζουν HTTPS. Ενημερώστε τους κώδικες ενσωμάτωσης.
Επαλήθευση της διόρθωσης
Μετά τις αλλαγές, επαληθεύστε ότι οι προειδοποιήσεις εξαλείφθηκαν:
- Εκκαθαρίστε τη μνήμη cache του browser (ή χρησιμοποιήστε ιδιωτική περιήγηση)
- Επισκεφτείτε την ιστοσελίδα σας και ελέγξτε ότι εμφανίζεται το λουκέτο
- Ανοίξτε τα Developer Tools (
F12) και ελέγξτε την καρτέλα Console για εναπομείναντα σφάλματα - Δοκιμάστε πολλαπλές σελίδες — το mixed content μπορεί να εμφανίζεται μόνο σε συγκεκριμένα posts ή σελίδες
Αν χρησιμοποιείτε WordPress caching plugin ή CDN, θυμηθείτε να εκκαθαρίσετε τη μνήμη cache μετά τις αλλαγές.
Συχνές ερωτήσεις
Το ενεργό mixed content (scripts, stylesheets) μπορεί να αξιοποιηθεί από επιτιθέμενους για την εισαγωγή κακόβουλου κώδικα. Το παθητικό mixed content (εικόνες) ενέχει μικρότερο κίνδυνο αλλά παραβιάζει την ακεραιότητα της κρυπτογραφημένης σύνδεσης.
Ναι. Οι μηχανές αναζήτησης προτιμούν πλήρως ασφαλείς HTTPS σελίδες. Οι προειδοποιήσεις mixed content μπορούν να εμποδίσουν την ιστοσελίδα σας να αντιμετωπίζεται ως πλήρως ασφαλής, κάτι που μπορεί να επηρεάσει αρνητικά την κατάταξή σας.
Ένας κανόνας redirect στο .htaccess αναγκάζει τους επισκέπτες να χρησιμοποιούν HTTPS, αλλά δεν διορθώνει τα HTTP URLs μέσα στον κώδικα της σελίδας σας. Πρέπει να ενημερώσετε τα πραγματικά URLs στον κώδικα, τη βάση δεδομένων ή τις ρυθμίσεις του CMS.