Как исправить предупреждение о смешанном контенте для Joomla на HTTPS
Google использует много факторов для ранжирования сайтов, HTTPS является одним из них. Те сайты, которые не имеют или используют смешанный контент, «наказываются». Многие веб-мастера/владельцы сайтов купили SSL-сертификаты и переключились на HTTPS для своих сайтов. Но после включения SSL вместо зеленого замка у них в адресной строке появляется желтый значок замка. Большинство людей задаются вопросом, почему это произошло и как это исправить. В этой статье мы поможем вам диагностировать распространенную проблему с вашим сайтом с поддержкой SSL и покажем, как ее решить.
Как включить HTTPS в Joomla
Этот первый шаг зависит от того, какой хостинг у вас есть. Некоторые из них в своей панели хостинга имеют встроенную опцию для заказа SSL сертификата или просто включения.
В большинстве случаев сертификат приходит от Let's Encrypt. Вы также можете сделать заказ на сайте проекта, но затем вам нужно будет пообщаться со службой поддержки вашего хостинга о том, как установить SSL сертификат на хостинг.
Вторая очень важная часть - включить HTTPS-соединения внутри Joomla! Вы можете принудительно использовать SSL через опцию Force SSL в области глобальной конфигурации (на вкладке «Сервер»).
Другая важная часть, которую я всегда предлагаю сделать, это добавить несколько строк дополнительного кода в файл .htaccess. сразу за "RewriteEngine On":
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Затем, если возможно, добавьте полный URL-адрес веб-сайта в файл configuration.php:var $ live_site = 'https://www.my-domain.com';
Теперь, по крайней мере, теоретически, весь сайт должен быть защищен сертификатом SSL. Если нет, пожалуйста, следуйте инструкции дальше.
Желтый значок замка в адресной строке - что это?
Даже наличие действительного SSL сертификата может не означать, что все страницы будут загружаться безопасным способом. Когда сайт не полностью защищает все содержимое (изображения, стили и сценарии), браузер отображает предупреждение «смешанный контент». Современные браузеры отображают предупреждения об этом типе контента, чтобы указать пользователю, что эта страница содержит небезопасные ресурсы. В адресной строке вы можете увидеть желтый значок замка вместо зеленого (рекомендуется).
Такое предупреждение появляется, когда веб-страница, содержит комбинацию как защищенного (HTTPS), так и незащищенного (HTTP) контента, доставляется через SSL в браузер. Любая веб-страница, использующая HTTPS-адрес, должна иметь весь контент (ссылки), поступающий только из безопасных источников.
Запрос субресурсов с использованием небезопасного протокола HTTP ослабляет безопасность всей страницы (веб-сайта), так как эти запросы уязвимы для атак «man-in-the-middle», когда злоумышленник читает сетевое соединение и просматривает или изменяет связь между двумя сторонами. Используя эти ресурсы, злоумышленник часто может получить полный контроль не только над страницей, а и над скомпрометированным ресурсом.
Chrome заблокировал мой контент, но почему?
Разные версии от разных поставщиков браузеров ведут себя по-разному со смешанным контентом. Браузеры по умолчанию блокируют многие типы смешанного контента, такие как скрипты и i-frame. Но изображения, аудио и видео по-прежнему могут загружаться, что угрожает конфиденциальности и безопасности пользователей.
Это изменение должно улучшить конфиденциальность и безопасность пользователей в Интернете и предоставить пользователям более понятный UX для безопасности браузера.
Популярные причины предупреждения о смешанном контенте
- Небезопасные вызовы изображений, CSS и JavaScript из компонентов, плагинов или модулей.
- Изображения, вызываемые небезопасно из связанных файлов CSS и js.
- Сертификат с истекшим сроком действия, недействительный или отсутствующий промежуточный сертификат (включая сертификаты SSL сторонних производителей).
- Тест алгоритма SHA-1, тест POODLE, небезопасные вызовы форм для Chrome.
Как найти и устранить смешанные предупреждения
Найти и устранить смешанное содержимое в большинстве случаев довольно просто, но это может занять некоторое время. Вы можете искать смешанное содержимое путем ручного поиска элементов HTTP напрямую через ваш исходный код. Загрузите страницу с включенным HTTPS, затем щелкните правой кнопкой мыши в любом месте страницы; и нажмите «Просмотр источника страницы», «Просмотр источника» или «Источник», в зависимости от вашего браузера.
Затем используйте команду «Найти» и найдите фразу «http://www.yourdomain.com» (и без www). Затем вы должны найти этот модуль или содержимое в конструкторе статей/страниц и исправить путь. Как только вы обнаружите, что контент обслуживается по протоколу HTTP, добавьте «s» к ссылкам - http:// и получиться https://. Вы можете сделать это внутри статьи, дополнения и содержимого модуля.
В некоторых случаях, если вы используете сторонние компоненты или шаблоны, эта проблема может возникнуть из-за них, поэтому вам нужно обновить или связаться с разработчиком (-ами) или отредактировать файл (-ы) расширений самостоятельно.
Идентифицировать и заменить HTTP на HTTPS в статьях вы можете с помощью поиска и замены в базе данных, это будет гораздо более быстрый метод, чем исправление в каждой статье по отдельности. Прежде чем начать поиск и замену содержимого вашей БД, обязательно сделайте резервную копию базы данных.
Инструменты, которые могут помочь
Вы можете упростить поиск, есть инструменты, также онлайн, которые работают как HTTPS-пауки. Они могут проверять ваш домен на наличие всех проблем или фильтровать только пассивные и активные проблемы со смешанным контентом, или даже отображать предупреждение Chrome «Незащищенный» на незащищенных формах. После завершения сканирования вы должны вручную исправить все проблемы. Обратите внимание, что эти инструменты не могут редактировать содержимое вашего сайта.
Инструменты устранения неполадок SSL:
- HTTPS Checker (Настольное приложение для Windows, Mac, Linux) *
- SSL Check Jitbit (онлайн-инструмент) **
- Проверка ошибок SSL (онлайн-инструмент)
- WhyNoPadlock (онлайн-инструмент)
* Бесплатная версия позволяет сканировать до 500 страниц.
** Количество просканированных страниц ограничено 200 на один сайт.
Заключение
Если вы собираетесь установить сертификат SSL на Joomla! 3 (хотя давно пора это сделать) и перевести все страницы через HTTPS, нужно будет усердно поработать, чтобы решить все предупреждения «смешанного контента». Ваши посетители заслуживают безопасного контента. Используя SSL, вы гарантируете максимально возможные уровни шифрования для онлайн-транзакций, повышаете рейтинг сайта в Google и контент вашего веб-сайта не будет «заблокирован» Google.
Комментировать статью: