Noter: Nous avons mis à jour cet article pour refléter l’évolution des normes de sécurité pour le contenu mixte, les SSL et l’accès au serveur en général.

Avec l’accent croissant mis sur la sécurité sur Internet, tous les sites Web devraient être exploités en HTTPS. Installer un SSL vous permet d’effectuer cette transition avec votre site Web. Cependant, cela peut également avoir une conséquence involontaire pour les sites Web qui étaient auparavant exploités avec HTTP: avertissements de contenu mixte.

Aujourd’hui, examinons ces erreurs courantes, leurs causes et comment vous pouvez les corriger.

Qu’est-ce que le contenu mixte?

Les avertissements de contenu mixte se produisent lorsque le contenu d’un site est chargé via un mélange de connexions HTTP et HTTPS.

Cela prend généralement la forme d’un chargement initial de HTML sur HTTPS, puis de diverses ressources de contenu via HTTP.

Lorsqu’un navigateur détecte un contenu mixte, il en informe l’utilisateur et peut bloquer le contenu. Voici un exemple de ce à quoi cela pourrait ressembler:

Exemple d'avertissement de contenu mixte avec HTTPS
Exemple d’avertissement de contenu mixte avec HTTPS

Pourquoi le contenu mixte est-il important?

De toute évidence, le contenu mixte représente une faille de sécurité. La communication via les connexions HTTP n’étant pas sécurisée, les attaquants peuvent remplacer le contenu du site Web sans spécifier le visiteur, espionner les utilisateurs et même, dans certains cas, prendre le contrôle du site Web lui-même.

Les navigateurs adoptent de plus en plus une position défensive envers les contenus mixtes. J’entends par là qu’ils bloquent l’accès au contenu non sécurisé ou au site Web lui-même.

Les scripts, iframes et feuilles de style sont susceptibles d’être bloqués immédiatement. Pour l’audio et la vidéo, un navigateur peut essayer de charger d’abord l’élément via HTTPS, puis bloquer le contenu s’il ne le peut pas. Les images peuvent encore se charger, mais vous en avertissent.

Dans tous les cas, les visiteurs de votre site Web ne verront pas votre site Web comme prévu – ni votre site Web du tout.

Si votre site Web affiche des avertissements de contenu mixte, la résolution du problème doit figurer en bonne place sur votre liste de priorités.

Qu’est-ce qui cause les avertissements de contenu mixte?

Le plus souvent, les avertissements de contenu mixte sont affichés sur les sites Web qui utilisent fréquemment les ressources du site Web, en particulier les éléments externes, tels que les images, les fichiers multimédias, JavaScript et même CSS.

Pourquoi? Deux raisons principales:

  • Les URL de ces fichiers sont codées en dur sur le site
  • Les configurations standard chargent ces actifs via HTTP

Lorsqu’un site est mis à niveau vers HTTPS, ces chemins sont toujours associés à la version HTTP.

Voici à quoi cela ressemble dans le code d’un site: Cela peut se produire lorsque le chemin absolu de l’URL est spécifié à la place des chemins relatifs pour les images, les fichiers CSS ou JavaScript.

Chemin absolu:

<img src="http://mydomain.com/myimage.png">

Chemin relatif:

<img src="https://2kjpox12cnap3zv36440iue7-wpengine.netdna-ssl.com/myimage.png">

Comment débloquer du contenu mixte?

Tout navigateur permettant le déverrouillage de contenu mixte dispose également d’un didacticiel expliquant comment procéder. Cependant, compte tenu de ce que nous avons appris sur la possible utilisation malveillante du contenu mixte, je ne le recommande pas. Même si votre site Web a une petite base d’utilisateurs à qui vous pouvez demander de débloquer le contenu mixte, vous l’ouvrez à une attaque potentiellement nuisible.

En fin de compte, il est plus facile de faire un petit effort pour résoudre le problème que d’essayer de l’éviter!

Comment réparer le contenu mixte dans WordPress

Utilisez le vraiment facile-ssl Brancher

Si vous utilisez le CMS WordPress, vous avez de la chance car vous pouvez l’utiliser vraiment facile-ssl Brancher. Il réparera automatiquement tous vos schémas et redirigera HTTP vers HTTPS en votre nom.

Il y a un Version Premium aussiCeci est utilisé pour signaler les problèmes de contenu mixte qui n’ont pas pu être résolus automatiquement, résoudre les problèmes de back-end, ajouter des en-têtes de sécurité, etc.

Une fois installé et activé, l’outil affichera l’écran suivant:

Plugin WordPress vraiment facile à utiliser
Plugin WordPress vraiment facile à utiliser

L’outil vous déconnectera automatiquement de WordPress et forcera HTTPS sur votre site Web.

Noter: Pour les utilisateurs de WordPress, l’une de mes ressources préférées à consulter est le blog ManageWP – Paramètres SSL de WordPress et résolution des avertissements de contenu mixte. Je vous encourage à laisser un commentaire car il contient un certain nombre de points de discussion intéressants.

Comment rechercher et résoudre les problèmes de contenu mixte dans les fichiers génériques

Si le modèle et / ou les fichiers CMS de votre site se trouvent dans des fichiers HTML ou PHP, vous pouvez rechercher et résoudre les problèmes de contenu mixte en procédant comme suit:

1. Effectuez une recherche groupée

Si vous savez utiliser les commandes de terminal, vous pouvez utiliser une commande grep pour identifier tout fichier faisant référence à http: //. Assurez-vous que vous êtes dans le répertoire racine de votre site Web (par exemple / public-html /, / www / html / etc.):

$ grep -r « http://votredomaine.com/ »

Si vous recherchez un moyen moins technique d’évaluer votre site Web, exécutez une analyse à l’aide d’un outil tel que WebPageTest. Dans les résultats, recherchez tout élément de contenu qui n’est pas affiché avec un cadenas (comme le numéro 2 dans cette capture d’écran).

Test de site Web

Notre propre Outil SiteCheck rendra également compte du contenu mixte. Vous pouvez les trouver sous Recommandations TLS, comme vous pouvez le voir ci-dessous.

Recommandations de SiteCheck TLS

2. Remplacez votre contenu

Ensuite, vous modifiez toutes les références à http: // verrouiller https: //.

Comment trouver et résoudre les problèmes de contenu mixte dans votre base de données

Selon la plate-forme que vous choisissez, la technologie de votre site Web peut rendre dynamiquement les emplacements des actifs dans la base de données. Vous souhaitez donc accéder directement à la base de données et mettre à jour toutes les références de journal.

Voici quelques conseils rapides pour rechercher et corriger le contenu mixte dans votre base de données:

Obtenez un outil de recherche et de remplacement de base de données pour identifier et remplacer le contenu mixte

Il existe un excellent outil appelé Rechercher et remplacer la base de données, construit par En réseau / informatique. Comme son nom l’indique, vous pouvez rechercher rapidement votre base de données et remplacer les valeurs selon vos besoins. Bien sûr, soyez prudent.

Configurer la recherche et le remplacement de la base de données

Téléchargez l’outil Rechercher et remplacer la base de données à partir du répertoire racine de votre site Web:

[[email protected] [domain directory]# wget https://github.com/interconnectit/Search-Replace-DB/archive/master.zip

[[email protected] [domain directory]# unzip master.zip

[[email protected] [domain directory]# cd Search-Replace-DB-master/

Une fois l’outil installé, vous pouvez y accéder directement en allant sur http://votredomaine.com/Search-Replace-DB-master/index.php

Outil de recherche et de remplacement pour la configuration des bases de données
Outil de recherche et de remplacement pour la configuration des bases de données

Lorsque vous chargez l’outil, les valeurs sont obtenues à partir du vôtre /wp-config.php. Si pour une raison quelconque ce n’est pas le cas, mappez les valeurs comme suit:

Name = define('DB_NAME',

User = define('DB_USER',

Password = define('DB_PASSWORD',

Host = define('DB_HOST',

Port = Default 3306

Cours Rechercher et remplacer

Lorsque vous exécutez Rechercher et remplacer, faites attention à tout élément que vous pourriez casser accidentellement. Pour en tenir compte, je recommande d’être aussi précis que possible. Par exemple, dans l’image ci-dessus, vous pouvez voir que je recherche http://votredomaine.com et que je le remplace par https://votredomaine.com. Cela évite d’endommager d’autres références http qui peuvent entraîner des problèmes inattendus.

Même dans ce cas, assurez-vous d’avoir une sauvegarde de la base de données avant d’exécuter l’outil.

L’outil vous aide également en vous offrant deux options très différentes: la course à sec et la course en direct. Je recommande de faire d’abord une analyse à sec, de vérifier la sortie, puis de faire une exécution en direct si tout fonctionne bien.

Trouvez et remplacez le bouton
Recherche et remplacement du bouton « Exécution à sec » par rapport à « Exécution en direct »

Identifiez et gérez le trafic HTTPS

Ensuite, vous voulez vous assurer que votre serveur / site Web est prêt pour le trafic HTTPS. La première étape consiste bien entendu à installer votre certificat SSL. Lorsque vous avez fait cela, vous pouvez passer à l’étape suivante avec real-simple-ssl ou directement via votre /wp-config.php Déposer.

/* Handle HTTPS Protocol */

if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https')

$_SERVER['HTTPS']='on';

Cela garantira que votre site Web / serveur acceptera toutes les demandes HTTPS et activera également HTTPS sur votre site Web. Évidemment, il existe différents types de déploiement. Vous pouvez vous y référer pour plus de variations Article du Codex sur WordPress.org.

Lorsque vous avez terminé, effacez tous les caches que vous avez activés et visitez votre site Web. Vous devriez maintenant obtenir le cadenas sécurisé dans le navigateur sans avertissements de contenu mixte:

Site Web HTTPS lorsque des problèmes de contenu mixte ont été résolus
Site Web HTTPS lorsque des problèmes de contenu mixte ont été résolus

Supprimer l’outil Rechercher et remplacer la base de données

Dans tous les cas, n’oubliez pas de supprimer l’outil DS&R de votre répertoire racine une fois que vous avez trouvé et résolu tous les problèmes de contenu mixte. Si vous le laissez sur votre serveur, il peut par la suite se présenter comme un vecteur potentiel d’attaque.

Service Clients

Si vous êtes déjà client Sucuri et avez des problèmes de configuration, veuillez contacter notre équipe soumettre un ticket. Si vous êtes Fournir LetsEncrypt localement Voici un guide simple pour vous aider à démarrer.



Source link

Recent Posts