Даже если шифрование SSL активировано, мой сайт не получает нужный зеленый навесной замок для надежного соединения. Вместо этого, есть только сообщение о смешанном содержании. Это, вероятно, приведет к отсутствию доверия к безопасности моего сайта.

Что происходит не так?

В этой статье вы можете узнать, как найти смешанный контент на вашем сайте и удалить или заменить его, чтобы обеспечить безаварийное SSL шифрование для вашего сайта. Заодно прочитайте статью о том как добавить бесплатный SSL сертификат от Let’s Encrypt в WordPress.

Подсказка : Если вы используете управляемый WordPress, то он заботится о смешанном содержании автоматически и оптимизации вашего сайта для безаварийной шифрования SSL.

Что такое смешанное содержание?

Смешанное содержание возникает тогда, когда веб-сайт, открывается с помощью шифрования HTTPS и обеспечивает некоторый контент через HTTP без шифрования. Типичные причины для смешанного содержимого включают в себя изображения, аудио и видео файлов, IFrames, CSS и JavaScript файлов и объектов.

В зависимости от используемого браузера, смешанное содержимое отображается в адресной строке:

Если все содержимое веб-сайта поставляется в полностью зашифрованном виде через HTTPS, это будет выглядеть следующим образом, например, в адресной строке браузера:

В Developer tools (консоль) в Google Chrome или в браузере Firefox предоставляет подробный обзор содержания веб — сайта и показывает предупреждение смешанного содержимого.

В браузере Google Chrome, инструменты разработчика расположены в главном меню в разделе: меню Chrome > Дополнительные инструменты > инструменты для разработчиков (горячая клавиша: CTRL+shift+I/cmd–opt–I)

В области консоли, теперь можно просмотреть сведения о содержании или данных, которые вызывает отображение смешанного содержимого:

Хорошей альтернативой инструментов разработчика браузера является интерактивный инструмент Why No Padlock. Там, надо просто ввести свой адрес веб — сайта. Через некоторое время, вы получаете приемлемую, значимую и очень подробную информацию о том, какой контент я должен изменить, чтобы удалить смешанное содержимое.

Различение между активным и пассивным смешанным содержимым

Для того, чтобы получить немного больше, есть два вида смешанного содержания:

1. Смешанный пассивный контент является веб — контент, который не может изменить другие части веб — сайта, но он есть на сайте. Это включает в себя изображения, видео, аудио файлов и объектов суб-ресурсов, которые включены на веб — сайте.
2. Смешанное активное содержание является веб — контентом, который является частью «Документ объектов модели» (DOM) веб — сайта. Этот веб — контент может сделать сохранение изменения на части веб — сайта и их поведение. Оно включает в себя ссылки, скрипты (например , JavaScript), объекты XMLHttpRequest , плавающие фреймы CSS файлы , в которых используются URL — адреса и атрибуты данных объекта.

Снятие и замена смешанного содержимого (WordPress)

В принципе, проблема проста, чтобы решить в два этапа в WordPress:

Шаг 1: Преобразовать все HTTP — ссылки в базе данных WordPress в HTTPS ссылки.

Шаг 2: Настройка постоянной переадресации 301 от HTTP к HTTPS на веб — сервере.

Преобразование HTTP ссылки на HTTPS ссылки

Я могу использовать целый ряд различных методов, чтобы заменить ссылки в базе данных WordPress.

Важно: Перед тем, как внести изменения в базу данных WordPress, пожалуйста, убедитесь, что вы создали резервную копию базы данных. ( Резервное копирование базы данных: как это сделать)

1. WordPress плагин: Better Search Replace.
   
   Простой , но эффективный WordPress плагин, который позволяет также выполнить тестовый прогон (сухой ход) для поиска и замены объектов в базе данных. Вы также можете выбрать или отменить выбор отдельных таблиц базы данных.
2. PHP скрипт: Database Search and Replace
   
   PHP — скрипт, который должен быть скопирован с помощью (S) FTP или должен быть скопирован в папку, в которой установлен WordPress в порядке, который должен быть установлен заранее.
   
   Затем я могу открыть приложение через http(s)//wordpress.address/created-folder/.
   
   Database Search and Replace предоставляет больше возможностей , чем Better Search Replace (SFTP загрузить с FileZilla: как это работает). Тем не менее, самое большое преимущество в том что она не зависит от функционирования установки WordPress. То есть: Если база данных WordPress больше не работает, то не возможно войти в админку WordPress и я не могу получить доступ к моим плагинам. Тем не менее, изменения в базе данных WordPress с использованием Database Search and Replace по- прежнему могут быть сделаны без проблем.
3. WP-CLI
   
   Этот практичный инструмент командной строки позволяет легко для меня , чтобы изменить ссылки в базе данных WordPress с помощью поиска и замены.
   
   Чтобы это сделать, вы должны получить доступ через SSH и перейти к папке установки WordPress. Пример:

4. wp search-replace 'http://example.ru' 'https://example.ru'
   
   wp search-replace 'http://www.example.ru' 'https://www.example.ru'

    

«HTTP» был заменен на «HTTPS». ( Показать помощь для WP-CLI )

Настройка постоянной переадресации 301 из HTTP на HTTPS в веб — сервере

Если ссылки, относящиеся к веб-сайте, преобразуются из HTTP в HTTPS, тогда просто нужно настроить постоянный 301 редирект.

Apache : Если веб — сайт работает на веб — сервере Apache, я должен добавить следующие строки в файле .htaccess для этого веб — сайта:

<IfModule mod_rewrite.c>

     RewriteEngine On

     RewriteCond %{SERVER_PORT} 80

     RewriteRule ^(.*)$ https://www.yoursite.ru/$1 [R,L]

</IfModule>

Nginx : Если веб — сайт работает на веб — сервере Nginx, я должен добавить следующее, например, в конфигурации VHost для веб — сервера Nginx:

server {

        listen 80;

        .

        server_name example.com;



        return 301 https://example.ru$request_uri;

}

Мой браузер по-прежнему отображения смешанное содержимое, несмотря на внесенные изменения!

На данный момент, нет, к сожалению, общих шагов для исправления ошибки.

Из — за множества тем и плагинов в WordPress, разработчики постоянно внедряют внешние ресурсы (например Google Fonts) в исходном тексте через HTTP. Естественно, что изменение ссылки не поможет в таком случае. Более практический подход необходим для исходного текста для темы / плагина.

Другой причиной может быть изображение или содержимого плавающего фрейма, CSS или JavaScript — файлы с внешних сайтов, которые были добавлены после поиска и замены HTTP ссылок или которые просто не предусмотрены через HTTPS.

Мы рассмотрели проблему смешанного содержимого, если у вас возникли вопросы, оставляйте их в комментариях ниже. Все го вам доброго!

WordPress в настоящее время является самой популярной системой управления контентом в использовании. Исследования показывают, что один из каждых шести сайтов в Интернете работает на WordPress. WordPress является настолько популярным, что является заманчивой целью для хакеров.

Для того , чтобы обеспечить и защитить свой сайт на основе WordPress от взлома, следуйте этим простым методам:

• Держите установку WordPress, включая все установленные плагины WordPress и темы в актуальном состоянии, обновляйте их всякий раз, когда выходит новая версия. Многие хакеры используют уязвимости и дыры в безопасности, которые были выявлены в более старых версиях WordPress, поэтому держать вашу установку в актуальном состоянии является простым способом предотвратить большинство попыток взлома.

• Нападавшие могут найти путь в ваш веб-сайт WordPress с помощью программного обеспечения (грубой силы), и они будут пытаться раскрыть пароль администратора систематически пытаться войти в систему, используя общие слова и фразы, как пароли, в сочетании с явным именем, таких как «admin». Вы никогда не должны использовать «admin» в качестве имени пользователя администратора WordPress или сохранить этот пользователя, таким образом, создать новую учетную запись администратора с именем пользователя, который не является очевидным, назначать роли администраторов к нему, передать все посты, страницы и т.д., созданные ‘admin’ во вновь созданную учетную запись и дать ему надежный пароль (WordPress имеет индикатор уровня пароля, который отображается при изменении пароля). Затем удалите учетную запись пользователя «admin».

• Для того, чтобы остановить спам-атаки имен пользователей и комментарии, отредактируйте конфигурационный файл Apache и добавьте следующие строки:

  <IfModule mod_rewrite.c>
  
  	RewriteEngine On
  
  	RewriteCond %{REQUEST_METHOD} POST
  
  	RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login).php*
  
  	RewriteCond %{HTTP_REFERER} !.*mydomain.ru.* [OR]
  
  	RewriteCond %{HTTP_USER_AGENT} ^$
  
  	RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L]
  
  </ifModule>

  Или, если вы используете Nginx в качестве веб — сервера, запретить доступ к запросам путем добавления источников ссылок следующие строки в файл конфигурации Nginx ( обычно /etc/nginx/nginx.conf ):

  location ~* (wp-comments-posts|wp-login).php$ {
  
          if ($http_referer !~ ^(http://mydomain.ru) ) {
  
            return 405;
  
          }
  
        }

  Не забудьте изменить ‘mydomain.ru’ на имя вашего фактического домена, а затем перезапустите веб-сервер для того, чтобы изменения вступили в силу.

• Установить полезные плагины, такие как ‘Enforce Strong Password’ , ‘Limit Login Attempts’ и ‘Lockdown WP Admin’ в целях дальнейшего обеспечения защиты вашего сайта WordPress.

Некоторым пользователям WordPress сложно использовать интерфейс перетаскивания для добавления виджетов в WordPress. То, что большинство пользователей не знают о том, что есть специальных возможностей для виджетов в WordPress. В этой статье мы покажем вам, как добавить виджеты WordPress в режиме специальных возможностей.

Во- первых, вам необходимо посетить экран Внешний вид »Виджеты в вашей панели администратора WordPress. Режим специальных возможностей скрыт под меню опции экрана.

Если вы нажмете на экране меню Настройки экрана, то это хорошо. Если вы используете программное обеспечение для чтения экрана и клавиатуры, то вам необходимо нажать клавишу L.

Это позволит пропустить нормальное меню и можно перейти непосредственно на кнопку помощи, которая расположена непосредственно перед Параметры экрана. Нажмите клавишу табуляции еще раз, чтобы сосредоточиться на меню параметров экрана, а затем нажать кнопку ввода. Это приведет к появлению меню параметров экрана.

Существует только один вариант в этом меню: «Включить режим специальных возможностей«. Вы можете активировать его, нажав клавишу табуляции, а затем нажмите клавишу Enter, или путем нажатия на него.

Включение режима специальных возможностей перезагрузит экран виджеты с новым интерфейсом.

Этот новый интерфейс позволяет добавлять виджеты с помощью ссылки Добавить рядом с названием виджета.

При нажатии на ссылку Добавить, он откроет виджет на одной странице, где вы можете настроить виджет.

Вы также можете выбрать боковую панель или область виджета, где вы хотите добавить свой виджет. Рядом с ним, вы также будете видеть позицию выпадающего меню, которое позволяет выбрать положение этого виджета в выбранной боковой панели.

После того, как вы удовлетворены настройками виджета, нажмите кнопку Сохранить. Вы будете перенаправлены обратно на экран виджетов.

Режим специальных возможностей также позволит редактировать ссылки рядом с активными виджетами, как здесь:

При нажатии на нее приведет вас к тому же экрану редактирования виджетов, где вы можете редактировать настройки виджета и даже удалить его, выбрав опцию Неактивные виджеты.

Вот и все, мы надеемся, что эта статья помогла вам узнать, как добавить виджеты WordPress в режиме специальных возможностей.