การแก้ไขคำเตือนเนื้อหาผสมและการตั้งค่า WordPress SSL

เผยแพร่แล้ว: 2017-04-03

การแก้ไขคำเตือนเนื้อหาผสมและการตั้งค่า WordPress SSL

การสร้างเว็บไซต์ที่มีความสามารถนั้นเกี่ยวข้องกับการพิจารณาประเด็นต่างๆ มากมายตั้งแต่เจ้าของเว็บไซต์ ผู้ที่ใช้สร้างเว็บไซต์ ผู้ดูแลระบบหรือผู้จัดการเว็บไซต์ และที่สำคัญที่สุดคือผู้ชม

โดยทั่วไปแล้ว นักช้อปและผู้ใช้ออนไลน์ส่วนใหญ่มีความกังวลเกี่ยวกับความปลอดภัยออนไลน์ของตนมากขึ้น ใบรับรอง SSL ได้กลายเป็นพิธีการที่จำเป็นสำหรับทุกร้านอีคอมเมิร์ซหรือเว็บไซต์ที่มีความหมาย

อันที่จริง มันเป็นหนึ่งในเงื่อนไขที่กำหนดไว้สำหรับเว็บไซต์ที่จะเป็นไปตามมาตรฐาน PCI ก่อนที่ผู้ใช้ออนไลน์จะเปิดเผยข้อมูลลับของตนกับไซต์ใดๆ ก็ตาม พวกเขามองหาสัญลักษณ์ของใบรับรอง SSL เช่น “HTTPS” ไอคอนแม่กุญแจและแถบสีเขียวสำหรับใบรับรอง SSL แบบขยาย

ในการประสบความสำเร็จทางออนไลน์ คุณต้องดูแลทั้งความปลอดภัยและความปลอดภัยของผู้เยี่ยมชมไซต์ของคุณ ไม่มีใครอยากเห็นข้อความแสดงข้อผิดพลาด "ไซต์ล่ม" หรือคำเตือนของเว็บเบราว์เซอร์ การมีเว็บไซต์ของคุณปลอดภัยด้วยใบรับรอง SSL ไม่เพียงพอ คุณต้องตรวจสอบให้แน่ใจว่ามีการกำหนดค่าอย่างดีในเว็บเบราว์เซอร์หรือเว็บเซิร์ฟเวอร์ของคุณ

บทความนี้มีวัตถุประสงค์เพื่อแสดงวิธีให้บริการหน้าเว็บที่ปลอดภัยและทรัพย์สินที่ปลอดภัย เช่น ภาพสคริปต์และแบบฟอร์ม ตลอดจนวิธีค้นหาและแก้ไขข้อผิดพลาดด้านความปลอดภัยของเบราว์เซอร์

พื้นฐาน HTTPS

Hypertext Transfer Protocol Secure หรือ HTTPS ใช้สำหรับการสื่อสารทางอินเทอร์เน็ตอย่างปลอดภัย เมื่อใดก็ตามที่คุณเข้าถึงหน้าที่ใช้ HTTPS คุณจะเห็น https:// ใน URL และไอคอนแม่กุญแจในเบราว์เซอร์

ต้องส่งข้อมูลที่เป็นความลับ เช่น รหัสผ่าน หมายเลขบัตรเครดิต และข้อมูลผู้ใช้ที่ละเอียดอ่อนอื่นๆ อย่างปลอดภัยโดยใช้ HTTPS ในการเปิดใช้งานการเรียกดู HTTPS คุณต้องซื้อและติดตั้งใบรับรอง SSL บนเว็บเซิร์ฟเวอร์ของคุณ

หน้ายังคงสามารถให้บริการผ่าน HTTP ในขณะที่รวมแบบฟอร์ม HTTPS ด้วยเหตุผลของการแคช ข้อเสียคือผู้ใช้จะไม่เห็นตัวชี้นำที่เกี่ยวข้องกับไซต์ที่ปลอดภัย (ไอคอนแม่กุญแจและที่อยู่แถบสีเขียว)

ที่สำคัญที่สุด เบราว์เซอร์จะแจ้งเตือนเมื่อมีการแสดงหน้าเว็บที่มีเนื้อหา HTTP เช่น แบบฟอร์ม สคริปต์ และรูปภาพผ่าน HTTPS ข้อความเตือนของเบราว์เซอร์อาจส่งสัญญาณเตือนไปยังผู้เยี่ยมชมไซต์ของคุณบางราย และทำให้พวกเขาไม่ทำธุรกรรมหรือกรอกแบบฟอร์มให้เสร็จสิ้น

WordPress HTTPS

หลังจากติดตั้งใบรับรอง SSL บนเซิร์ฟเวอร์ของคุณเรียบร้อยแล้ว คุณจะต้องติดตั้ง HTTPS ลงในไซต์ WordPress ของคุณ นี่คือ 3 วิธีที่ถูกต้องในการดำเนินการเกี่ยวกับกระบวนการนี้

ตัวเลือกที่ 1: บังคับให้ทุกหน้าเป็น HTTPS

การบังคับให้ทุกหน้าใช้ HTTPS เป็นตัวเลือกที่ง่ายที่สุด อย่างไรก็ตาม ไม่เหมาะสมเนื่องจากไม่ได้เปิดใช้งานการแคชสำหรับหน้า HTTPS คุณสามารถให้บริการทุกหน้าของ WordPress ของคุณผ่าน HTTPS โดยไปที่การตั้งค่าทั่วไปของ WordPress เพื่อเปลี่ยนที่อยู่ WordPress (URL) และที่อยู่เว็บไซต์ (URL) จาก HTTP เป็น HTTPS

ตัวเลือกที่ 2: การจำกัดแต่ละหน้าเป็น HTTPS (พบบ่อยที่สุด)

ในกรณีส่วนใหญ่ คุณจะพบว่ามีบางหน้าที่มีข้อมูลที่ละเอียดอ่อนซึ่งต้องโหลดผ่าน HTTPS ในขณะที่ส่วนที่เหลือ ซึ่งไม่ต้องการใบรับรอง SSL ให้โหลดผ่าน HTTP โดยค่าเริ่มต้น

คุณสามารถใช้ฝั่งเซิร์ฟเวอร์เพื่อเปิดใช้งานสิ่งนี้หรือใช้ปลั๊กอินที่มีช่องทำเครื่องหมาย ด้วยปลั๊กอิน คุณสามารถเลือกช่องทำเครื่องหมายนี้ได้อย่างง่ายดายหากคุณต้องการให้ HTTPS โหลดหน้าเว็บ หรือปล่อยว่างไว้สำหรับการโหลด HTTP ตัวอย่างที่ดีของปลั๊กอินดังกล่าว ได้แก่:

  • เวิร์ดเพรส HTTPS (SSL)
  • ความปลอดภัย WP ที่ดีขึ้น

ตัวเลือก 3: บังคับการเข้าสู่ระบบ HTTPS หรือบังคับทั้งการเข้าสู่ระบบ HTTPS และการดูแลระบบ HTTPS

หน้าเข้าสู่ระบบควรได้รับการปกป้องจากการโจมตีทางไซเบอร์ เช่น ฟิชชิ่ง นั่นเป็นเหตุผลว่าทำไมจึงเหมาะที่จะรักษาความปลอดภัยหน้าเข้าสู่ระบบและหน้าผู้ดูแลระบบ คุณสามารถบังคับใช้ HTTPS ในหน้าเข้าสู่ระบบและผู้ดูแลระบบได้โดยการตั้งค่าค่าคงที่ wp-config.php สองค่าต่อไปนี้:

  • กำหนด ('FORCE_SSL_LOGIN' จริง);
  • กำหนด ('FORCE_SSL_ADMIN' จริง);

หากคุณตั้งค่าคงที่ FORCE_SSL_ADMIN คุณไม่จำเป็นต้องตั้งค่า FORCE_SSL_LOGIN แยกกัน เนื่องจากรวมอยู่ในค่าคงที่

การระบุเนื้อหา HTTP บนหน้า HTTPS

นี่คือส่วนสำคัญของบทความที่คุณรอคอย:

  1. หากคุณได้ติดตั้งใบรับรอง SSL ของคุณอย่างถูกต้องแล้ว และสามารถเรียกดูผ่าน HTTPS ได้โดยการพิมพ์ด้วยตนเองลงในแถบที่อยู่ และ
  2. ปลั๊กอิน HTTPS และค่าคงที่ a/orwp-config.php ของคุณได้รับการตั้งค่าและใช้งานได้
  3. หากเบราว์เซอร์แสดง "เนื้อหาที่ไม่ปลอดภัย" หรือ "คำเตือนเนื้อหาที่ไม่ได้เข้ารหัส"

จากนั้นจะพิสูจน์ว่ามีเนื้อหาที่ไม่ใช่ HTTPS บนเว็บไซต์ ต่อไปนี้เป็นวิธีแก้ไขคำเตือนความปลอดภัยของเบราว์เซอร์เกี่ยวกับเนื้อหาผสม

1. ดูแหล่งที่มา

สำหรับวิธีนี้ ให้โหลดหน้าผ่าน HTTPS คลิกขวาที่ใดก็ได้บนหน้า จากนั้นคลิก "ดูแหล่งที่มาของหน้า" "ดูแหล่งที่มา" หรือ "แหล่งที่มา" ขึ้นอยู่กับเบราว์เซอร์ของคุณ

ใช้คำสั่ง "ค้นหา" (แก้ไข -> ค้นหาหรือ Ctrl+F หรือ Cmd+F) และค้นหา:

src=”http:

(พร้อมอัญประกาศคู่)

src='http:

(ด้วยคำพูดเดียว)

ด้วยวิธีการนี้ คุณกำลังค้นหารูปภาพ, iframes, สคริปต์ และเนื้อหาอื่นๆ ที่แสดงผ่าน HTTP แทน HTTPS ด้วยตนเอง หากคุณไม่พบสิ่งใดที่มีเครื่องหมายอัญประกาศคู่และเครื่องหมายอัญประกาศเดี่ยว คุณสามารถไปยังหน้า HTTPS อื่นและทำซ้ำแบบฝึกหัดเดียวกันเมื่อคุณค้นหาผ่านแหล่งที่มาของข้อมูลพร็อพเพอร์ตี้

2. ใช้ปลั๊กอิน

คุณสามารถใช้ปลั๊กอินที่มีอยู่เพื่อดูแหล่งที่มาและค้นหาเนื้อหาที่ไม่ใช่ HTTP จากหน้าได้ดังนี้:

  • WordPress HTTPS (SSL) (ยังกล่าวถึงข้างต้น)
  • การทดสอบ WordPress HTTPS
  • ตัวแก้ไขเนื้อหา SSL ที่ไม่ปลอดภัย

การเรียกดูไซต์ของคุณผ่าน HTTPS โดยใช้ปลั๊กอินเหล่านี้ในขณะที่ใช้งานอยู่ ปลั๊กอินจะแสดงการแจ้งเตือนเกี่ยวกับเนื้อหา HTTP ระวังอย่าปล่อยให้ปลั๊กอินทำงานในขณะที่คุณไม่ได้ทำการทดสอบ เนื่องจากปลั๊กอินบางตัวจะแสดงต่อผู้ดูแลระบบเท่านั้น ในขณะที่ส่วนอื่นๆ จะแสดงคำเตือนแก่ผู้เยี่ยมชมทุกคน

3. การใช้เว็บไซต์บุคคลที่สามเพื่อทดสอบทรัพย์สินที่ไม่ปลอดภัย

คุณสามารถใช้เว็บไซต์บุคคลที่สามเพื่อทดสอบเนื้อหาที่ไม่ปลอดภัยโดยวาง URL ของหน้าของคุณลงในเว็บไซต์บุคคลที่สามและปล่อยให้เว็บไซต์ทดสอบให้คุณ

ตัวอย่างที่ดีของเว็บไซต์บุคคลที่สามดังกล่าวคือ ''ทำไมไม่มีแม่กุญแจ'' Why No Padlock เป็นไซต์ทดสอบฟรีที่มีรายการของรายการที่โหลดไม่ปลอดภัยทั้งหมด คุณควรแก้ไข X สีแดงทั้งหมดในธีมหรือปลั๊กอินของคุณ จากนั้นคลิกที่ปุ่ม "ทดสอบ URL อีกครั้ง" เพื่อกำจัด X สีแดงทั้งหมด

4. ใช้ Google เพื่อตรวจสอบเว็บไซต์ของคุณ

การใช้ Google เป็นวิธีที่ดีที่สุดวิธีหนึ่ง เนื่องจากมีความรวดเร็ว ง่ายดาย และสามารถใช้ได้กับทุกหน้าที่คุณสามารถเข้าถึงได้ ตัวตรวจสอบของ Google Chrome มีแท็บคอนโซล หากหน้า HTTPS แสดงเป็นสีเหลืองหรือสีแดงในแถบที่อยู่เว็บดังที่คุณเห็นในคอลัมน์ที่ 2 และ 3 ด้านล่าง ให้เปิดคอนโซลเพื่อค้นหาเนื้อหาที่ไม่ปลอดภัย

Google Inspect

วิธีแก้ไขสินทรัพย์ที่โหลดไม่ปลอดภัย

หากคุณตัดสินใจที่จะเก็บธีมหรือปลั๊กอินไว้ คุณสามารถแก้ไขได้โดยใช้วิธีการต่อไปนี้

  1. ติดต่อผู้พัฒนาปลั๊กอินและรายงานข้อผิดพลาด ตรวจสอบให้แน่ใจว่าได้ปิดใช้งานปลั๊กอินแล้ว
  2. คุณสามารถแก้ไขไฟล์บางไฟล์ได้ด้วยความช่วยเหลือของนักพัฒนาหรือแก้ไขปัญหา
  3. การเปลี่ยนธีมของเว็บไซต์สามารถพิสูจน์ได้ว่ามีประโยชน์
  4. คุณยังสามารถลองแก้ไขไฟล์ของธีมที่ติดตั้งอยู่ในปัจจุบันได้

การเปลี่ยนเนื้อหาจาก HTTP เป็น HTTPS

หลังจากพบเนื้อหาที่ละเมิดแล้ว คุณสามารถเปลี่ยนให้เป็นไปตามโปรโตคอลหรือเปลี่ยนให้ HTTPS ให้บริการเสมอดังนี้

1: ใช้ URL สัมพัทธ์

หากเนื้อหาถูกฮาร์ดโค้ดลงในธีมหรือปลั๊กอิน คุณสามารถเปลี่ยนเป็น '//site.com/assets/logo.png' จาก 'http: //site.com/assets/logo.png'

การแก้ไขนี้เหมาะอย่างยิ่งเมื่อรวมเนื้อหาจากเซิร์ฟเวอร์อื่น เช่น สคริปต์ API, iframe หรือสคริปต์ของ Google

2: การใช้มาตรฐานการเข้ารหัส WordPress ที่เหมาะสม

สุดท้าย ข้อผิดพลาดที่ดื้อรั้นบางอย่างไม่สามารถแก้ไขได้โดยใช้ URL สัมพัทธ์ วิธีการต่อไปนี้สามารถแก้ไขข้อผิดพลาดได้:

  • home_url() และฟังก์ชั่นที่เกี่ยวข้อง
  • is_ssl()
  • การอ้างอิงฟังก์ชัน WordPress (หลีกเลี่ยงสิ่งที่เป็นสีแดงเนื่องจากเลิกใช้แล้ว)
  • WP_DEBUG cab ช่วยด้วย