Noter: Nous avons mis à jour cet article pour refléter l’évolution des normes de sécurité concernant le contenu mixte, les SSL et l’accès au serveur dans son ensemble.
Avec l’accent accru du Web sur la sécurité, tous les sites devraient fonctionner sur HTTPS. Installer un SSL vous permet d’effectuer cette transition avec votre site Web. Mais cela peut aussi avoir une conséquence inattendue pour les sites qui fonctionnaient auparavant sur HTTP: avertissements de contenu mixte.
Aujourd’hui, examinons ces erreurs courantes, leurs causes et comment vous pouvez les corriger.
Qu’est-ce que le contenu mixte?
Les avertissements de contenu mixte se produisent lorsque le contenu d’un site se charge via un mélange de connexions HTTP et HTTPS.
Cela prend généralement la forme du chargement HTML initial via HTTPS, puis de diverses ressources de contenu chargées via HTTP.
Lorsqu’un navigateur détecte un contenu mixte, il alertera l’utilisateur et bloquera potentiellement le contenu. Voici un exemple de ce à quoi cela pourrait ressembler:
Pourquoi le contenu mixte est-il important?
De toute évidence, le contenu mixte présente une faille de sécurité. La communication sur les connexions HTTP n’étant pas sécurisée, les attaquants peuvent remplacer le contenu du site Web sans aucune indication pour le visiteur, écouter les utilisateurs et même prendre le contrôle du site lui-même dans certains cas.
Les navigateurs adoptent de plus en plus une position défensive contre les contenus mixtes. Par cela, je veux dire qu’ils bloqueront l’accès au contenu non sécurisé ou au site lui-même.
Les scripts, iframes et feuilles de style sont probablement carrément bloqués. Avec l’audio et la vidéo, un navigateur peut essayer de charger d’abord l’élément via HTTPS, puis bloquer le contenu s’il ne le peut pas. Les images peuvent encore se charger, mais émettent un avertissement.
Dans tous les cas, les visiteurs de votre site ne verront pas votre site comme prévu – ou peut-être pas du tout.
Ainsi, si vous voyez des avertissements de contenu mixte sur votre site, la résolution du problème doit figurer en bonne place sur votre liste de priorités.
Quelles sont les causes des avertissements de contenu mixte?
Nous voyons le plus souvent des avertissements de contenu mixte sur les sites qui utilisent beaucoup les ressources du site – en particulier les ressources externes – comme les images, les fichiers multimédias, JavaScript et même CSS.
Pourquoi? Deux raisons principales:
- Les URL de ces fichiers sont codées en dur sur le site
- Les configurations par défaut chargent ces actifs via HTTP
Ainsi, lorsqu’un site est mis à jour vers HTTPS, ces chemins sont toujours liés à la version HTTP.
En ce qui concerne l’apparence du code d’un site: cela peut se produire lorsque le chemin d’URL absolu est défini, au lieu de chemins relatifs pour les fichiers images, CSS ou JavaScript.
Chemin absolu:
<img src="http://mydomain.com/myimage.png">
Chemin relatif:
<img src="https://2kjpox12cnap3zv36440iue7-wpengine.netdna-ssl.com/myimage.png">
Comment débloquer du contenu mixte?
Chaque navigateur qui permet de débloquer du contenu mixte fournira également un tutoriel sur la façon de le faire. Cependant, compte tenu de ce que nous avons appris sur l’utilisation malveillante potentielle du contenu mixte, je ne peux pas recommander de le faire. Même si votre site a une petite base d’utilisateurs à qui vous pourriez demander de débloquer le contenu mixte, vous les ouvrez à une attaque potentiellement nuisible.
En fin de compte, faire un petit effort pour résoudre le problème sera plus facile que d’essayer de l’éviter!
Comment réparer le contenu mixte dans WordPress
Utilisez le vraiment-simple-ssl Brancher
Si vous utilisez le CMS WordPress, vous avez de la chance car vous pouvez utiliser le vraiment-simple-ssl brancher. Il corrigera automatiquement tous vos schémas et redirigera HTTP vers HTTPS en votre nom.
Il y a un version premium aussi, qui signalera tous les problèmes de contenu mixte qui n’ont pas pu être résolus automatiquement, corrigera les problèmes de back-end, ajoutera des en-têtes de sécurité, etc.
Après l’installation et l’activation, l’outil vous montrera l’écran suivant:
L’outil vous déconnectera automatiquement de WordPress et forcera HTTPS sur votre site Web.
Noter: Pour les utilisateurs de WordPress, l’une de mes ressources préférées de tous les temps à pointer se trouve sur le blog ManageWP – Paramètres SSL WordPress et comment résoudre les avertissements de contenu mixte. Je vous encourage à l’examiner car il fournit un certain nombre de points de discussion intéressants.
Comment rechercher et résoudre les problèmes de contenu mixte dans les fichiers génériques
Si le modèle et / ou les fichiers CMS de votre site se trouvent dans des fichiers HTML ou PHP, vous pouvez rechercher et résoudre les problèmes de contenu mixte en procédant comme suit:
1. Effectuer une recherche en masse
Si vous savez utiliser les commandes de terminal, une commande grep peut vous aider à identifier chaque fichier qui fait référence à un http: //. Assurez-vous d’être à la racine de votre site Web (c’est-à-dire / public-html /, / www / html /, etc.):
$ grep -r “http://votredomaine.com/”
Si vous recherchez un moyen moins technique d’évaluer votre site, exécutez une analyse avec un outil tel que WebPageTest. Dans les résultats, recherchez les éléments de contenu qui n’apparaissent pas avec un cadenas à côté d’eux (comme le numéro 2 sur cette capture d’écran).
Notre propre Outil SiteCheck rendra également compte du contenu mixte. Vous les trouverez sous Recommandations TLS, comme vous le voyez ci-dessous.
2. Remplacez votre contenu
Vous allez ensuite modifier toutes les références à http: // inclure https: //.
Comment rechercher et résoudre les problèmes de contenu mixte dans votre base de données
Selon la plate-forme que vous choisissez, la technologie de votre site Web peut rendre dynamiquement les emplacements des actifs dans la base de données. Vous voudrez donc accéder directement à la base de données et mettre à jour toutes les références de protocole.
Voici quelques conseils rapides pour rechercher et corriger le contenu mixte dans votre base de données:
Obtenez un outil de recherche et de remplacement de base de données pour identifier et remplacer le contenu mixte
Il existe un excellent outil appelé Recherche et remplacement de base de données, construit par Interconnecté / IT. Comme son nom l’indique, il vous permet d’effectuer une recherche rapide dans votre base de données, en remplaçant les valeurs si nécessaire. Bien sûr, soyez prudent.
Configurer la recherche et le remplacement de la base de données
Téléchargez l’outil de recherche et de remplacement de base de données à la racine de votre site Web:
[root@server [domain directory]# wget https://github.com/interconnectit/Search-Replace-DB/archive/master.zip [root@server [domain directory]# unzip master.zip [root@server [domain directory]# cd Search-Replace-DB-master/
Une fois que vous avez installé l’outil, vous pouvez y accéder directement en allant sur http://votredomaine.com/Search-Replace-DB-master/index.php
Lorsque vous chargez l’outil, il extraira les valeurs de votre /wp-config.php. Si pour une raison quelconque ce n’est pas le cas, voici comment vous mappez les valeurs:
Name = define('DB_NAME',
User = define('DB_USER',
Password = define('DB_PASSWORD',
Host = define('DB_HOST',
Port = Default 3306
Cours Rechercher et remplacer
Lorsque vous exécutez «rechercher et remplacer», gardez à l’esprit toutes les choses que vous pouvez casser par inadvertance. Pour en tenir compte, je recommande d’être aussi précis que possible. Par exemple, dans l’image ci-dessus, vous pouvez voir que je recherche http://votredomaine.com et que je le remplace par https://votredomaine.com. Il s’agit d’un effort pour éviter de casser toute autre référence http qui pourrait provoquer des problèmes inattendus.
Même dans ce cas, avant d’exécuter l’outil, assurez-vous d’avoir une sauvegarde de la base de données.
L’outil vous aide également en vous offrant deux options très distinctes: Dry Run et Live Run. Je recommande d’exécuter d’abord une exécution à sec, de vérifier la sortie, puis d’exécuter une exécution en direct si tout fonctionne bien.
Identifier et gérer le trafic HTTPS
Ensuite, vous voulez vous assurer que votre serveur / site Web est prêt à gérer le trafic HTTPS. Bien entendu, la première étape consiste à installer votre certificat SSL. Si vous avez fait cela, vous pouvez alors passer à l’étape suivante en utilisant vraiment-simple-ssl ou directement via votre /wp-config.php déposer.
/* Handle HTTPS Protocol */ if ($_SERVER['HTTP_X_FORWARDED_PROTO'] == 'https') $_SERVER['HTTPS']='on';
Cela permettra à votre site Web / serveur d’accepter toutes les demandes HTTPS et d’activer HTTPS sur votre site Web. Il existe évidemment un certain nombre de types de déploiement différents. Pour plus de variations, vous pouvez référencer ceci Article du Codex sur WordPress.org.
Une fois terminé, effacez tous les caches que vous avez activés et visitez votre site Web. Vous devriez maintenant obtenir le cadenas sécurisé dans le navigateur sans aucun avertissement de contenu mixte:
Supprimer l’outil de recherche et de remplacement de base de données
S’il vous plaît, quoi que vous fassiez, n’oubliez pas de supprimer l’outil DS&R de votre racine une fois que vous avez trouvé et résolu tous vos problèmes de contenu mixte. Le laisser sur votre serveur pourrait se présenter comme un vecteur d’attaque potentiel plus tard.
Service client
Si vous êtes un client Sucuri existant et que vous rencontrez des problèmes pour configurer les éléments, veuillez contacter notre équipe en soumettre un ticket. Si vous êtes déploiement local de LetsEncrypt voici un guide simple pour vous aider à démarrer.
