Menyelesaikan Peringatan Konten Campuran dan Pengaturan SSL WordPress

Diterbitkan: 2017-04-03

Menyelesaikan Peringatan Konten Campuran dan Pengaturan SSL WordPress

Membuat situs web yang kompeten melibatkan pertimbangan banyak masalah yang berkisar dari pemilik situs, orang yang dipekerjakan untuk membuat situs, administrator atau pengelola situs dan yang paling penting penonton.

Sebagian besar pembeli dan pengguna online, secara umum, semakin mengkhawatirkan keamanan online mereka. Sertifikat SSL telah menjadi formalitas yang diperlukan untuk setiap toko e-commerce atau situs web yang berarti.

Faktanya, ini adalah salah satu syarat yang ditetapkan untuk situs web agar sesuai dengan PCI. Sebelum pengguna online membagikan informasi rahasia mereka dengan situs mana pun, mereka mencari isyarat dari sertifikat SSL seperti "HTTPS," ikon kunci dan juga bilah hijau untuk sertifikat SSL yang diperpanjang.

Untuk berhasil online, Anda harus menjaga keamanan Anda dan keamanan pengunjung situs Anda. Tidak ada yang ingin melihat pesan kesalahan "situs turun" atau peringatan browser web. Mengamankan situs Anda dengan Sertifikat SSL tidak cukup. Anda harus memastikan bahwa itu dikonfigurasi dengan baik di browser web atau server web Anda.

Tujuan artikel ini adalah untuk menunjukkan kepada Anda cara menyajikan halaman web yang aman dan aset yang aman seperti gambar dan formulir skrip, dan juga cara menemukan dan mengatasi kesalahan keamanan browser.

Dasar-dasar HTTPS

Hypertext Transfer Protocol Secure atau HTTPS digunakan untuk komunikasi yang aman melalui internet. Setiap kali Anda mengakses halaman yang menggunakan HTTPS, Anda akan melihat https:// di URL dan ikon kunci di browser.

Informasi rahasia seperti kata sandi, nomor kartu kredit, dan informasi sensitif pengguna lainnya harus dikirimkan dengan aman menggunakan HTTPS. Untuk mengaktifkan penjelajahan HTTPS, Anda perlu membeli dan memasang sertifikat SSL di server web Anda.

Halaman masih dapat disajikan melalui HTTP sambil menyertakan formulir HTTPS karena alasan caching. Kelemahan dari ini adalah bahwa pengguna tidak akan melihat isyarat yang terkait dengan situs aman (ikon gembok serta alamat bilah hijau).

Yang terpenting, browser akan memberikan peringatan ketika halaman web yang menyertakan aset HTTP seperti formulir, skrip, dan gambar disajikan melalui HTTPS. Pesan peringatan browser dapat meningkatkan alarm ke beberapa pengunjung situs Anda dan menyebabkan mereka tidak menyelesaikan transaksi atau mengisi formulir.

HTTPS WordPress

Setelah berhasil menginstal sertifikat SSL di server Anda, Anda diminta untuk mengimplementasikan HTTPS ke situs WordPress Anda. Berikut adalah 3 cara yang valid untuk melakukan proses tersebut.

OPSI 1: Memaksa semua halaman ke HTTPS

Memaksa semua halaman ke HTTPS adalah opsi termudah. Namun, ini tidak sesuai karena caching tidak diaktifkan untuk halaman HTTPS. Anda dapat melayani semua halaman WordPress Anda melalui HTTPS dengan masuk ke pengaturan umum WordPress, untuk mengubah Alamat WordPress (URL) dan Alamat Situs (URL) dari HTTP ke HTTPS.

Opsi 2: Membatasi halaman individual ke HTTPS (PALING UMUM)

Dalam kebanyakan kasus, Anda akan menemukan bahwa ada beberapa halaman yang berisi informasi sensitif yang memerlukan pemuatan melalui HTTPS sementara sisanya, yang tidak memerlukan sertifikat SSL, dimuat melalui HTTP secara default.

Anda dapat menggunakan sisi server untuk mengaktifkan ini atau menggunakan plugin yang menyediakan kotak centang. Dengan plugin, Anda dapat dengan mudah mencentang kotak jika Anda ingin halaman dimuat oleh HTTPS atau membiarkannya tidak dicentang untuk pemuatan HTTP. Beberapa contoh bagus dari plugin tersebut adalah:

  • HTTPS WordPress (SSL)
  • Keamanan WP yang Lebih Baik

Opsi 3: Paksa login HTTPS atau Paksa login HTTPS dan administrasi HTTPS

Halaman login harus diamankan dari serangan cyber seperti phishing. Itulah mengapa sangat ideal untuk mengamankan halaman login serta halaman admin. Anda dapat mencapai memaksa HTTPS pada halaman Login dan Admin dengan menyiapkan dua konstanta wp-config.php berikut:

  • define ('FORCE_SSL_LOGIN,' benar);
  • tentukan ('FORCE_SSL_ADMIN,' benar);

Jika Anda menyiapkan konstanta FORCE_SSL_ADMIN, tidak perlu menyiapkan FORCE_SSL_LOGIN secara terpisah karena sudah disertakan.

Mengidentifikasi Aset HTTP di Halaman HTTPS

Inilah bagian penting dari artikel yang Anda tunggu-tunggu:

  1. Jika Anda telah menginstal sertifikat SSL dengan benar dan dapat menjelajah melalui HTTPS dengan mengetikkannya secara manual ke bilah alamat; dan
  2. Plugin HTTPS Anda dan konstanta a/orwp-config.php telah disiapkan dan berfungsi.
  3. Jika browser menampilkan "konten tidak aman" atau "peringatan konten tidak terenkripsi."

Kemudian, itu membuktikan bahwa ada konten non-HTTPS di situs web tersebut. Berikut adalah beberapa metode untuk menyelesaikan peringatan keamanan browser tentang konten campuran.

1. Lihat Sumber

Untuk metode ini, muat halaman melalui HTTPS, klik kanan di mana saja pada halaman; dan kemudian klik “Lihat Sumber Halaman,” “Lihat Sumber,” atau “Sumber,” tunduk pada browser Anda.

Gunakan perintah "Temukan" (Edit -> Temukan atau Ctrl+F atau Cmd+F) dan cari:

src="http:

(Dengan kutipan ganda)

src='http:

(Dengan kutipan tunggal)

Dengan metode ini, Anda mencari gambar, iframe, skrip, dan aset lain secara manual yang disajikan melalui HTTP, bukan HTTPS. Jika Anda tidak menemukannya dengan kutipan ganda dan tunggal, Anda dapat beralih ke halaman HTTPS lain dan mengulangi latihan yang sama saat Anda mencari melalui sumber tampilan.

2. Gunakan plugin

Anda dapat menggunakan salah satu plugin yang tersedia untuk melihat sumber dan menemukan konten non-HTTP dari halaman sebagai berikut:

  • WordPress HTTPS (SSL) (juga disebutkan di atas)
  • Tes HTTPS WordPress
  • Pemecah Konten Tidak Aman SSL

Menjelajahi situs Anda melalui HTTPS dengan menggunakan salah satu plugin ini saat aktif, plugin menampilkan pemberitahuan aset HTTP. Berhati-hatilah untuk tidak membiarkan plugin aktif saat Anda tidak menguji karena beberapa plugin hanya akan ditampilkan kepada administrator sementara yang lain menampilkan peringatan kepada semua pengunjung.

3. Menggunakan Situs Web pihak ketiga untuk Menguji Aset Tidak Aman

Anda dapat menggunakan situs web pihak ketiga untuk menguji aset tidak aman dengan menempelkan URL halaman Anda ke situs web pihak ketiga dan membiarkannya mengujinya untuk Anda.

Contoh yang baik dari situs pihak ketiga tersebut adalah ''Mengapa Tidak Ada Gembok?'' Mengapa Tidak Ada Gembok adalah situs pengujian gratis yang menyediakan daftar semua item yang dimuat secara tidak aman. Anda harus memperbaiki semua X merah di tema atau plugin Anda dan kemudian klik tombol “Test URL Again” untuk menghilangkan X merah sepenuhnya.

4. Gunakan Google untuk memeriksa situs web Anda

Menggunakan Google adalah salah satu metode terbaik karena cepat, mudah, dan dapat digunakan di halaman mana pun yang dapat Anda akses. Inspektur Google Chrome memiliki tab Konsol. Jika halaman HTTPS menampilkan warna kuning atau merah di bilah alamat seperti yang Anda lihat di kolom ke-2 dan ke-3 di bawah, lanjutkan dan buka Konsol untuk mengetahui aset tidak aman.

Inspeksi Google

Cara Memperbaiki Aset yang Tidak Aman

Jika Anda memutuskan untuk mempertahankan tema atau plugin, maka Anda dapat memperbaikinya dengan menggunakan metode berikut.

  1. Hubungi pengembang plugin dan laporkan kesalahannya. Pastikan untuk menonaktifkan plugin.
  2. Anda dapat memodifikasi beberapa file dengan bantuan pengembang atau memperbaiki masalah
  3. Mengubah tema situs web terbukti bermanfaat
  4. Anda juga dapat mencoba memodifikasi file tema yang saat ini diinstal.

Mengubah Aset dari HTTP ke HTTPS

Setelah menemukan aset yang melanggar, Anda dapat mengubahnya untuk mematuhi protokol atau mengubahnya agar selalu dilayani oleh HTTPS sebagai berikut:

1: Gunakan URL Relatif

Jika aset dikodekan ke dalam tema atau plugin, Anda dapat mengubahnya ke '//site.com/assets/logo.png,' dari 'http: //site.com/assets/logo.png.'

Perbaikannya ideal saat menyertakan aset dari server lain seperti Skrip API, iframe, atau skrip Google.

2: Penggunaan Standar Pengkodean WordPress yang Tepat

Akhirnya, beberapa kesalahan yang membandel tidak dapat diselesaikan dengan menggunakan URL relatif. Metode berikut dapat mengatasi kesalahan:

  • home_url() dan fungsi terkait
  • is_ssl()
  • Referensi Fungsi WordPress (hindari yang berwarna merah karena sudah usang)
  • Taksi WP_DEBUG juga bisa membantu