Hướng dẫn sửa lỗi mixed content trong WordPress

  • Home / Security / Hướng dẫn sửa…
Auto Draft

Hướng dẫn sửa lỗi mixed content trong WordPress

Nếu bạn gặp phải cảnh báo mixed content trên trang WordPress của mình thì đừng bỏ qua nó nhé. Cảnh báo này cho biết cấu hình website có gì đó chưa đúng, kể cả sau khi bạn đã cài đặt SSL thành công. Lỗi này có thể dẫn đến vấn đề nghiêm trọng hơn nếu nó không được giải quyết. Nhưng may mắn là bạn có thể khắc phục các cảnh báo mixed content này khá dễ dàng.

Trong bài viết này, chúng ta sẽ tìm hiểu cảnh báo mixed content là gì, tại sao nó quan trọng và cách khắc phục dễ dàng.

Mixed content là gì?

Lỗi mixed content là lỗi trình duyệt cảnh báo trang web này không thể cung cấp kết nối an toàn hoàn hảo. Nguyên do có thể do là đường dẫn chính của trang web chạy trên HTTPS nhưng một thành phần nào đó của website (hình ảnh, videos, liên kết,v.v..) lại chỉ dùng kết nối HTTP thay vì HTTPS.

Để HTTPS chạy được và hiện khóa an toàn, mọi thành phần của website cần chạy được dưới chuẩn HTTPS.

Tùy vào trình duyệt, bạn sẽ thấy thông tin cảnh báo mixed content khác nhau.

Dấu hiệu nhận biết lỗi mixed content trên Firefox là biểu tượng tam giác vàng, với mã lỗi: Parts of this page are not secured (such as images) như hình bên dưới:

cảnh báo Mixed Content trong Chrome

Dấu hiệu nhận biết lỗi mixed content trên Chrome là chữ biểu tưởng cảnh báo chữ i với mã lỗi: Your connection to this site is not fully secure như hình bên dưới:

cảnh báo Mixed Content trong Chrome

Nói ngắn gọn, cảnh báo này là thông báo trang web này không thể cung cấp kết nối an toàn. Đa phần các trường hợp, cảnh báo xuất hiện sau khi chuyển website từ HTTP sang HTTPS.

Bạn chuyển website từ HTTP sang HTTPS với mong muốn tạo kết nối an toàn hơn.

Nhưng nếu không làm đúng, WordPress sẽ không tải tất cả tài nguyên qua kết nối HTTPS. Kết quả là trình duyệt đưa ra cảnh báo mixed content.

Các trường hợp báo lỗi mixed content

Thông thường có 3 trường hợp xuất hiện cảnh báo mixed content :

  • Khi lập trình viên sử dụng link HTTP để code theme hay plugin – họ dùng đường dẫn tuyệt đối thay vì đường dẫn tương đối.
  • Khi bạn link đến tài nguyên mà chưa kích hoạt HTTPS.
  • Khi bạn gọi những tài nguyên mà lại sử dụng giao thức HTTP.

Nhưng tại sao bạn cần sử dụng HTTPS qua HTTP? Nếu bạn chưa biết thì nó dùng để tăng tính bảo mật.

HTTPS là viết tắt của Hyper Text Transfer Protocol Secure, nghĩa là tất cả dữ liệu được truyền sẽ được mã hóa để bảo mật. Với mã hóa này, bất kỳ ai không có quyền với dữ liệu đều không thể đọc được dữ liệu. Tất cả các thông tin nhạy cảm như thông tin thẻ tín dụng sẽ được bảo vệ.

Nếu trang web WordPress của bạn được bảo vệ SSL – bằng cách sử dụng HTTPS – bạn sẽ thấy hình ô khóa an toàn trên thanh địa chỉ. Bạn có thể nhấp vào để xem chi tiết về chứng nhận SSL.

kết nối HTTPS đã được thiết lập với hình ổ khóa

Tại sao không nên bỏ qua cảnh báo mixed content?

Lỗi mixed content còn tồn tại chừng nào, trang web của bạn có thể không an toàn chừng đó. Đó là lý do tại sao bạn phải khắc phục càng sớm càng tốt.

Bảo mật

Ngày nay, bảo mật không phải là tùy chọn.

Trên thực tế, nó là một trong những ưu tiên hàng đầu khi quản lý các trang web WordPress. Nếu bạn sử dụng kết nối HTTPS an toàn, bạn sẽ giảm thiểu rủi ro sẽ gây ảnh hưởng đến khách truy cập.

Kết nối không an toàn có thể khiến khách hàng ngại thực hiện giao dịch tài chính trên trang web. Vì vậy, nếu bạn điều hành doanh nghiệp online, hãy đảm bảo khách hàng không gặp phải cảnh báo này trước khi mua hàng.

Yếu tố ảnh hưởng đến SEO

SEO là yếu tố quan trọng cho mọi trang web để thu hút khách truy cập tự nhiên.

Google đã chính thức xác nhận HTTPS là yếu tố xếp hạng SERP chính. Mixed content có thể ảnh hưởng đến tốc độ tải trang web. Hãy nhớ tốc độ là yếu tố ảnh hưởng đến SEO. Do đó, bỏ qua cảnh báo mixed content sẽ cản trở nỗ lực SEO của bạn.

Độ tin cậy

Nội dung không an toàn hiển thị trên trình duyệt có thể tổn hại đến danh tiếng công ty bạn. Cảnh báo có thể tạo ra trải nghiệm người dùng không tốt và cản trở bạn xây dựng niềm tin với khách hàng.

Vì vậy, nếu bạn có nội dung hay, nhiều thông tin nhưng gặp vấn đề về bảo mật, khách truy cập sẽ rời đi nhanh chóng lúc họ vừa đến.

Các loại Mixed Content

Có hai loại mixed content:

  • Mixed Content chủ động – được gọi là mixed scripting. Mixed content này tải trang web trong kết nối HTTPS nhưng script lại tải qua kết nối HTTP. Bạn nên chú ý vào loại mixed content này nhiều nhất. Nó thu hút những kẻ tấn công vì chúng có thể chặn kết nối và lợi dụng để đánh cắp dữ liệu hoặc tiêm phần mềm độc hại.
  • Mixed Content thụ động – xảy ra nếu files audio, video hoặc hình ảnh được tải qua HTTP thay vì HTTPS.

Xác định HTTP Assets được tải trên trang HTTPS

Trước khi vào phần khắc phục lỗi, bạn cần xác định vấn đề.

Điều đầu tiên là bạn cần chắc chắn đã có chứng chỉ SSL cho trang web của mình chưa. Nếu không có, bạn có thể lấy từ TINET.VN với giá rất rẻ.

Bây giờ, hãy tiếp tục xác định các lỗi https mixed content này bằng 3 phương pháp khác nhau: bằng plugin, web thử nghiệm online inspect element.

Sử dụng Plugins

Bạn có thể cài đặt plugin để xác định yếu tố của HTTP trước khi tiến hành sửa chữa.

WordPress HTTPS SSL Plugin

WordPress HTTPS (SSL) là một trong những plugin xử lý tác vụ này tốt nhất. Sau khi cài đặt và kích hoạt plugin, bạn có thể truy cập trang cài đặt HTTPS trong dashboard. Ở đó bạn sẽ có những tùy chọn để:

  • Nhập tất cả URLs an toàn vào SSL Host
  • Kích hoạt SSL
  • Bảo mật bài viết và trang theo cá nhân

Sử dụng web kiểm tra online

Bạn cũng có thể sử dụng WhyNoPadLock. Web thử nghiệm online này đã giúp hơn 5 triệu trang web quản lý bảo mật.

Bạn cần nhập URL vào và bắt đầu kiểm tra trang. Nếu có vấn đề, bạn sẽ thấy thông tin xuất ra tương tự như thế này.

Mixed Content tìm thấy trên site WordPress

Nhưng nếu bạn thấy dấu tick màu xanh lá, nghĩa là trang web đã được cấu hình tốt.

không tìm thấy lỗi Mixed Content Found trong Whynopadlock

Ngoài ra, bạn có thể thử HTTPS checker. Công cụ tốt này có phiên bản online và cho máy tính. Nó sẽ giúp bạn kiểm tra mọi mixed content theo cách chủ động hoặc thụ động, những chuyển hướng và liên kết không an toàn, và trạng thái chứng chỉ SSL của trang web.

HTTPS Checker để tìm lỗi mixed content

Sử dụng Inspect Element

Cách thứ ba là lời khuyên của chúng tôi.

Nếu bạn sử dụng Google Chrome làm trình duyệt chính, bạn có thể sử dụng công cụ kiểm tra phần tử bằng cách nhấp chuột phải vào trang sau đó nhấp vào Inspect -> Console.

Về cơ bản, bạn không cần tìm lỗi https thủ công, vì công cụ này sẽ cung cấp danh sách lỗi cần phải sửa. Nhưng, hãy nhớ với cách này, bạn sẽ phải kiểm tra vấn đề của trang trên mỗi trang.

Nếu bạn muốn kiểm tra nhiều vấn đề, bạn có thể sử dụng Ahrefs audit tool. Công cụ này sẽ giúp bạn kiểm tra links và tài nguyên gây sự cố. Trên thực tế, công cụ này có thể kiểm tra trang web kỹ hơn bên cạnh việc chỉ xác định mixed content.

Cách sửa lỗi Mixed Content

Sau khi xác định được sự cố, cài SSL xong rồi mà trên trình duyệt lại hiện lỗi, không hiện biểu tượng khóa an toàn. Thì giờ là lúc khắc phục mixed content trên web WordPress.

Với những vấn đề đã được xác định, cách dễ nhất là thay đổi từ HTTP sang HTTPS. Để làm được, bạn có thể truy cập dashboard của WordPress, Settings -> General. Sau đó, thay đổi cả WordPress Address (URL) Site Address (URL).

sửa lỗi Mixed Content WordPress từ General Settings

Nhưng cách này sẽ tốn thời gian nếu bạn phải khắc phục sự cố trên cả trang web thủ công.

Bạn có thể cài đặt SSL Insecure Content Fixer để xác định sự cố dễ dàng.

Sau khi cài đặt và kích hoạt, hãy truy cập trang Settings. Bạn có thể chọn một trong năm mức khắc phục:

  • Simple – đây là cài đặt mặc định. Với cách này, plugin sẽ sửa file scripts và stylesheets đã đăng ký cùng hình ảnh hoặc các phương tiện khác. Mặc dù đơn giản nhưng nó không thể khắc phục mọi hình ảnh hoặc iframes đã được hard code thành HTML.
  • Content – cấp độ này sẽ sửa lỗi đơn giản cộng với dọn sạch frames và media được nhúng trong content và widget.
  • Widgets – tùy chọn này thêm chức năng để dọn sạch tất cả widgets chứ không chỉ văn bản trên widget.
  • Capture – với cấp độ này, bạn sẽ nhận các bản sửa lỗi hoàn chỉnh bao gồm scripts, stylesheets và media được nhúng trên trang WordPress.
  • Capture All – cấp độ này là cấp cao nhất cũng bao gồm yêu cầu AJAX. Mặc dù cấp độ này mạnh mẽ nhưng bạn phải sử dụng cẩn thận vì có thể gây xung đột nghiêm trọng.

Lời khuyên của chúng tôi là hãy khởi đầu với tùy chọn mặc định và dần dần chuyển sang các cấp độ tiếp theo nếu bạn muốn thực hiện sửa lỗi nâng cao hơn.

Lời kết

Bỏ qua cảnh báo mixed content không phải là ý hay. Vì nó hiện cảnh báo trên trình duyệt của mọi khách truy cập, và thực sự kết nối vẫn chưa hoàn toàn bảo mật. Nó sẽ khiến liên kết bảo mật trang web yếu đi, vì vậy chúng tôi rất khuyến khích bạn hành động ngay lập tức.

Chúng ta đã thấy khắc phục cảnh báo mixed content trong WordPress không khó như chúng ta tưởng. Bạn có thể thoải mái dùng cách bạn thích. Nhưng, đôi khi, bạn cần phải thực hiện xử lý sự cố nâng cao hơn trong một số ít trường hợp.

Chúc bạn khắc phục vui vẻ và có thể giữ cho trang WordPress an toàn! Nếu có cách hay hơn để sửa lỗi mixed content, hay bạn đang gặp khó khăn sửa lỗi, hãy để lại bình luận ngay nhé.

Write a Comment