Содержание:
- Смешанный контент – что это такое
- Чем опасен смешанный http контент
- Как смешанный контент сайта на HTTPS влияет на SEO
- Как обнаружить смешанный (mixed) контент
- Как убрать ошибку смешанного контента
- Смешанный контент и HTTPS – частые вопросы
- Зачем переводить сайт на HTTPS
- Как обзавестись сертификатом SSL
Поведенческие факторы – один основных критериев, определяющих позиции веб-сайта в органической выдаче.
Смешанный контент может влиять на поведение пользователя на сайте, ухудшая позиции в результатах поиска.
Внимание поисковиков к поведенческим факторам понятно – на них сложнее повлиять при помощи оптимизации.
Однако в случае с Mixed Content ситуацию легко скорректировать, повысив ранжирование сайта. Для начала нужно разобраться, что такое смешанный контент и как такое содержимое может влиять на поведение посетителя.
Затем остается лишь решить практические вопросы:
- проверить web-сайт на присутствие смешанного содержимого;
- повысить позиции ресурса в выдаче поисковика, устранив mixed content.
Смешанный контент – что это такое
Сегодня большинство интернет-сайтов использует для передачи данных расширенную версию протокола HTTP – HTTPS. Сайты, использовавшие протокол HTTP, активно переводятся на защищенную версию HTTPS чтобы:
- соответствовать требованиям по безопасности данных;
- сохранить трафик и позиции в органической выдаче.
Однако для корректного перехода на защищенный протокол недостаточно получить сертификат SSL и переехать на новый домен с HTTPS вместо HTTP. Необходимо также убрать смешанный контент. Начать стоит с того, что это вообще такое. Большая часть свежепереведенных на HTTPS сайтов включают страницы со встроенными по протоколу HTTP элементами.
О каких элементах идет речь? Это может быть пассивное (passive или display) содержимое, изменяющее внешний вид страницы, но не влияющее на работу сайта:
Большую опасность для пользователя и репутации ресурсапредставляет активное (active) смешанное содержимое:
- Java-скрипты, подключаемые с помощью тега <script>;
- источники-файлы, выбранные для отображения внутри тега <object>;
- источники-страницы для показа во фреймах <iframe>;
- исходящие ссылки <link>;
- подключаемые файлы таблиц каскадных стилей (CSS).
Фрагмент кода страницы, содержащей active mixed контент. Итак, вот как выглядит java-script, неправильно вcтроенный в страницу:
Вот образец правильного кода для того же скрипта.
Чем опасен смешанный http контент
Наличие встроенных элементов, загружаемых по HTTP, делает сайт уязвимым. «Брешь» в защите позволяет третьим лицам:
- изменять внешний вид страниц – если речь идет о пассивном содержимом. Злоумышленники могут намеренно заменить, к примеру, фон страницы на «неподходящее» изображение;
- получать доступ к имени, паролю и личным данным, перенаправить посетителя на поддельный сайт или инсталлировать в операционную систему пользователя условно-безопасные или вредоносные программы.
Если безопасность сайта обеспечена протоколом HTTPS, но часть контента, подгружается по HTTP, соединение становится частично защищенным – несмотря на наличие сертификата SSL.
Как смешанный контент сайта на HTTPS влияет на SEO
Обнаружив при загрузке уязвимое содержимое, браузер отображает сообщение о блокировке контента и возможной угрозе безопасности. Разные web-обозреватели делают это по-разному, но суть одинакова: пользователь получает предупреждение о:
- смешанном контенте;
- частичной/полной блокировке содержимого;
- возможном риске при вводе личных данных (в том числе номеров банковских карт).
В результате полноценный просмотр страницы становится невозможным.
В Google Chrome при загрузке HTTPS сайта с mixed content в адресной строке появляется знак восклицания и пометка «Не защищено». Пример такого сообщения показан ниже:
Если посетитель разблокирует содержимое и попытается ввести личные данные, браузер попытается еще раз привлечь внимание к потенциальной опасности – предупреждение в адресной строке станет «красным». Это значит, что браузер считает сайт уже «незащищенным или опасным».
Ухудшение поведенческих факторов приведет к потере позиций в «органике» и негативно скажется на конверсии.
В результате у сертифицированного сайта нет «зеленого замка», говорящего о безопасности соединения, а значит – высок риск того, что пользователь покинет страницу. Если речь идет о коммерческом сайте, становится невозможным ознакомление с рекламой или заказ товара (услуги).
Ухудшение поведенческих факторов приведет к потере позиций в «органике» и негативно скажется на конверсии.
Следует учесть и то, что вскоре браузеры будут блокировать по умолчанию любой активный или пассивный контент, недоступный по HTTPS.
Как обнаружить смешанный (mixed) контент
Есть несколько способов обнаружить незащищенное содержимое. Проще всего воспользоваться инструментами разработчика, встроенными в браузер.
Для примера можно привести алгоритм использования режима разработчика в Google Chrome.
Ошибка смешанного содержимого, показанная выше, будет выглядеть так:
Как убрать ошибку смешанного контента
С внутренними относительными ссылками, протокол которых не прописан в коде страницы, проблем не возникнет – они изменятся автоматически. Работать придется с внешними и абсолютными ссылками.
Для решения проблемы уязвимого контента достаточно:
- Убедиться, что все подключаемые элементы доступны по HTTPS. При необходимости нужно перенести нужные файлы, заменить или убрать содержимое, создающее угрозу безопасности.
- Заменить HTTP на HTTPS у всех внутренних ссылок «проблемных» страниц.
Дополнительные сложности могут возникнуть со ссылками, используемыми в скриптах или файлах стилей. Для таких случаев понадобятся специальные плагины, позволяющие убирать смешанный контент в пакетном режиме. Перед использованием программных средств рекомендуется заранее создать резервную копию сайта.
Смешанный контент и HTTPS – частые вопросы
Зачем переводить сайт на HTTPS
Переход на защищенный протокол стимулируют браузеры и поисковые системы. Используя шифрование данных для безопасности соединения сайт получает:
- улучшение поведенческих факторов – пользователи не уходят со страниц из-за уведомления о потенциальной угрозе или невозможности просмотреть содержимое;
- рост конверсии – становится возможным заказ услуг или товаров, в том числе с онлайн-оплатой;
- более высокие позиции в выдаче – использование HTTPS само по себе является одним из факторов ранжирования.
Сейчас браузеры и поисковики переходят к блокировке любых ресурсов, погружаемых по HTTP. Смешанный контент HTTPS сайтов заменяется на доступный через шифрованное соединение либо блокируется. Число сайтов, работающих по HTTP, уменьшается с каждым днем. Если раньше первая десятка выдачи включала до 50% HTTP-адресов, то сейчас «львиную долю» составляют ресурсы, использующие HTTPS – тенденцию иллюстрирует диаграмма ниже.
Как можно заметить, в течение одного месяца доля сайтов HTTPS:
- в ТОП-10 и ТОП-20 осталась неизменно высокой – около 90%;
- в ТОП-50 и ТОП-100 возросла на 5–10 %.
Как обзавестись сертификатом SSL
SSL-сертификат (цифровая подпись) необходим для шифрования и безопасной передачи данных, а также для подтверждения подлинности web-ресурса.
Сертификат можно заказать за деньги в центрах сертификации. Однако есть возможность получить его бесплатно с помощью:
- некоммерческой организации Let’s Encrypt – сертификат выдается на три месяца, затем обновляется в автоматическом режиме;
- CDN-сервиса
Общий алгоритм получения сертификата от CloudFlare выглядит так:
- Зарегистрироваться на cloudflare.com.
2. Ввести имя домена в форму сервиса. При этом потребуется указать IP-адрес хостинга, на котором располагается сайт.
3. Заменить имеющиеся DN-записи на новые name-серверы, выданные сервисом. Новые DNS-серверы нужно вводить в личном кабинете сайта, на котором зарегистрировано доменное имя.
4. Вернуться на cloudflare.com и дождаться, пока новое доменное имя станет активным.
5. Включить и настроить HTTPS для домена на cloudflare.com.
В настройках шифрования доступен пункт «Automatic HTTPS Rewrites». В этом режиме (при нажатии кнопки «On») сервис может самостоятельно исправить HTTP-ссылки. Однако настройка «работает» только для контента, который доступен по HTTPS.
Теперь в адресной строке при открытии сайта появится «зеленый замочек», а адрес будет начинаться с HTTPS.
Для примера можно привести окно ввода IP-адреса на cloudflare.com (этап 2) для wixfy.com:
Если все этапы получения и настройки сертификата проведены корректно, сайт начнет работать, используя безопасное соединение
Смешанное содержимое – резюме
Проблемы при загрузке (вплоть до полной блокировки содержимого) возникают, когда на сайте:
- используется безопасный протокол HTTPS;
- присутствует содержимое, загружаемое по уязвимому протоколу HTTP.
Браузер реагирует на ошибку:
- блокируя контент (пользователю доступна настройка разблокировки);
- выводя сообщение о риске безопасности – при попытке пользователя разблокировать содержимое вручную;
- помечая сайт как «незащищенный» или «незащищенный/опасный».
Часто посетитель сразу уходит со страницы, не просмотрев содержимое. Вероятность того, что пользователь заполнит форму заказа, а тем более, оплатит его онлайн, так же уменьшается. Итог – ухудшаются поведенческие факторы и конверсия.
Проверить страницу на наличие mixed content можно в любом браузере при помощи средств разработчика. В числе содержимого могут оказаться фото-и видеоматериалы, шрифты, объекты, фреймы, скрипты, активные ссылки.
Устранение уязвимого содержимого – это решение текущих проблем с поведенческими факторами и ранжированием, а также страховка от блокировки незащищенного ресурса в ближайшем будущем.