Skanuje HTTPS pod mixed content — obrazki/skrypty HTTP psują kłódkę.
| Tag | Atrybut | URL |
|---|---|---|
|
http:// |
http:// na https:// (lub na protokół-agnostyczne //domain/). Jeśli zasób nie jest dostępny przez HTTPS — znajdź alternatywę lub usuń.Wszystkie zasoby (obrazy, skrypty, style) są ładowane przez HTTPS. Kłódka w pasku adresu pozostanie zamknięta, przeglądarki nie będą pokazywać ostrzeżeń.
Mixed content (mieszana treść) to sytuacja, w której strona ładowana przez HTTPS ściąga niektóre zasoby — obrazy, skrypty, style, iframe'y — przez nieszyfrowany HTTP. Nawet jeden taki zasób wyłącza zielony status bezpieczeństwa w przeglądarce, a w przypadku aktywnej zawartości (skrypty, style) — przeglądarka całkowicie blokuje ładowanie, co często łamie funkcje strony.
Chrome/Firefox pokazują "Nie w pełni bezpieczna" zamiast zielonej kłódki.
Active mixed content (JS, CSS) jest blokowany — strona może przestać działać.
Atak Man-in-the-Middle może podmienić niezabezpieczone zasoby (np. wstrzyknąć malware).
Google promuje strony w pełni HTTPS i karze te z mixed content.
Fetchujemy podany URL przez HTTPS (tak jak przeglądarka). Obsługujemy redirects. Weryfikujemy certyfikat SSL.
Analizujemy tagi <img>, <script>, <link>, <iframe>, <video>, <form> oraz CSS url().
Listujemy wszystkie znalezione http:// z dokładnym tagiem, atrybutem i URL-em.
Przeglądarki traktują różne typy zasobów różnie — niektóre po prostu wyświetlą ostrzeżenie, inne całkowicie zablokują.
Zasoby które mogą zmienić zachowanie strony. Chrome, Firefox i Edge automatycznie blokują je gdy strona jest HTTPS — dlatego złamanie takiego zasobu zwykle łamie całą funkcję.
<script src="http://..."><link rel="stylesheet" href="http://..."><iframe src="http://...">Zasoby wyświetlające treść, ale nie wykonujące kodu. Nie są blokowane (wyświetlają się), ale wyłączają kłódkę w pasku przeglądarki i mogą być manipulowane przez MITM.
<img src="http://..."><video src="http://..."><audio src="http://...">@font-face url(http://...)Najpopularniejsze rozwiązania dla WP: plugin Really Simple SSL (automatycznie przepisuje URLe) lub Better Search Replace (ręczna zamiana http://twojadomena na https://twojadomena w bazie danych). Po migracji ważne jest sprawdzenie wszystkich linków w content i treści widgetów.
Tak, nasz tester skanuje jedną stronę na raz. Dla audytu całego serwisu polecamy uruchomić skan na najważniejszych podstronach (home, sklep, blog, kontakt, koszyk). Jeśli wszędzie jest czysto — prawdopodobnie cała witryna jest OK. Dla pełnego crawla całej domeny użyj narzędzi jak httrack lub screaming-frog.
Nie — analizujemy statyczny HTML. Zasoby dodawane po stronie klienta przez JavaScript (np. document.createElement('img').src = 'http://...') nie zostaną wykryte. Dla pełnej analizy z rendered DOM otwórz stronę w Chrome, F12 → Console — tam zobaczysz wszystkie ostrzeżenia mixed content w czasie rzeczywistym.
Praktycznie wszystkie duże CDN-y (Cloudflare, Cloudfront, jsDelivr, unpkg, Google Fonts) wspierają HTTPS od lat. Jeśli używasz starszego CDN bez HTTPS — czas migrować. Najszybsze rozwiązanie: skopiuj zasób na swój serwer (jeśli licencja pozwala) i serwuj lokalnie.
Otwórz stronę → F12 → zakładka Issues (Chrome) lub Console. Chrome loguje wszystkie mixed content jako warning. Alternatywnie użyj komendy csp-evaluator.withgoogle.com lub zainstaluj rozszerzenie "HTTPS Everywhere".
Tak, najskuteczniej. Dodaj do headerów serwera Content-Security-Policy: upgrade-insecure-requests — przeglądarka automatycznie zamieni wszystkie http:// na https:// w locie. To działa bez zmian w kodzie strony.
Niezbędne cookies są zawsze włączone. Dodatkowo używamy cookies analitycznych (Google Analytics) i marketingowych — ale tylko za Twoją zgodą. Szczegóły w Polityce cookies.