Enkripsi situs web merupakan hal yang wajib dilakukan di Internet saat ini. Jika Anda tidak mengenkripsi situs Anda, peramban akan menandainya sebagai tidak aman. Anda bisa saja memiliki konten paling orisinil di web, tetapi tanpa SSL, pengunjung Anda akan melihat peringatan keamanan yang tidak menyenangkan.
Sertifikat SSL telah menjadi sangat penting untuk membangun situs web, tetapi mengelolanya tetap menjadi tantangan bagi pengguna yang kurang paham teknologi. Pemasangan sertifikat komersial mungkin menimbulkan beberapa rintangan bagi mereka yang belum berpengalaman, dan tidak ada yang bisa menyalahkan mereka.
Hampir semua server dan klien email memiliki instruksi khusus tentang cara mengelola SSL, dan jika Anda tidak terbiasa dengan dasbor atau baris perintah mereka, mengunggah sertifikat Anda dalam urutan yang benar mungkin rumit.
Yang lebih menjengkelkan lagi, adalah kesalahan koneksi SSL yang terjadi setelah Anda menginstal sertifikat. Salah satu masalah SSL yang paling umum adalah kesalahan konten campuran. Pada artikel ini, kita akan membahas apa itu konten campuran dan bagaimana cara memperbaikinya secara manual, atau dengan bantuan alat SSL. Mari kita mulai!
Apa yang dimaksud dengan konten campuran?
Konten campuran muncul di situs ketika HTML awal dimuat melalui koneksi HTTPS yang dienkripsi, tetapi sumber daya lain seperti video, gambar, skrip, stylesheet dimuat melalui koneksi HTTP yang tidak dienkripsi. Ketika permintaan HTTP dan HTTPS terjadi pada halaman yang sama, browser dapat memblokir konten atau menampilkan peringatan keamanan untuk memperingatkan pengguna bahwa halaman tersebut mengandung sumber daya yang tidak aman.
Ada dua jenis konten campuran: pasif dan aktif.
1. Konten campuran pasif
Konten campuran pasif berlaku untuk semua sumber daya yang tidak berinteraksi secara langsung dengan halaman Anda. Ini bisa berupa gambar, video, atau file audio Anda. Jika peretas menggunakan serangan man-in-the-middle dan mencegat permintaan HTTP Anda, mereka dapat mengubah gambar Anda, mengganti produk dengan konten atau iklan yang menyinggung, atau menukar tombol simpan dan hapus, sehingga menyebabkan pengguna melakukan tindakan yang tidak diinginkan.
Meskipun penyerang tidak mengubah konten Anda, mereka masih dapat melacak pengguna Anda dan tindakan mereka menggunakan permintaan konten campuran. Para penyerang dapat melihat halaman dan produk yang dikunjungi pengguna berdasarkan sumber daya tidak aman yang dimuat oleh peramban. Berikut ini beberapa contoh melewatkan konten campuran.
2. Konten campuran aktif
Konten campuran aktif bahkan lebih berbahaya daripada konten campuran pasif karena berinteraksi dengan halaman secara keseluruhan dan memberikan kebebasan kepada penyerang untuk melakukan apa pun dengannya. Konten campuran aktif termasuk stylesheet, skrip, sumber daya flash, dan kode lain yang dimuat browser. Jika penyerang mencegat konten campuran yang aktif, mereka akan mendapatkan akses dan kendali penuh atas situs web Anda. Skenario terburuknya, mereka akan mencuri kredensial dan kata sandi login pengguna, atau mengarahkan mereka ke situs yang berbeda. Karena parahnya ancaman konten campuran yang aktif, banyak peramban yang memblokirnya secara default untuk melindungi pengguna. Tetapi penting untuk diingat bahwa pengunjung Anda mungkin menggunakan versi peramban yang lebih lama atau peramban yang tidak memblokir konten campuran yang aktif sama sekali.
Orang-orang dari PULNO, sebuah layanan audit SEO dan analisis situs web, memeriksa lebih dari 37 juta halaman dan menemukan lebih dari 2 juta halaman memiliki sumber daya yang tidak dapat dimuat melalui HTTPS. Dari semua host yang dianalisis, 4,9% memiliki konten campuran. Di antara mereka, 66,5% mengalami masalah dengan gambar, dan 17,1% mengalami masalah dengan elemen JavaScript.
Seperti yang Anda lihat, langkah selanjutnya setelah instalasi SSL adalah memastikan semua gambar dan kode Anda dimuat melalui HTTPS. Sayangnya, banyak webmaster yang mengabaikan aspek ini dan akhirnya mengejar kesalahan yang beragam, dan kehilangan pengunjung karena kalah bersaing. Di bawah ini kami akan menunjukkan cara untuk memperbaiki konten campuran sesegera mungkin agar situs web Anda tetap dapat dilihat oleh semua orang.
Bagaimana cara memperbaiki konten campuran secara manual?
Hal pertama yang harus Anda lakukan jika menemukan pesan Not Secure di browser adalah memeriksa kemungkinan adanya konten campuran.
Berikut cara melakukannya di Chrome:
- Klik kanan di mana saja pada halaman yang tidak dimuat melalui HTTPS
- Dari opsi, pilih Periksa Elemen
- Dari tab yang tersedia, pilih Konsol
Jika Anda memiliki konten campuran di situs Anda, Konsol akan menampilkan peringatan konten campuran dan menunjukkan lokasi file HTTP. Konten campuran pasif akan muncul di sebelah peringatan kuning, konten campuran aktif di sebelah merah.
Jika hanya beberapa URL yang terdaftar dalam kesalahan dan peringatan ini, Anda dapat memperbaikinya secara manual dalam tiga langkah cepat:
Langkah 1
Pastikan bahwa URL tersedia melalui HTTPS. Buka tab baru di browser Anda dan masukkan URL pada bilah alamat dengan mengubah http:// menjadi https://.
Jika gambar dimuat tanpa kesalahan pada HTTP dan HTTPS, bagus! Lanjut ke langkah berikutnya.
Catatan: Jika muncul peringatan sertifikat, berarti gambar tidak tersedia dengan aman. Hal ini bisa terjadi pada gambar yang dihosting pada layanan eksternal. Dalam skenario ini, Anda bisa mengunduh gambar dan mengunggahnya ke host Anda jika Anda diizinkan secara hukum, atau menghapusnya sama sekali dari situs Anda. Sebagai aturan praktis, Anda harus selalu menghosting gambar Anda di server Anda. Dengan cara ini, Anda akan memiliki kendali penuh atas mereka.
Langkah 2
Ubah URL dari http:// ke https:/, simpan file sumber dan sebarkan ulang file yang telah diperbarui jika perlu.
Langkah 3
Buka halaman tempat Anda menemukan kesalahan konten campuran dan periksa kembali apakah kesalahan tidak lagi muncul.
Bagaimana cara memperbaiki konten campuran secara otomatis?
Mengganti beberapa tautan itu mudah, tetapi apa yang harus dilakukan jika Anda memiliki lusinan atau bahkan ratusan tautan dengan konten campuran. Apakah ada cara untuk memperbaikinya secara otomatis? Tentu saja. Sebagian besar sistem CMS seharusnya memiliki plugin yang siap membantu Anda dengan masalah ini. WordPress misalnya, tidak kekurangan pilihan, dengan plugin Really Simple SSL menjadi pilihan populer.
Jika Anda adalah pengguna yang lebih mahir, Anda bisa menggunakan skrip praktis ini untuk mencari basis data Anda dan mengganti URL HTTP secara massal. Anda memerlukan akses FTP untuk mengunggah skrip. Harap berhati-hati karena dapat merusak situs Anda jika tidak dilakukan dengan benar.
Ikuti petunjuk keselamatan ini saat menggunakan skrip:
- Ganti nama folder root skrip agar peretas tidak mudah menemukannya
- Cadangkan situs dan basis data Anda sebelum menggunakan
- Selalu periksa ulang teks dan lakukan Dry Run (latihan) sebelum Live Run
- Hapus skrip setelah melakukan tugasnya
Bagaimana cara mendeteksi dan mencegah konten campuran?
Setelah Anda mengaktifkan HTTP, Anda harus memeriksa sertifikat SSL Anda dari kesalahan dan kerentanan. Banyak peralatan yang dapat memindai situs web Anda dan mendeteksi potensi kesalahan koneksi SSL, termasuk konten campuran.
JitBit Scanner adalah alat gratis yang merayapi seluruh situs web Anda dan mencari sumber daya yang tidak aman. Harap diperhatikan, bahwa Anda hanya dapat memindai hingga 400 halaman dengan alat ini.
Opsi alternatifnya adalah Pemindaian Konten Campuran, Skrip CLI (antarmuka baris perintah) yang merayapi dan memindai situs web berkemampuan HTTPS untuk konten campuran.
Cara lain untuk memperbaiki konten campuran secara otomatis adalah dengan perintah upgrade-insecure-request CSP (kebijakan keamanan konten). Arahan ini memberi tahu browser untuk meng-upgrade URL yang tidak aman sebelum membuat permintaan jaringan.
Anda dapat mengaktifkan perilaku ini dengan menambahkan potongan kode meta tag berikut ini ke bagian HTML dokumen.
Harap diingat bahwa jika sumber daya HTTP tidak tersedia melalui koneksi yang aman, browser akan gagal meningkatkan dan memuatnya. Namun, pengunjung masih dapat mengakses halaman Anda.
Pikiran Akhir
Menjaga keamanan situs Anda sangat penting dalam lanskap online saat ini. Dengan enkripsi web yang melampaui angka 90% di seluruh layanan Google dan Firefox, pengguna akan langsung mengenali dan mempertanyakan situs web yang tidak aman. Anda tentu tidak ingin situs web Anda menciptakan kesan yang salah karena kesalahan konten campuran yang mudah dicegah. Pantau sertifikat SSL Anda secara teratur, dan perbarui semua tautan Anda segera setelah Anda bermigrasi ke HTTPS. Situs web yang aman adalah situs web yang aman bagi pengunjung dan bisnis Anda.
Hemat 10% untuk Sertifikat SSL saat memesan hari ini!
Penerbitan cepat, enkripsi kuat, kepercayaan peramban 99,99%, dukungan khusus, dan jaminan uang kembali 25 hari. Kode kupon: SAVE10
