что такое небезопасный контент
Небезопасный контент заблокирован. Исправляем проблему на сайте WordPress.
Привет, Веб-Мастер! Настроил SSL-сертификат, но столкнулся с проблемой, что браузеры ругаются на твой сайт и блокируют контент?
Не переживай, сейчас поправим и небезопасный контент будет разблокирован на 100%!
Как выглядит ошибка в браузерах
Данная ошибка по-разному показывается в различных браузерах, но корень проблемы у нее один — неверно передается контент по HTTPS-протоколу.
Небезопасный контент заблокирован
Страница пытается загрузить скрипты из непроверенных источников.
В Opera ошибка выглядит таким образом:
Заблокирован небезопасный контент
Opera заблокировала на странице контент из небезопасных источников.
В Mozilla Firefox эта проблема отображается так:
Firefox заблокировал незащищенные части этой страницы.
В стандартном от Windows 10 браузере Microsoft Edge ошибка будет такая:
Вы видите только безопасное содержимое.
Мы заблокировали содержимое, отправленное через небезопасное подключение, чтобы защитить вашу информацию.
Решение проблемы с небезопасным контентом с помощью плагина WordPress
Самый простой и быстрый способ исправить ошибку это поставить легкий плагин SSL Insecure Content Fixer. Он не мешает загрузке страницы, что хорошо скажется на скорости, а так же не требует сложных настроек, что является несомненно большим плюсом.
Плагин имеет всего несколько настроек:
Я рекомендую сначала поставить галочку на «Простой» способ. С вероятностью в 98% это решит проблему. Если вдруг не сработало, пробуем по очереди разные варианты. Так же рекомендую снять галочку с «WooCommerce + Google Chrome HTTP_HTTPS ошибки» если вы не используете WooCommerce у себя на сайте. Все остальные настройки по-умолчанию.
Исправляем ошибку с блокировкой небезопасного контента вручную в файлах своего сайта
Для тех, кто не любит использовать плагины (что странно, не?) вот метод ручного решения.
Необходимо вручную в файлах своей темы убрать ссылки по http-протоколу на элементы, которые являются частью страницы, т.е. ссылки на шрифты, скрипты, картинки и т.д.
Пример:
очень часто встречается загрузка скрипта AJAX от Google через http протокол http://ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js.
Второй распространенный пример с разметкой Schema.org — http://schema.org/BlogPosting или http://schema.org/WPHeader и т.д.
Так же очень частая проблема возникает после перехода сайта с http на https, в процессе ссылки на картинки остаются по незащищенному протоколу.
В итоге просто просматриваем файлы темы c поиском (ctrl+F) на предмет в коде ссылок с http:// — рекомендую именно так и вбивать в поиск, иначе если вбить просто http, то поиск найдет и правильные ссылки https, что замедлит вашу работу. Чаще всего искать нужно в файле functions.php и в файлах в папке include.
Важно. Перед внесением изменений сделайте бэкап файлов и базы данных!
Как правило, этого бывает достаточно. Но данный способ достаточно долгий и требует некоторых навыков работы с кодом. Так же из минусов — после обновления темы, все изменения слетят и придется заново проделывать туже процедуру, либо необходимо использовать дочернюю тему.
Я рекомендую все-таки решать проблему с помощью специального плагина. Это просто и быстро.
Вот и все! Я надеюсь у тебя все получилось и все работает так, как надо! Если вдруг что-то не вышло — смело пиши в комментарии, я с радостью помогу!
Удачи!
Ошибка «Небезопасный контент заблокирован» (РЕШЕНО)
На своём сайте, или на других сайтах, которые вы посещаете, вы можете увидеть предупреждения вроде таких (в Google Chrome):
В зависимости от браузера предупреждение может выглядеть так:
В браузере от Windows:
Ну и в браузере Opera так:
Если вы обычный посетитель, то возникает сразу несколько вопросов:
Если вы ещё и веб-мастер, то вам нужно решить вопрос об исправлении этой проблемы.
Что такое заблокированный небезопасный контент
Суть этой ошибки в том, что страница, которую вы просматриваете, передаётся по HTTPS протоколу. То есть вы с неё загружаете информацию по зашифрованному соединению. Но некоторые части этой страницы используют обычный протокол HTTP, при котором данные передаются в незашифрованном виде.
Отсюда первое следствие: если страница изначально использует HTTP, то там не может возникнуть эта ошибка.
Среди «небезопасного содержимого, контента» могут быть:
Если вы увидели это сообщение на небольшом сайте, то оно может просто означать, что веб-мастер перевёл свой сайт на защищённый протокол HTTPS, но что-то недоделал. Поэтому если вы не вводите важных данных, то в принципе, на такой странице можно включить «небезопасный контент». Хотя если страница отображается нормально, картинки показываются, то можно просто проигнорировать это сообщение.
Что касается сайтов, на которых вы вводите свои данные (пароль, номера банковских карт и тому подобное), то там не должна возникать эта ошибка, особенно если сайт крупный. То есть в этих случаях категорически не рекомендуется включать содержимое, передаваемое через небезопасное подключение.
Как исправить ошибку со смешенным содержимым (Mixed Content)
Этот раздел для владельцев сайтов, которым нужно исправить эту проблему.
Если вы запустили свой сайт изначально на HTTP и уже добавили несколько статей, то в них ссылки на изображения будут с HTTP протоколом. В то время как в новых статья, написанных после перехода на HTTPS, ссылки будут уже с HTTPS. То есть получается, что старые статьи нужно немного подправить вручную или автоматически с помощью выполнения соответствующего запроса к базе денных. Но для сайтов на WordPress есть ещё более простой вариант — плагин SSL Insecure Content Fixer.
Установите и активируйте его, после этого будут доступны следующие основные настройки:
Выключено
Небезопасное содержимое не исправляется
Простой
Самый быстрый метод с наименьшим воздействием на производительность сайта
Содержимое
Всё, что делает Простой, плюс:
Виджеты
Всё, что делает режим Содержимое, плюс:
Режим захвата
Всё на странице, от заголовка до подвала:
Захватить всё
Самая высокая возможность что-то поломать, но иногда необходимо
Вы можете выбрать уровень исправления. Попробуйте сначала Простой, он менее влияет на производительность сайта. Если ошибка по-прежнему осталась, то последовательно переключайтесь на более охватывающие уровни.
В принципе, если изначально поднимать новый сайт на WordPress с использованием HTTPS, то такая ошибка не должна возникать. Но именно с этим я столкнулся: смешенное содержимое на сайте, который изначально был создан на HTTPS.
Далее инструкция под Google Chrome, но в других браузерах это должно делаться аналогично, либо откройте ваш сайт в Chrome. Для выяснения причин, какие именно файлы пытаются загрузиться по небезопасному протоколу, нажмите F12 и переключитесь на вкладку Console (консоль):
Найдите там строки с Mixed Content:
Строки, которые начинаются с (index) означают, что ошибка присутствует в исходном HTML коде (а не в построенной на лету DOM-модели).
Как можно убедиться, идёт попытка загрузить шрифты с http://fonts.googleapis.com. Откройте исходный код веб-страницы (Ctrl+u) и найдите там место, где стоят ссылки на этот файл. В моём случае, это шапка. Я посмотрел код шапки и файл с функциями темы, а также все другие файлы в редакторе исходного кода в админке WordPress, но не нашёл никакого упоминания http://fonts.googleapis.com. Тогда я скачал файлы темы WordPress себе на диск (локальный компьютер), и используя поиск по содержимому файлов нашёл те файлы темы, которые приводят к ошибке:
В моём случае оказался виноват файл functions.php — повторюсь, во встроенном редакторе WordPress никаких упоминаний ссылки на шрифты я не видел.
Если кому-то интересно, на скриншоте Double Commander (бесплатный, с открытым исходным кодом, двухпанельный файловый менедежер, кроссплатформенный, заменитель Total Commander) — рекомендую!
Кстати если у вас (как и у меня) Linux, то можно использовать команду grep в следующем виде:
Например, у я распаковал файлы с темой в папку /home/mial/Downloads/7/, а найти мне нужно строку http://fonts.googleapis.com, тогда моя команда:
На текстовые файлы не обращаем внимания, а в файле functions.php я подправил http://fonts.googleapis.com на https://fonts.googleapis.com. В результате проблема со смешенным контентом исчезла.
Бесплатный SSL сертификат для субдоменов и кириллистических доменов
Кстати про переход на HTTPS. Сейчас уже необязательно платить довольно большие деньги за SSL сертификат. Многие хостеры предоставляют возможность бесплатного подключения SSL. Причём, уже даже отсутствуют ограничения (по крайней мере у некоторых): можно получить SSL сертификат для домена написанного русскими буквами и для всех субдоменов. Причём и получение, и подключение к сайту, и последующие продления выполняются на полном автомате. У моего хостера, где я держу свои сайты именно так.
После подключения SSL сертификата вам достаточно в корневой папке сайта в файле .htaccess добавить строки:
Они нужны для того, чтобы происходила переадресация с HTTP на HTTPS версию сайта.
Нежелательный контент
В современном мире интернетом пользуются люди разных возрастов. Едва ли не каждый, будь то ребенок или пожилой человек, имеет страницу в социальной сети, пользуется поисковыми системами для получения ответов на вопросы, смотрит видео, читает книги или слушает музыку. В связи с этим вероятность того, что пользователь встретит в сети нежелательный контент, очень велика, и от вида такого контента будут зависеть размер и тяжесть полученного ущерба.
Классификация нежелательного контента
Нежелательный контент можно разделить на несколько основных типов.
Вредоносные программы различаются методами проникновения, принципами работы и решаемыми задачами. Традиционная классификация включает три их разновидности: классические вирусы, черви и «троянские кони». Классический вирус встраивается в существующие программы или документы («заражает» их) и в дальнейшем выполняется при каждом запуске инфицированного файла. Черви распространяются по компьютерным сетям — как правило, посредством уязвимостей в прошивках оборудования, операционных системах и прикладных программах. Под «трояном» обычно понимают вредоносный код, который маскируется под легитимное полезное приложение. Стоит дополнительно отметить инструменты, скрывающие свое присутствие не только от пользователя, но и от защитного программного обеспечения (руткиты), а также средства удаленного администрирования (RAT, бэкдоры), которые позволяют злоумышленнику не только управлять любым приложением на ПК, но и производить запись видео / аудио с имеющейся камеры / микрофона, загружать и сохранять файлы, сохранять последовательности нажатия клавиш.
Спам — это письма, которые приходят на электронную почту от неизвестных людей и компаний. Такие сообщения обычно имеют завлекающую тему и содержат какую-либо рекламную информацию, призывающую что-то купить или выиграть. Выполняя действия, описанные в письме, можно не только потерять деньги: просмотр прикрепленных к письму документов и изображений является одним из способов загрузить на свой компьютер вредоносную программу, что может привести к потере личной информации.
К потенциально опасным объектам можно отнести программы, которые содержат рекламу (adware), а также шпионские приложения (spyware), скрытно устанавливаемые на устройство без согласия пользователя с целью сбора информации, изменения каких-либо настроек и т.д. Кроме того, разработчики средств безопасности иногда включают в эту группу легитимные программные комплексы, которые можно использовать во вред (например, утилиты для удаленного управления компьютером партнера, применяемые в рамках оказания технической поддержки, могут превратиться в инструмент злоумышленника, аналогичный бэкдору).
В целом каждый сам решает, какая информация для него является нежелательной, что загружать на свой ПК и какие сайты посещать, при этом в некоторых случаях осознанно идя на риск. Однако существуют сетевые ресурсы, содержащие информацию, распространение которой запрещено в Российской Федерации на законодательном уровне. Такие сайты образуют особую категорию нежелательного контента. Кроме того, в особую группу можно выделить веб-страницы с информацией, не соответствующей возрасту пользователя (т.е. неподходящие для определенных возрастных категорий), и ресурсы, блокируемые на рабочих местах с целью уменьшения времени, которое тратится сотрудниками организации на развлечения.
Объект воздействия
Угрозе заражения подвержены все устройства, имеющие подключение к интернету. С нежелательным контентом сталкиваются все: домашние и корпоративные пользователи, владельцы смартфонов и персональных компьютеров. Никто не защищен от вредоносных программ на 100%, но неопытные пользователи более уязвимы. Если человек знает о киберкриминальных инструментах и о том, как они могут попасть в компьютер, то злоумышленнику придется приложить много усилий, чтобы добраться до жертвы. Если же пользователь слабо просвещен в таких вопросах, то он становится легкой добычей для атакующего.
В частности, тот, кто имеет опыт работы с различными приложениями, не будет скачивать на свой ПК сомнительные файлы или посещать сайты такого же характера. Это и отличает опытного пользователя от неопытного, последний будет не раздумывая переходить по ссылкам и загружать оттуда любое содержимое.
То же касается и спам-рассылок: опытный пользователь знает, к чему приводят подобные сообщения, и не будет открывать прикрепленные документы, заполнять какие-то анкеты, переводить куда-то деньги и т.д. Однако наивные или падкие на легкую наживу люди, увидев громкий заголовок или яркую картинку, без сомнений перейдут по ссылке.
Источник угрозы
Основным генератором нежелательного контента является киберкриминальный бизнес. Киберпреступники зарабатывают деньги на вредоносных программах и результатах их работы, а также на злонамеренных или рекламных рассылках.
Анализ риска
От вредоносных и потенциально нежелательных программ помогают защититься комплексные антивирусные средства (для дома — класс Internet Security, для компаний — Endpoint Protection). Существуют и узкоспециализированные решения. Такое программное обеспечение обычно работает на основе сигнатурных баз, которые постоянно обновляются, что позволяет обнаруживать новые виды угроз. Необходимо помнить, что само по себе наличие антивирусной защиты не сможет предотвратить заражение компьютерной системы, если пользователь не будет соблюдать правила безопасности. Для этого нужны знания об основных механизмах работы вредоносных программ.
В некоторых продуктах для личной и корпоративной безопасности доступна т.н. «песочница» — средство запуска приложений в изолированной среде, откуда невозможно нанести вред операционной системе и данным. Такой модуль полезен для борьбы с неизвестными угрозами. Кроме того, в нем можно провести пробную установку нового программного обеспечения, чтобы проверить, не инсталлирует ли оно вместе с собой рекламные компоненты и иную лишнюю нагрузку.
Для защиты от спам-рассылок используют антиспам-фильтрацию и черные списки. Эти способы доступны и позволяют если не полностью обезопасить себя от спама, то по крайней мере значительно уменьшить его объемы. Фильтрация применяется также и для того, чтобы предотвратить посещение нежелательных веб-ресурсов. Как правило, подобные компоненты тоже входят в состав комплексных антивирусных решений.
HTTPS не значит «безопасность»
Многие думают, что HTTPS-соединение означает, что сайт безопасный. На самом деле его все чаще используют зловредные, особенно фишинговые сайты.
Если в адресной строке браузера слева от адреса сайта вы видите изображение зеленого замочка и надпись «Защищено», это повышает ваше доверие к сайту, не правда ли? В этом случае ссылка начинается с букв HTTPS, а если кликнуть на замочек, вы увидите фразу «сайт использует защищенное соединение». Сейчас все больше и больше сайтов переходят на HTTPS, более того — у сайтов просто не остается выбора, делать это или нет. Казалось бы: ну и прекрасно! Чем больше защищенных сайтов в Интернете — тем лучше!
Но мы сейчас скажем вам то, о чем вы, возможно, не подозревали: все эти символы «защищенности» не гарантируют, что сайт не несет угрозу. Например, что он не фишинговый.
Безопасное соединение не значит безопасный сайт
Зеленый замочек означает, что сайту выдан сертификат и что для него сгенерирована пара криптографических ключей. Такой сайт шифрует информацию, передаваемую вами сайту и от сайта к вам. В этом случае адрес страницы будет начинаться с HTTPS, и вот эта последняя «S» значит secure, то есть «безопасный».
Шифрование – это хорошо и полезно. Это значит, что информацию, которой обмениваются ваш браузер и сайт, не смогут заполучить всевозможные третьи лица – провайдеры, администраторы сетей, злоумышленники, решившие перехватить трафик, и так далее. То есть вы можете вбивать на сайте пароль или данные банковской карты и не волноваться, что их подсмотрит кто-то со стороны.
Проблема в том, что зеленый замочек и выданный сертификат ничего не говорят собственно о самом сайте. Фишинговая страница с тем же успехом может получить сертификат и шифровать всю коммуникацию между вами и ней.
Проще говоря, все это означает, что на сайте «с замочком» никто со стороны не сможет подсмотреть и украсть пароль, который вы вводите. Но этот пароль может украсть сам сайт, на котором вы пароль ввели — в том случае, если сайт поддельный.
Этим активно пользуются злоумышленники: по данным Phishlabs, сейчас уже четверть всех фишинговых атак осуществляется на HTTPS-сайтах (а еще два года назад было менее одного процента). При этом более 80% пользователей считают, что зеленый замочек и надпись «Защищено», которыми сопровождается HTTPS-соединение в браузерной строке, означают, что сайт безопасный, а значит, у них меньше сомнений, вводить на таком сайте свои данные или нет.
А что, если замочек не зеленый?
В целом бывает еще два варианта. Если замочка нет вообще – это значит, что сайт не использует шифрование и обменивается с вашим браузером информацией по протоколу HTTP. Браузер Google Chrome с недавних пор маркирует такие сайты как небезопасные. На самом деле они могут быть «белыми и пушистыми» – просто не шифруют коммуникацию между вами и сервером. Поскольку владельцы большинства сайтов не хотят, чтобы Google помечал сайты как небезопасные, все большее число веб-страниц переходит на HTTPS. Ну и вводить чувствительные данные на HTTP-сайтах не стоит – их может кто-нибудь подсмотреть.
Второй вариант – перечеркнутый замочек и выделенные красным буквы HTTPS. Это значит, что сертификат у сайта есть, но он неподтвержденный или же он устарел. То есть соединение между вами и сервером шифруется, но никто не гарантирует, что домен действительно принадлежит той компании, которая указана на сайте. Это самый подозрительный вариант – обычно такими сертификатами пользуются только в тестовых целях, ну или, как вариант, у сертификата истек срок и владелец его не обновил. Браузеры также отмечают такие страницы как небезопасные, но более наглядно: выводится предупреждение с красным замочком. В любом случае мы бы не советовали ходить на сайты с такими сертификатами и уж тем более вводить на них какие-либо личные данные.
Что нужно помнить, чтобы не попасться на удочку
Резюмируем: наличие cертификата и индикаторов в виде зеленого замочка и надписи «Защищено» означает лишь то, что данные, передаваемые между вами и сайтом, шифруются, а также то, что сертификат выдан доверенным сертификационным центром. При этом HTTPS-сайт вполне может оказаться зловредным — особенно удачно манипулируют этим мошенники, промышляющие фишингом.
Поэтому всегда будьте осторожны, каким бы надежным сам сайт ни показался вам на первый взгляд.
Protect: частичная блокировка контента
Иногда на безопасных в целом страницах могут присутствовать элементы (баннеры, скрипты или врезки) с зараженных ресурсов или скрипты для майнинга. В рамках комплексной системы защиты Protect Яндекс.Браузер блокирует такие элементы. Данные о небезопасных ресурсах берутся из специальной базы данных, которая пополняется как Яндексом, так и нашими партнерами.
Блокировка опасных элементов
Если на нужной вам странице присутствуют элементы с зараженных сайтов, Яндекс.Браузер заблокирует их.
Если вы хотите загрузить заблокированное содержимое:
Из-за того что браузер загружает только безопасные элементы, верстка страницы может отобразиться не вполне корректно.
Отключение блокировки
Чтобы отключить блокировку опасного контента:
Чтобы включить блокировку опасного контента обратно, используйте тот же алгоритм.
Блокировка скриптов майнинга
Для эмиссии криптовалют (в частности, биткоинов) применяют майнинг. Компьютер производит вычисления, за которые его владельцу начисляется вознаграждение в криптовалюте.
При скрытом майнинге для вычислений используются ресурсы чужих компьютеров и мобильных устройств. В этом случае код майнинга может быть незаметно размещен на страницах в виде JavaScript. Такой код нельзя назвать вредоносным в классическом понимании, но он активно загружает память, расходует заряд батареи, нагревает элементы компьютера.
Чтобы майнеры, зарабатывая деньги, не использовали ресурсы вашего компьютера, Яндекс.Браузер блокирует загрузку с сайтов скриптов для майнинга. Блокируются не только уже известные браузеру скрипты. Браузер анализирует нагрузку на процессор, которую создают сайты, и использует эту информацию для блокировки ранее неизвестных скриптов для майнинга.
Вы можете отменить блокировку майнинга, отключив фильтрацию рекламы в браузере.