Seit Anfang 2020 blockiert der Google Chrome Browser gemischte Inhalte und möchte damit den Datenschutz seiner User stärken. Auch andere Browser zeigen für unsichere Webseiten ohne SSL-Verschlüsselung ein Warnsymbol an.
Wann von Mixed Content gesprochen wird, welche Elemente der Webseite er betrifft und wie Sie ihn beheben können, erfahren Sie in diesem Beitrag.
Was ist Mixed Content?
Von Mixed Content (deutsch: gemischter Content) wird gesprochen, wenn Inhalte einer Webseite sowohl über eine sichere (HTTPS) als auch über eine unsichere Verbindung (HTTP) geladen werden. Davon betroffen sein können Bilder, Videos oder auch Skripte der Seite. Unterschieden wird dabei in zwei verschiedene Arten von gemischten Inhalten: Es gibt aktiven und passiven Mixed Content.
Aktiver Mixed Content
Beim aktiven Mixed Content ist das Script der Webseite betroffen. Dabei werden beispielsweise das Javascript, CSS, Iframes, Flash-Ressourcen oder XML-HTTP-Request-Objekte auf unsicherer Verbindung geladen. Es stellt deshalb eine riskantere Bedrohung dar, weil komplette Inhalte einer Seite mittels Cookie-Platzierung manipuliert werden können.
Passiver Mixed Content
Beim passiv-gemischten Content sind Elemente betroffen, die nicht mit den anderen Elementen der Webseite interagieren. Obwohl die Bedrohung geringer ist, können auch hier starke Sicherheitslücken entstehen. Passiver Mixed Content betrifft beispielsweise Bilder, Videos- oder Audioinhalte. Da grafische Elemente gern aus fremden Quellen eingebunden werden, tritt Mixed Content hier besonders häufig auf.
Ursachen für Mixed Content: Service, Plugin und Themes
Die Ursachen, warum Mixed Content auftritt, können sehr unterschiedlich sein. In den meisten Fällen erscheint die Fehlermeldung direkt nach dem Umzug der Webseite von HTTP auf HTTPS. Der häufigste Grund liegt darin, dass Bilder oder Videos hardkodierte HTTP-URLs nutzen und daher beim Umzug nicht automatisch umgeleitet werden. Mittels weniger Handgriffe können Sie die verschiedenen Inhalte jedoch ganz einfach auf HTTPS umschreiben.
Doch auch verschiedene Services und Drittanbieter können dafür sorgen, dass Webinhalte über die verschiedenen Protokolle geladen werden. Vor allem bei Webseiten, die über WordPress gehostet werden, können Themes, PageBuilder oder Plugins dafür sorgen, dass Mixed Content auftritt. In diesen Fällen lohnt es sich auf ein aktuelles, sichereres Tool umzusteigen oder aber den Anbieter zu kontaktieren, um das Problem zu lösen.
User werden gewarnt: „Teile dieser Seite sind nicht sicher“
Eine unsichere Verbindung ist für Ihre Webseite schädlich, da so die Daten der User gefährdet sind. Durch die Elemente, die über die HTTP-Verbindung geladen werden, können Angreifer Ihre Seite mit Cookies manipulieren und so auf die Daten der Nutzer zugreifen.
Deshalb blockiert der Google Chrome Browser seit 2020 Mixed Content vollständig. Und auch andere Browser geben dem Nutzer einen Hinweis darauf, ob eine Seite sicher ist oder nicht. Befindet sich vor der URL der Seite ein kleines Schloss, ist die Webseite mit einem SSL-Zertifikat verschlüsselt und stellt die Verbindung über HTTPS her. Erscheint stattdessen ein Warndreieck oder graues „i“, wird die Webseite als unsicher eingestuft.
Das Umstellen auf eine HTTPS-Verbindung ist jedoch nicht nur für die Sicherheit von Daten notwendig, sondern zusätzlich zum SEO-relevanten Kriterium geworden. Durch das Google Chrome Update werden unsichere Inhalte nicht nur blockiert, sondern auch im Ranking abgestraft. Treten auf Ihrer Webseite daher Fehlermeldungen zu Mixed Content auf, sollten Sie diese schnellstmöglich reparieren.
Reparatur von Mixed Content: WordPress-Webseite auf HTTPS umstellen
Ist Ihre Webseite von Mixed Content betroffen, sollten Sie schnell herausfinden, wo sich der Übeltäter befindet. Vergewissern Sie sich im ersten Schritt, ob Ihre Seite bereits mit einem SSL-Zertifikat ausgestattet ist. Das Zertifikat sorgt dafür, dass Ihre Webseite und die darauf enthaltenen Inhalte verschlüsselt und über eine HTTPS-Verbindung abgerufen werden.
Ein SSL-Zertifikat können Sie in der Regel ganz einfach über Ihren Hosting-Anbieter buchen. Die meisten Anbieter beinhalten die SSL-Verschlüsselung bereits, wenn Sie Ihre Webseite einrichten.
Ziehen Sie Ihre Seite neu auf das Protokoll um, kann es jedoch vorkommen, dass eine Mixed Content-Warnung auftritt. Um diese zu entfernen, gehen Sie wie folgt vor:
1. Mixed Content ausfindig machen
Gemischte Inhalte können sowohl global als auch auf einzelnen Unterseiten Ihrer Webseite auftreten. Deshalb gilt es im ersten Schritt herauszufinden, welche Elemente genau betroffen sind.
Im Quelltext können Sie ganz einfach nach Mixed Content suchen, der über HTTP geladen wird. Doch auch Tools wie Why No Padlock oder JitBits SSL-Checker bieten sich an, um herauszufinden, auf welchen Webseiten Inhalte versteckt sind, die über eine unsichere Verbindung abgerufen werden.
2. HTTP:// auf HTTPS:// umstellen
Nun müssen Sie die URL der betroffenen Inhalte von HTTP:// auf HTTPS:// umstellen. Nutzen Sie WordPress, um Ihre Webseite zu hosten, bieten sich entsprechende Tools für die Bearbeitung an. Das Plugin SSL Insecure Content Fixer zeigt Ihnen beispielsweise die Fehlerquellen an und bereinigt die unsicheren Inhalte automatisch. Auch mit Better Search Replace lassen sich die URLs der Inhalte ganz einfach anpassen. Mithilfe der Suchen-Ersetzen-Funktion werden sie direkt in der Datenbank umgeschrieben.
Achten Sie immer darauf vor den Änderungen ein Backup von Ihrer Webseite zu erstellen, so dass Sie im Notfall zur ursprünglichen Version zurückspringen können. Zusätzlich sollten Sie den Cache vor und nach der Bearbeitung ausleeren, damit Ihnen auch alle Reparaturen angezeigt werden.
3. Redirect einrichten
Haben Sie alle Inhalte umgestellt, dann müssen Sie noch eine dauerhafte 301-Weiterleitung für die erzeugten URLs einrichten. So stellen Sie sicher, dass die Google-Crawler den Umzug der Webseiten erkennen.
Ergänzen Sie dazu ganz einfach den folgenden Code-Schnipsel in der .htaccess-Datei Ihrer Webseite:
# RewriteRule:
#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ HTTPS://www.ihr-domainname.de/$1 [R,L]
</IfModule>
4. Betroffene Mixed Content-Elemente überprüfen
Sind alle Änderungsschritte getan, müssen Sie noch überprüfen, ob der Mixed Content auf Ihrer Seite vollständig behoben ist. Klicken Sie sich dazu durch die verschiedenen Elemente. Zusätzlich können Sie erneut ein SSL-Tracking-Tool durch Ihre Webseite laufen lassen, um auszuschließen, dass sich noch weitere Fehlerquellen verbergen.
Fazit: Stellen Sie ihre Webseite auf HTTPS um
Eine sichere Verbindung ist für Webseiten mittlerweile ein Muss. Werden bestimmte Webseiten-Elemente noch über HTTP abgerufen, erscheint im Browser eine Fehlermeldung, die den Besucher vor unsicheren Webseiten warnt. Stellen Sie Ihre Seite daher unbedingt auf HTTPS um und entfernen Sie mittels Plugin-Lösungen jeglichen Mixed Content.
Titelbild: scyther5 / iStock / Getty Images Plus