[NEU] WP Media Cleanup löscht ungenutzte Bilder, die sich in Ihrer Medienbibliothek verstecken.
Joella Dunn
Joella Dunn
John Turner
John Turner
Sie haben ein SSL-Zertifikat auf Ihrer WordPress-Website installiert und erwarten nun, dass in der Browserleiste das beruhigende grüne Vorhängeschloss angezeigt wird.
Aber stattdessen? Ihre Website zeigt immer noch „Nicht sicher“ an.
Der Grund dafür ist fast immer ein Mixed-Content-Fehler.
Ihre Website wird nun über eine sichere HTTPS-Verbindung geladen, aber irgendwo auf Ihren Seiten gibt es noch Ressourcen, die versuchen, über das alte unsichere HTTP-Protokoll geladen zu werden. Ihr Browser sieht dies als Sicherheitsrisiko an und gibt eine Warnung aus.
In diesem Beitrag werde ich Ihnen mehrere bewährte Methoden vorstellen, mit denen Sie diese Fehler finden und beheben können. Machen wir Ihre Website rundum sicher!
Hier sind die wichtigsten Erkenntnisse:
Ein Mixed-Content-Fehler tritt auf, wenn Ihre Webseite über HTTPS geladen wird, aber gleichzeitig versucht, Ressourcen (wie Bilder, Skripte oder Stylesheets) über eine unsichere HTTP-Verbindung abzurufen. Ihr Browser erkennt die Diskrepanz und kennzeichnet sie als Sicherheitsproblem.
Browser behandeln gemischte Inhalte auf zwei verschiedene Arten, je nachdem, welche Art von Ressource geladen wird.
Passive gemischte Inhalte umfassen beispielsweise Bilder, Videos und Audiodateien. Diese können das Verhalten Ihrer Seite nicht wirklich verändern, daher werden sie von Browsern in der Regel trotzdem geladen. In der Adressleiste wird jedoch weiterhin eine Sicherheitswarnung angezeigt.
Aktive gemischte Inhalte sind das schwerwiegendere Problem. Dazu gehören JavaScript-Dateien, Stylesheets und Iframes – Ressourcen, die Ihre Seite tatsächlich verändern oder Daten stehlen können.
Browser blockieren diese oft, was bedeutet, dass Teile Ihrer Website möglicherweise überhaupt nicht funktionieren. Ihr Layout könnte beschädigt werden, Formulare könnten nicht mehr gesendet werden oder Funktionen könnten einfach verschwinden.
Das Ergebnis? Ihre Besucher sehen eine defekte, unsichere Website. Nicht gerade der Eindruck, den Sie hinterlassen möchten.
Der Hauptgrund für Mixed-Content-Fehler ist einfach: Als Sie Ihre Website auf HTTPS umgestellt haben, wurden nicht alle URLs in Ihrer WordPress-Datenbank und Ihren Dateien aktualisiert.
Ihre Website stellt nun Seiten über https:// bereit, aber irgendwo in Ihren Inhalten oder Ihrem Code befinden sich noch alte http:// -Links, die auf Ihre eigenen Ressourcen verweisen.
Diese alten URLs verstecken sich gerne an vorhersehbaren Stellen:
Man kann diese Links nicht immer erkennen, wenn man sich die Website nur ansieht. Möglicherweise müssen Sie sich mit dem Code befassen oder die richtigen Tools verwenden, um sie aufzuspüren.
Hier ist eine kurze Zusammenfassung der bewährten Methoden zur Beseitigung von Mixed-Content-Fehlern:
Sie sind dabei, Ihre Datenbank zu ändern oder Dateien zu bearbeiten, die die Funktionsweise Ihrer Website steuern. Wenn etwas schief geht (und das kann passieren), müssen Sie die Möglichkeit haben, alles sofort rückgängig zu machen.
Ein Backup ist Ihre Rettungsluke mit einem Klick.
Ich empfehle immer, ein Plugin wie Duplicator zu verwenden, um eine vollständige Sicherung zu erstellen, bevor Sie irgendetwas ändern. Es erfasst sowohl Ihre Dateien als auch Ihre Datenbank in einem Paket. Wenn also etwas schiefgeht, können Sie Ihre Website genau so wiederherstellen, wie sie war.
Erstellen Sie ein neues Backup und wählen Sie die Voreinstellung „Vollständige Website “. Dadurch werden alle Ihre Website-Dateien und Datenbanktabellen in einer einzigen ZIP-Datei zusammengefasst.
Ich würde auch einen Cloud-Speicherort (wie Duplicator Cloud) zum Speichern des Backups auswählen. Sie können das Backup lokal speichern, aber bei einem größeren Fehler könnten diese Daten verloren gehen.
Nachdem Duplicator eine Kopie Ihrer Website erstellt hat, werden Ihre Daten in die Cloud übertragen. Wenn Sie diese jemals wiederherstellen müssen, klicken Sie einfach auf die Schaltfläche „Wiederherstellen “.
Wenn Sie sich mit der Bearbeitung von Datenbanken oder Code nicht auskennen, ist ein Plugin der schnellste Weg zu einer sicheren Website. Really Simple Security (ehemals Really Simple SSL) ist das Plugin, das die meisten Leute zuerst verwenden.
Das Plugin ändert nicht die URLs in Ihrer Datenbank. Stattdessen fängt es Ihre Seiten ab, bevor sie an den Browser gesendet werden, und schreibt alle http:// -Links spontan in https:// um.
Installieren Sie es, aktivieren Sie es und gehen Sie zu Sicherheit » Einstellungen. Klicken Sie auf die Registerkarte SSL und aktivieren Sie den Mixed Content Fixer.
Die Warnungen zu gemischten Inhalten verschwinden in der Regel innerhalb von Sekunden.
Aber es gibt einen Kompromiss. Die unsicheren URLs befinden sich weiterhin in Ihrer Datenbank; Sie maskieren sie lediglich. Das Plugin verursacht außerdem jedes Mal, wenn eine Seite geladen wird, einen geringen Mehraufwand bei der Verarbeitung.
Für viele Websites ist das völlig in Ordnung. Es funktioniert, ist einfach und in zwei Minuten erledigt. Wenn Sie eine dauerhaftere Lösung wünschen, lesen Sie weiter.
Beginnen Sie hier, denn es dauert weniger als eine Minute und löst eines der häufigsten Konfigurationsprobleme.
Gehen Sie in Ihrem WordPress-Dashboard zu Einstellungen " Allgemein.
Sehen Sie sich die Felder „WordPress-Adresse (URL) “ und „Site-Adresse (URL) “ an. Beide sollten mit https:// beginnen, nicht mit http://.
Wenn nicht, aktualisieren Sie sie und klicken Sie auf „Änderungen speichern“.
Hier ist der Haken: Sie ändern nur, wie WordPress sich selbst referenziert. Die URLs, die bereits in Ihren Beiträgen, Seiten oder Theme-Dateien eingebettet sind, bleiben unverändert.
Wenn Sie nach dieser Änderung immer noch Fehler wegen gemischter Inhalte sehen, müssen Sie mit der nächsten Methode weitermachen.
Wenn Sie eine dauerhafte Lösung benötigen, gibt es nichts Besseres als eine ordnungsgemäße Datenbankaktualisierung. Dabei wird jede Referenz auf http:// durch https:// direkt dort ersetzt, wo sich die Daten befinden.
Aber hier gibt es eine wichtige Warnung: Führen Sie niemals eine einfache SQL-Abfrage zum Suchen und Ersetzen direkt in Ihrer Datenbank aus. WordPress speichert einige Daten in einem serialisierten Format, und eine einfache Such- und Ersetzungsfunktion würde diese beschädigen.
Sie benötigen ein Tool, das Serialisierungsfunktionen unterstützt. Search & Replace Everything von WPCode ist mein bevorzugtes Plugin für diese Aufgabe.
Gehen Sie zu Code-Schnipsel » Suchen & Ersetzen.
Geben Sie im Feld „Suchen nach“ Ihre alte URL ein: http://yourwebsite.com
Geben Sie im Feld „Ersetzen durch “ Ihre neue URL ein: https://yourwebsite.com
Wählen Sie alle Tabellen für einen vollständigen Durchlauf aus. Achten Sie besonders auf wp_posts und wp_postmeta, da diese in der Regel den Großteil Ihrer Inhalts-URLs enthalten.
Führen Sie den Austausch durch. Die meisten Probleme mit gemischten Inhalten verschwinden nach dieser Datenbankaktualisierung, da Sie die URLs, unter denen sie tatsächlich gespeichert sind, korrigiert haben.
Manchmal werden auch nach einer Datenbankkorrektur weiterhin Fehler bei gemischten Inhalten angezeigt. Das bedeutet, dass das Problem direkt in einer Theme- oder Plugin-Datei fest codiert ist.
Am besten lassen sich diese mit den Entwicklertools Ihres Browsers aufspüren.
Klicken Sie mit der rechten Maustaste auf eine beliebige Stelle Ihrer Website und wählen Sie „Untersuchen“ (oder drücken Sie F12). Klicken Sie dann auf die Registerkarte „Konsole“. Wenn gemischte Inhaltsfehler vorliegen, werden diese dort aufgelistet, in der Regel mit dem genauen Dateipfad, der das Problem verursacht.
Sobald Sie die Datei identifiziert haben, müssen Sie sie bearbeiten. Verwenden Sie einen FTP-Client oder den Dateimanager Ihres Hosting-Control-Panels, um die Datei zu finden. Öffnen Sie sie, suchen Sie nach der URL http:// und ersetzen Sie sie durch https://.
Besser noch, verwenden Sie eine relative URL wie /wp-content/themes/yourtheme/style.css anstelle einer absoluten URL. Relative Pfade verwenden automatisch das Protokoll, auf dem sich die Seite befindet, sodass dieses Problem nicht mehr auftritt.
Sobald Sie das Problem behoben haben, möchten Sie natürlich nicht, dass es erneut auftritt. Mit ein paar einfachen Gewohnheiten können Sie die Sicherheit Ihrer Website auch in Zukunft gewährleisten.
Wenn Sie neue Bilder hinzufügen, Medien einbetten oder Links zu internen Seiten einfügen, achten Sie darauf, dass Sie https:// verwenden. Das klingt selbstverständlich, aber beim Kopieren und Einfügen von Links oder bei schneller Arbeit kann man leicht einen Fehler machen.
Wenn Sie eine Staging-Site haben, nutzen Sie diese. Installieren Sie das neue Plugin oder Theme zunächst dort, öffnen Sie dann die Konsole Ihres Browsers und überprüfen Sie, ob Warnungen wegen gemischter Inhalte angezeigt werden. Wenn Sie Probleme erkennen, bevor sie Ihre Live-Site beeinträchtigen, ersparen Sie sich viel Ärger.
Wenn Sie ein Theme anpassen oder benutzerdefinierten Code hinzufügen, vermeiden Sie die Hardcodierung vollständiger URLs wie https://yoursite.com/wp-content/image.jpg. Verwenden Sie stattdessen relative Pfade wie /wp-content/image.jpg.
Der Browser verwendet automatisch das Protokoll, das für die Seite verwendet wird, sodass Sie diese Links nie wieder aktualisieren müssen.
Wenn Sie mit fortgeschritteneren Konfigurationen vertraut sind, kann ein CSP-Header als Sicherheitsnetz dienen. Sie können ihn so konfigurieren, dass unsichere Anfragen automatisch auf HTTPS aktualisiert werden. Selbst wenn also ein alter HTTP-Link durchrutscht, lädt der Browser ihn trotzdem sicher.
Das häufigste SSL-Problem ist ein Mixed-Content-Fehler. Beheben Sie diesen Fehler, indem Sie sicherstellen, dass alle Assets Ihrer Website über HTTPS geladen werden, entweder mit einem Plugin wie Really Simple Security oder durch Ausführen einer Datenbank-Such- und Ersetzungsfunktion.
Ihr Browser blockiert wahrscheinlich das Stylesheet, da es über HTTP auf einer HTTPS-Seite aufgerufen wird. Öffnen Sie die Entwicklerkonsole Ihres Browsers, um dies zu überprüfen, und aktualisieren Sie dann die URL des Stylesheets, sodass HTTPS verwendet wird.
Der Fehler liegt eigentlich nicht bei Apache – er wird vom Browser des Benutzers gemeldet. Apache liefert lediglich die Dateien, aber das Problem liegt in Ihrer WordPress-Datenbank oder Ihren Theme-Dateien, in denen noch alte HTTP-URLs vorhanden sind.
Die integrierten Entwicklertools Ihres Browsers (Registerkarte „Konsole“) sind die genaueste Option, da sie Ihnen genau anzeigen, welche Ressourcen das Problem verursachen. Für einen schnellen Überblick können Sie auch ein Online-Tool wie Why No Padlock verwenden.
Das grüne Vorhängeschloss dient nicht nur der Ästhetik. Es zeigt Ihren Besuchern, dass ihre Verbindung sicher ist und dass Sie ihre Sicherheit ernst nehmen.
Das Kernproblem bei Mixed-Content-Fehlern ist immer dasselbe: alte http://-URLs, die sich in Ihrer Datenbank oder Ihren Dateien verstecken. Sobald Sie diese aufgespürt und aktualisiert haben, ist das Problem endgültig gelöst.
Unabhängig davon, ob Sie eine schnelle Plugin-Korrektur vorgenommen oder eine vollständige Datenbankersetzung durchgeführt haben, sollte Ihre Website nun vollständig über HTTPS ohne Sicherheitswarnungen geladen werden.
Hier ist mein letzter Ratschlag: Bevor Sie technische Aufgaben wie diese durchführen (insbesondere solche, bei denen Sie Ihre Datenbank bearbeiten), sollten Sie sicherstellen, dass Sie über ein zuverlässiges Backup verfügen.
Mit Duplicator Pro können Sie innerhalb weniger Minuten ein vollständiges Backup Ihrer Website erstellen. Sollte bei der Fehlerbehebung etwas schiefgehen, sind Sie nur einen Klick von einer vollständigen Wiederherstellung entfernt.
Ich habe es unzählige Male bei der Arbeit an Kundenwebsites verwendet. Man weiß, dass man immer ein Rollback durchführen kann, wenn etwas nicht wie geplant funktioniert.
Genießen Sie nun Ihre sichere Website. Sie haben sich dieses Vorhängeschloss verdient!
Wenn Sie schon einmal hier sind, werden Ihnen sicher auch diese anderen handverlesenen WordPress-Ressourcen gefallen:
Offenlegung: Unsere Inhalte werden von unseren Lesern unterstützt. Das bedeutet, wenn Sie auf einige unserer Links klicken, erhalten wir möglicherweise eine Provision. Wir empfehlen nur Produkte, von denen wir glauben, dass sie für unsere Leser einen Mehrwert darstellen.
