Voorkom mixed content en beloon jezelf met een veilige site

mixed-content

Kijk je wel eens naar het icoontje dat vóór de domeinnaam staat in je adresbalk? Kijk eens naar die van deze pagina. Kijk ook eens naar die van je eigen site, of een site die je graag bezoekt. Als het goed is, staat hier een groen slotje. Mogelijk staat hier een lege, grijze pagina of zelfs een rood icoon. Oeps, misschien een onveilige site? De oorzaak hiervan is mixed content. In deze blog de oorzaken en gevolgen van mixed content en hoe je het verhelpt.

Wat is mixed content en hoe doet het probleem zich voor?

Mixed content ontstaat wanneer je website over zowel een veilige als onveilige verbinding in wordt geladen. Deze verbinding wordt aangeduid als HTTP of als HTTPS. De S staat hierbij voor secure. Dit is erg abstract.
Bij bezoek aan een website, werkt het in de praktijk als volgt: om de site te laden vraagt je browser informatie op via een beveiligde verbinding (HTTPS). Meestal laadt de inhoud niet vanuit slechts één html bestand in maar ook vanuit overige bronnen zoals video’s, afbeeldingen, scripts en CSS opmaak. Zit tussen deze elementen een onderdeel dat over een onveilige verbinding wordt geladen, dan is er sprake van mixed content. Je mengt nu veilige en onveilige inhoud.

Passieve versus actieve mixed content

Er zijn twee typen mixed content. Passieve mixed content is een element dat op zichzelf staat en geen interactie heeft met andere content op de site. In deze vorm is de gemende inhoud relatief ongevaarlijk. Voorbeelden zijn afbeeldingen en audio. Actieve mixed content is gevaarlijker omdat deze inhoud in contact staat met andere pagina-onderdelen. Voorbeelden hiervan zijn scripts, CSS en stylesheets. De nieuwste browserversies blokkeren deze pagina’s nu standaard. In de praktijk zie je daarom dat de meeste sites met mixed content problemen een foutief geladen afbeelding of video bevatten. Relatief onschuldig, moeilijk te ontdekken, maar toch voldoende om je geen bezitter van een groen slotje te laten worden.

Is mixed content een probleem?

Mixed content is een weg naar binnen voor indringers. Zij kunnen de onveilige afbeelding vervangen door iets anders. Of nog erger, aanpassingen maken in scripts waardoor ze gevoelige informatie doorsluizen. Een ander probleem is dat nieuwe browsers je website blokkeren ter bescherming van de bezoeker. Op die manier ben je niet meer bereikbaar voor vaste bezoekers en potentiele klanten.
Ook kan mixed content het vertrouwen in je website en onderneming verlagen. Je websitebezoeker vertrouwt op jou als websiteaanbieder en gaat ervan uit dat je website veilig is te bezoeken is. Wanneer het opvalt dat het groene slotje ontbreekt, verlaten bezoekers misschien je website. Dit is vooral belangrijk wanneer je klanten de mogelijkheid hebben om in te loggen met een account. Hun wachtwoord wordt dan immers onveilig verzonden. Dit is geen fijne gedachte. Nog vervelender is dat je betalingsgegevens bij een website onveilig worden verwerkt wanneer HTTPS ontbreekt.

Hoe ontdek ik of ik mixed content heb?

Het eerder genoemde groene slotje is de eerste indicatie. Dit is per pagina echter verschillend. Je homepagina kan bijvoorbeeld veilig zijn, maar vele andere pagina’s (achter de schermen) niet. Dit is te analyseren met behulp software als WebSite Auditor van Link-Assistent. Welk onderdeel binnen je pagina het conflict veroorzaakt, is te achterhalen in de paginabron door de inspectiefunctie te gebruiken in je browser. Dit is wel een tijdrovend en arbeidsintensief proces.

Mixed content oplossen

Belangrijk om te weten is dat mixed content alleen plaatsvindt als je ook een versleutelde verbinding hebt. Oftewel, de beschikking hebt over een SSL-certificaat. Als je geen SSL-certificaat hebt, is de gehele verbinding onveilig. De eerste stap is dus altijd om te zorgen voor een SSL-certificaat. Vanaf hier kun je handmatig de verstorende elementen opnieuw uploaden. Hierbij krijgt bijvoorbeeld een afbeelding meteen een veilige status mee. Deze methode is arbeidsintensief, maar wel veilig en controleerbaar. Daarnaast is het mogelijk om met CMS plug-ins te werken. WordPress biedt bijvoorbeeld de Really Simple SSL plug-in waarin je je SSL-certificaat kunt activeren. De plug-in lost de mixed content achter de schermen voor je op. Tot slot kun je nog HTTPS forceren met behulp van File Transfer Protocol (FTP).

Mixed content en veiligheid als ranking factor

Google neemt siteveiligheid – en daarmee mixed content – mee als ranking factor. Het is voor je ranking wel minder belangrijk dan bijvoorbeeld goede inhoud. Desalniettemin moet niet SEO maar veiligheid je hoofdmotivatie zijn voor HTTPS-encryptie.

Zelf actie ondernemen

Ben je nieuwsgierig naar de aanwezigheid van mixed content op je website? Of wil je een algehele analyse op gebied van SEO? In onze SEO-analyse nemen we ook altijd mixed content mee als onderzoeksitem. Neem vrijblijvend contact op voor meer informatie of vraag direct een SEO-analyse aan.