Wie ich das Problem beheben kann
Diese Nachricht geht gerade um die IT-Welt: Google Chrome wird Mixed Content in Zukunft vollständig blockieren. Damit möchte Google Chrome die Privatsphäre der Benutzer verbessern und ihnen eine klare Browser-Sicherheit bieten, wie es in der Veröffentlichung heißt.
Was heiß das für deine Website? Wir erklären in diesem Artikel was Mixed Content ist, warum Google Chrome ihn ab Dezember 2020 komplett sperrt und wie du deine Webseite “reparieren” kannst.
Was ist Mixed Content?
Mixed Content bedeutet übersetzt „gemischte Inhalte“. Im IT-Kontext spricht man von Mixed Content, wenn verschiedene Elemente einer Website zum einen über eine verschlüsselte Verbindung (=HTTPS) und zum anderen teilweise über eine unverschlüsselte (=HTTP) Verbindung geladen werden.
Es gibt zwei Arten von Mixed Content:
Passiver Mixed Content (Mixed Display Content) ist die häufigere Art und bezieht sich auf Inhalte, die andere Teile der Website nicht ändern können, sondern nur ausgeliefert werden.
- Bilder
- Videos
- Audioinhalte
- Object-SubRessourcen
- andere Ressourcen, die nicht mit dem Rest der Seite interagieren können
Aktiver Mixed Content (Mixed Scripting) stellt eine größere Bedrohung dar. Aktive gemischte Inhalte interagiert mit der Seite als Ganzes und können so Teile einer Website verändern.
- Skripts (.js)
- Stylesheets (.css)
- Iframes
- Flash-Ressourcen
- XML-http-Request-Objekte
Chrome blockiert Mixed Content
Googles Browser Chrome ist unangefochten der meistverwendete Browser in Europa. Er erzielte im September 2019 weltweit einen Marktanteil von rund 69 Prozent. Um die Privatsphäre und Sicherheit der User zu verbessern, vereinfacht Google die Sicherheitseinstellungen seines Browsers. Vor kurzem hat das Chrome-Sicherheitsteam verkündet, dass zukünftig HTTPS-Seiten nur sichere HTTPS -Unterressourcen laden können. Anderenfalls wird der Web Browser Mixed Content vollständig blockieren. Damit soll sichergestellt werden, dass HTTPS-Konfigurationen im gesamten Web sicher und up-to-date sind.
Was bedeutet das für meine Website und wie kann ich meine WordPress-Website „reparieren“?
Generell gilt, dass jede Übertragung von Daten nur verschlüsselt erfolgen sollte. Niemand gibt gerne etwas über unverschlüsselte Kanäle preis. Das erhöhte Sicherheitsbewusstsein der User fordert dazu auf eine bisher auf HTTP basierende Website auf HTTPS umzustellen. Die Verschlüsselung stärkt das Vertrauen des Users und lässt deine Website seriös und professionell erscheinen. Noch ein Grund, um auf HTTPS umzusteigen? Big Boss Google empfiehlt HTTPS auch fürs SEO – seit 2014 ist eine sichere Verbindung nämlich ein Ranking-Kriterium.
Tipp: Mit der Google Search Console kannst du deine neue HTTPS-Website indexieren lassen.
(HTTP und HTTPS sind nämlich zwei verschiedene Varianten einer Website)
Wie du Mixed Content Warnungen erkennst? Achte im Browser auf das Symbol in der Adressleiste.
- Grünes Schloss? Website „sicher“, kein Mixed Content
- Graues „i“ oder rotes Dreieck? Webseite als unsicher markiert
Wenn eine Mixed Content Warnung erscheint, solltest du herausfinden, welche Inhalte deiner Website diese auslösen. Suche im Quellcode deiner Website nach Mixed Content. Mit der Suchfunktion kannst du Bilder, JavaScripts und Links, die über eine unsichere Verbindung aufgerufen werden, entdecken.
Um Mixed Content-Probleme zu vermeiden solltest du alle Inhalte deiner Website über HTTPS anstelle von HTTP laden. Vermeide Einbindungen von unverschlüsselten Daten (Mediadaten, Stylesheets etc.) in deine verschlüsselte Seite. Andernfalls werden Browserwarnungen wie „Diese Seite ist nicht sicher“ ausgegeben und deine Seite blockiert. Bei einer Umstellung müssen alle eingebundenen Bilder, Videos und Audiodateien über HTTPS geladen werden. Beachte also immer, dass du https:// URLs verwendest, wenn du Ressourcen auf deine Website lädst.
Wenn deine Website auf WordPress basiert, empfehlen wir dir das Plugin „SSL Insecure Content Fixer“ von WebAware. Dies bereinigt unsichere Inhalte und Warnungen zu Mixed Content auf deiner WordPress-Website.
Sollten die Mixed Content-Probleme danach noch nicht behoben sein, kannst du alle Links über ein kleines Tool auf https umschreiben. Nutz dafür einfach “Better Search Replace“. Sicherheitshalber solltest du davor aber ein Backup machen.
Tipp: Der Webhoster Kinsta hat dazu eine Schritt für Schritt Anleitung online gestellt.
Fazit: Unbedingt Mixed Content Warnungen beheben
Google macht mit den brisanten Nachrichten ordentlich Druck für Website-Entwickler. Für deine Website gilt: ersetze alle Pfade deiner Ressourcen die mit http:// beginnen mit https://. Mit dem Plugin “SSL Insecure Content Fixer” kannst du deine WordPress-Website in vielen Fällen ganz einfach bereinigen.
Häufig gestellte Fragen
Mixed Content bedeutet übersetzt „gemischte Inhalte“. Von Mixed Content spricht man, wenn verschiedene Elemente einer Website teilweise über eine verschlüsselte Verbindung (=HTTPS) und teilweise über eine unverschlüsselte Verbindung (=HTTP) geladen werden.
Es gibt zwei Arten von Mixed Content:
Passiver Mixed Content: Bsp. Bilder, Video, Audioinhalte
Aktiver Mixed Content: Skripts (.js), Stylesheets (.css), Links, Iframes
Wir empfehlen das Plugin „SSL Insecure Content Fixer“ von WebAware. Dies bereinigt unsichere Inhalte und Warnungen zu Mixed Content auf deiner WordPress-Website.