Halo Para Cloudku pernah kah Anda mendengar istilah Mixed Content? pada artikel ini akan dibahas mengenai Apa itu Mixed Content? Mengapa Mixed Content dianggap Buruk? Bagaimana Cara Mengatasi Mixed?.
Apa itu Mixed Content?
Mixed Content konfigurasi URL dalam website yang berbeda-beda dimana sebagian tersetting menggunakan absolut path https dan sebagian gunakan http. Mixed Content juga dikatakan dapat melemahkan keamanan dan user experience dari pengunjung website Anda. Issue mixed content ini biasa terjadi jika Anda baru saja melakukan instalasi SSL dan redirect https pada website Anda, tapi belum semua konten di website Anda sepenuhnya redirect dari http ke https. Ketika SSL sudah terinstall namun https nya ada peringatan tidak sempurna.
Terdapat 2 jenis konten yang ada, yang pertama yaitu konten yang dikirim melalui koneksi HTTPS dan dienkripsi agar keamanan nya tetap terjaga. Kedua, ada juga konten atau materi yang dikirim melalui koneksi HTTP yang tidak dienkripsi sehingga keamanan nya kurang terjaga. Jika kamu menggunakan HTTPS, maka konten mu tidak akan dapat dilihat atau dirusak oleh pihak-pihak yang tidak bersangkutan. Hal tersebut merupakan salah satu faktor yang membuat enkripsi sangat penting untuk website, apalagi jika di dalam website Anda terdapat banyak data yang perlu dirahasiakan seperti data keuangan, data konsumen, data transaksi, dan lain-lain.
Passive Mixed Content
Passive Mixed Content ini merupakan sebuah content yang tidak melakukan interaksi lebih dengan halaman website. Dengan interaksi yang tidak banyak, maka kemungkinan Man-In-The-Middle-Attack pun juga terbatas dan tidak bisa melakukan seenaknya dan sebebasnya. Sehingga kemungkinan untuk menyadap, meretas, serta mengubah content yang ada di dalamnya pun kecil. Passive Mixed Content ini terdiri dari gambar, video, serta materi audio yang membuat resource lain tidak bisa berinteraksi secara lebih di halaman website. Sehingga passive mixed content ini bisa dibilang tidak terlalu mengganggu dan kemungkinan menyebabkan risiko yang tidak terduga pun rendah.
Tapi Anda harus tetap berhati-hati, Meskipun kemungkinan untuk menyebabkan risiko yang tidak terlalu tinggi, passive mixed content juga dapat menimbulkan ancaman keamanan pada website. Contoh kejadian yang kemungkinan dapat terjadi yaitu seorang penyerang bisa melakukan penyadapan terhadap permintaan HTTP untuk gambar pada website yang ada dan menukar dengan mengganti gambar-gambar yang ada menjadi gambar lain yang tidak diketahui oleh pemilik. Penyerang tersebut akan bisa melakukan penggantian gambar dan menukar serta menyimpan di website dan menghapus gambar-gambar asli di website. Gambar yang sebelumnya ada di website pun dapat diubah menjadi gambar-gambar yang tidak layak seperti mengandung konten sara, kekerasan, memalsukan identitas, atau bahkan foto-foto produk yang ada di website mu diubah menjadi iklan untuk produk lain.
Meskipun penyerangan yang dilakukan tidak akan mengubah konten pada website, tetapi Anda tentunya akan menghadapi masalah keamanan serta privasi yang besar karena penyerang bisa mengakses dan melacak pengguna dengan menggunakan permintaan mixed content. Hal ini dapat membuat para penyerang mengetahui halaman website mana saja yang telah dibuka dan produk mana saja yang dilihat oleh pengguna berdasarkan informasi gambar dan resource lain yang dimuat oleh browser. Beberapa browser juga melakukan render untuk tipe passive mixed content ini untuk pengguna, selain itu peringatan mengenai mixed content juga tetap ditampilkan agar pengguna dapat berwaspada karena hal tersebut juga dapat menimbulkan risiko keamanan dan privasi pada website.
Active Mixed Content
Berbeda dengan passive mixed content, active mixed content ini tentunya aktif berinteraksi dengan halaman website secara keseluruhan dan para penyerang ini berkemungkinan untuk melakukan hampir semua hal pada halaman website. Active mixed content ini terdiri dari skrip, stylesheet, iframe, resource flash, serta kode-kode lain yang dapat diunduh serta dieksekusi langsung oleh browser.
Active mixed content ini dapat menimbulkan ancaman yang lebih besar daripada passive mixed content. Penyerang bisa saja mengubah dan menulis ulang active content yang dapat membuat kontrol sepenuhnya terhadap halaman website kamu bahkan seluruh website mu bisa dikuasai. Beberapa kejadian yang terjadi terkait dengan active mixed content ini adalah pengubahan content yang sangat berbeda jauh dari yang asli, pencurian kata sandi pengguna serta akses untuk proses masuk lainnya, pencurian cookie pengguna, atau bahkan mengalihkan pengguna ke situs lain yang sangat berbeda jauh dari miliknya sendiri. Karena tipe mixed content yang sangat membahayakan, maka banyak browser yang akhirnya melakukan pemblokiran untuk tipe active mixed content agar dapat melindungi keamanan pengguna nya sehingga tidak akan terjadi risiko yang tidak diinginkan.
Mengapa Mixed Content dianggap Buruk?
Mixed Content menjadi suatu hal yang membingungkan karena Anda akan bingung ketika melihat sebuah website dan kemungkinan Anda tidak akan bisa membedakan mana yang aman dan tidak aman. Hal yang mungkin bisa terjadi misalnya ketika Anda menggunakan jaringan Wi-Fi di area umum, dapat terjadi pemantauan penekanan tombol bahkan sampai memasukkan cookie pelacakan.
Active Mixed Content merupakan yang paling berbahaya, misalnya gambar, video, serta audio yang dapat menimbulkan risiko yang tidak diketahui. Misalnya saat mengakses website yang konten nya sensitif seperti website perdagangan saham yang bisa saja menampilkan gambar-gambar tidak aman sehingga berpotensi menimbulkan risiko dan rusak. Selain itu, karena terhubung dengan website yang tidak diamankan pun bisa membuat para pengintai dan pencuri data mungkin melihat apa yang kamu lihat di website saat itu.
Ini menjadi hal buruk jika mencampur konten-konten yang ada. Jika halaman banyak halaman website yang menggunakan HTTPS, maka resource yang yang digunakan juga harus dari HTTPS. Namun, pada kenyataannya tetap ada website yang menggunakan HTTP dan meningkatkannya ke HTTPS. Hal ini tidak dapat dibenarkan karena pengguna yang melakukan hal tersebut tidak selalu memperbarui untuk menggunakan resource HTTPS dimana pun dan kapan pun. Justru bisa saja pengguna hanya bergantung pada resource yang disediakan oleh pihak ketiga yang tidak mendukung HTTPS pada saat itu. Akibatnya halaman website akan mencampurkan konten-konten atau yang disebut mixed content dan hal itu tidak baik untuk website. Mixed content juga dianggap buruk karena dapat membuat halaman website tidak bekerja secara optimal sehingga menyebabkan kinerja website tidak maksimal sesuai dengan kapasitas nya.
Mengatasi masalah mixed content karena plugin elementor
Misalnya anda baru saja mengganti tema website lama anda dengan yang baru. Dan tema website yang baru membundle "elementor" sebagai plugin page buildernya. Sesaat setelah demo import anda dapati bahwa URL bar halaman homepage anda tidak menampilkan gambar gembok, melainkan tanda seru dengan label "Not Secure".
Jangan khawatir, karena pada elementor sendiri sudah menyiapkan built in tools untuk mengatasi content mixer. Dengan langkah-langkah sebagai berikut :
- Dari dashboard admin anda, silahkan menuju Elementor >> Lalu pilih Tools.
- Lalu pada page tools elementor, lakukan"Regenerate CSS", dan klik save changes atau simpan perubahan.
- Lalu pindahlah ke tab "Replace URL".
- Pada kolom input yang pertama masukan nama domain anda dengan prefix http (http://example.com).
- Pada kolom input yang kedua masukan nama domain anda dengan prefix https (https://example.com).
- Lalu klik "Replace URL".
- Elementor akan mereplace semua halaman non http tadi menjadi https, dengan informasi berapa row yang berhasil di replace.
- Bersihkan cache anda dan akses kembali website anda, seharusnya website anda secara keseluruhan akan menampilkan halaman yang https.
Mengatasi masalah mixed content yang masih membandel
Seringkali banyak laporan dari pengguna yang sudah melakukan replace url dan regenerate CSS elementor tapi websitenya masih menampilkan halaman non https. Hal ini disebabkan karena halaman tersebut memang masih mengandung atau terasosiasi dengan element atau link ke situs yang non https.
Mengatasi masalah content mixer WordPress dengan chrome dev tools
- Caranya anda deteksi dulu pada halaman mana terdapat content mixer.
- Klik kanan pada halaman dimana terdapat content mixer, lalu klik inspect
- Klik "console" dan lihat masing-masing element apa yang masih mengandung content mixer.
Abaikan saja jika anda menemukan "A cookie associated with a cross-site resource at http://". Karena hal tersebut tidak terlalu berpengaruh pada penyebab content mixer. Coba cari misalnya ada file gambar, background atau logo tema website anda masih terasosiasi (hotlink) dengan situs demo penyedia template website yang non https.
Mungkin anda perlu melokalkan dulu file-file tsb, lalu upload kembali ke file upload anda untuk anda jadikan background, logo dan sebagainya. Sampai disini mengatasi masalah content mixer di wordPress, semoga dapat membantu menyelesaikan masalah Anda.