WooCommerce

Certyfikat SSL przerywa checkout – mieszane treści (mixed content)

13 Lutego 2025 11 min czytania

Spis treści

Wprowadzenie – mixed content i SSL

85% klientów porzuca zakupy, gdy widzi ostrzeżenie o niebezpiecznej połączeniu. Instalacja certyfikatu SSL to pierwszy krok do bezpiecznego sklepu internetowego, ale często nie ostatni. Problem mixed content to jedna z najczęstszych przyczyn, przez którą SSL przerywa proces checkout w WooCommerce.

Mixed content występuje, gdy strona ładuje się przez HTTPS (bezpieczne połączenie), ale niektóre elementy (obrazy, skrypty, style) są wciąż ładowane przez HTTP (niebezpieczne połączenie). Przeglądarki blokują takie elementy, co może prowadzić do uszkodzenia layoutu strony lub całkowitego zablokowania funkcjonalności checkoutu.

W tym przewodniku przeprowadzę Cię przez proces diagnozowania i naprawy problemów z mixed content, aby Twój sklep WooCommerce działał w pełni bezpiecznie i bez zakłóceń.

Czym jest mixed content

Mixed content to sytuacja, w której strona HTML jest ładowana przez bezpieczne połączenie HTTPS, ale zawiera zasoby ładowane przez niebezpieczne HTTP. Przeglądarki traktują to jako potencjalne zagrożenie bezpieczeństwa.

Typy mixed content:

Mixed content pasywny (display content):

  • Obrazy ładowane przez HTTP
  • Pliki audio/wideo na HTTP
  • Pliki CSS (nowoczesne przeglądarki blokują)

Mixed content aktywny (functional content):

  • Skrypty JavaScript ładowane przez HTTP
  • Iframes z HTTP
  • Formularze wysyłające dane na HTTP
  • Ajax requests do endpointów HTTP

Dlaczego mixed content jest problemem?

Gdy strona używa HTTPS, przeglądarka zakłada, że cała komunikacja jest szyfrowana. Jeśli jednak część zasobów ładowanych jest przez HTTP, tworzy to lukę bezpieczeństwa:

  • Ataki Man-in-the-Middle – osoba trzecia może modyfikować treści HTTP
  • Kradzież danych – informacje przesyłane przez HTTP nie są szyfrowane
  • Utrata zaufania – przeglądarki wyświetlają ostrzeżenia
  • Błędy funkcjonalności – skrypty mogą nie działać poprawnie

Wykrywanie mixed content

Zanim naprawisz problem, musisz go zidentyfikować. Oto najskuteczniejsze metody wykrywania mixed content:

Metoda 1: Narzędzia deweloperskie przeglądarki

W Chrome/Edge:

  1. Otwórz stronę z problemem
  2. Naciśnij F12 (lub Ctrl+Shift+I)
  3. Przejdź do zakładki Console
  4. Szukaj ostrzeżeń typu: "Mixed Content: The page was loaded over HTTPS, but requested an insecure resource"

W Firefox:

  1. Otwórz stronę
  2. Naciśnij F12
  3. Przejdź do zakładki Console
  4. Szukaj ostrzeżeń o blokowanych zasobach HTTP

Metoda 2: Zakładka Network

  1. W narzędziach deweloperskich przejdź do zakładki Network
  2. Odśwież stronę (Ctrl+R)
  3. Filtruj wyniki, wpisując "http:"
  4. Zidentyfikuj wszystkie zasoby ładowane przez HTTP

Metoda 3: Online Mixed Content Checker

Narzędzia online, które automatycznie skanują stronę:

  • SSL Checker by Qualys – kompleksowy audyt SSL
  • Jitbit SSL Check – szybkie wykrywanie problemów
  • Why No Padlock – specjalizuje się w mixed content

Metoda 4: Wtyczki WordPress

Wtyczki, które pomagają zidentyfikować problemy:

  • Really Simple SSL – automatycznie wykrywa i naprawia
  • SSL Insecure Content Fixer – zaawansowane opcje naprawy
  • Insecure Content Fixer – konfigurowalne rozwiązanie

Naprawa URL w bazie danych

Najczęstszą przyczyną mixed content są nieprawidłowe URL w bazie danych, które wciąż wskazują na HTTP. Oto jak je naprawić:

Metoda 1: Wtyczka Better Search Replace

  1. Zainstaluj i aktywuj wtyczkę Better Search Replace
  2. Przejdź do Narzędzia → Better Search Replace
  3. W polu "Search for" wpisz: http://twojadomena.pl
  4. W polu "Replace with" wpisz: https://twojadomena.pl
  5. Zaznacz wszystkie tabele (lub wybierz konkretne)
  6. ODZNACZ opcję "Run as dry run?"
  7. Kliknij Run Search/Replace

Metoda 2: WP-CLI (dla zaawansowanych)

Jeśli masz dostęp do WP-CLI:

  1. Zaloguj się przez SSH do serwera
  2. Przejdź do katalogu WordPress
  3. Wykonaj komendę WP-CLI: wp search-replace z parametrami dla wszystkich tabel

Metoda 3: phpMyAdmin (ręczna metoda)

Ostrzeżenie: Zrób backup bazy danych przed wykonaniem!

  1. Zaloguj się do phpMyAdmin
  2. Wybierz bazę danych WordPress
  3. Przejdź do zakładki SQL
  4. Wykonaj zapytanie UPDATE z funkcją REPLACE dla każdej tabeli i kolumny

Kluczowe tabele do aktualizacji:

wp_options:

  • siteurl
  • home
  • Wszystkie opcje z URL w wartościach

wp_posts:

  • post_content
  • post_excerpt
  • guid

wp_postmeta:

  • meta_value
  • Wszystkie pola z URL

Konfiguracja .htaccess

Plik .htaccess może wymusić HTTPS i pomóc w rozwiązaniu problemów z mixed content:

Wymuszanie HTTPS dla całej strony:

Dodaj na początku pliku .htaccess reguły RewriteEngine z warunkiem sprawdzającym stan HTTPS i przekierowaniem 301 na bezpieczną wersję.

Przekierowanie HTTP na HTTPS:

Skonfiguruj warunek RewriteCond sprawdzający czy HTTPS jest wyłączony, następnie przekieruj wszystkie żądania na bezpieczną wersję z kodem 301.

Wymuszanie HTTPS dla konkretnych folderów:

Dla folderu checkout: skonfiguruj RewriteRule z wzorcem dla konkretnej ścieżki i przekierowaniem na HTTPS.

Wyłączanie SSL dla konkretnych stron (jeśli konieczne):

Ostrzeżenie: Używaj tylko w wyjątkowych sytuacjach! Skonfiguruj regułę z warunkiem sprawdzającym włączony HTTPS i przekierowaniem na HTTP dla określonej ścieżki.

Nagłówki bezpieczeństwa:

Dodaj do .htaccess moduł mod_headers.c z nagłówkami: Strict-Transport-Security (HSTS), X-Content-Type-Options, X-Frame-Options oraz X-XSS-Protection.

Pluginy do SSL

Wtyczki mogą znacznie ułatwić proces konfiguracji SSL i naprawy mixed content:

Really Simple SSL

Najpopularniejsza wtyczka do zarządzania SSL:

Funkcje:

  • Automatyczne wykrywanie certyfikatu SSL
  • Naprawa mixed content
  • Wymuszanie HTTPS
  • Przekierowanie 301
  • Nagłówki bezpieczeństwa HSTS

Konfiguracja:

  1. Zainstaluj i aktywuj wtyczkę
  2. Przejdź do Ustawienia → SSL
  3. Włącz opcję "SSL activated"
  4. Sprawdź ustawienia zaawansowane

SSL Insecure Content Fixer

Zaawansowana wtyczka do naprawy mixed content:

Poziomy naprawy:

  • Simple – podstawowa naprawa
  • Intermediate – naprawa skryptów i stylów
  • Advanced – zaawansowane techniki
  • Widget – naprawa widgetów

WP Force SSL

Prosta wtyczka do wymuszania SSL:

Funkcje:

  • Wymuszanie HTTPS
  • Przekierowania
  • Nagłówki bezpieczeństwa
  • Kompatybilność z CDN

CDN i external resources

Zewnętrzne zasoby to częsta przyczyna mixed content. Oto jak je zarządzać:

Problem z CDN:

Wiele sklepów używa CDN do przyspieszenia ładowania, ale jeśli CDN nie obsługuje HTTPS, powstaje problem:

Rozwiązania:

  • Zmień dostawcę CDN na takiego, który obsługuje HTTPS
  • Skonfiguruj CDN do używania HTTPS
  • Wyłącz CDN dla stron z checkoutem

Zewnętrzne skrypty i czcionki:

Google Fonts:

  • Zawsze używaj wersji HTTPS
  • Sprawdź kod wstawiany przez motyw/wtyczki

Font Awesome:

  • Używaj CDN z HTTPS
  • Lub hostuj lokalnie na serwerze

Analytics i tracking:

  • Google Analytics – automatycznie używa HTTPS
  • Facebook Pixel – użyj wersji HTTPS
  • Hotjar – skonfiguruj HTTPS

Zewnętrzne API i bramki płatności:

PayPal:

  • Używaj endpointów HTTPS
  • Sprawdź konfigurację wtyczki PayPal

Stripe:

  • Automatycznie wymaga HTTPS
  • Sprawdź klucze API

Testowanie checkout z SSL

Po naprawie mixed content należy dokładnie przetestować proces checkout:

Checklista testowania:

Strona produktu:

  • Wszystkie obrazy ładują się poprawnie
  • Brak ostrzeżeń w konsoli
  • Przycisk "Dodaj do koszyka" działa

Strona koszyka:

  • Formularz aktualizacji koszyka działa
  • Kody rabatowe działają
  • Przyciski nawigacji aktywne

Strona checkout:

  • Formularz dane klienta działa
  • Metody płatności widoczne
  • Przycisk finalizacji zamówienia aktywny
  • Brak błędów JavaScript

Strona podziękowania:

  • Potwierdzenie zamówienia wyświetla się
  • Dane zamówienia poprawne
  • Email potwierdzający wysyłany

Narzędzia do testowania:

Browser Developer Tools:

  • Console – sprawdzanie błędów
  • Network – analiza ładowania zasobów
  • Security – certyfikat SSL

SSL Labs:

  • Kompleksowy test SSL
  • Ocena konfiguracji
  • Rekomendacje poprawy

Testy transakcyjne:

  1. Wykonaj testowe zamówienie
  2. Użyj trybu sandbox dla bramek płatności
  3. Sprawdź cały proces od produktu do podziękowania
  4. Weryfikuj otrzymanie emaili

Content Security Policy

Content Security Policy (CSP) to dodatkowa warstwa zabezpieczeń, która może pomóc w zapobieganiu mixed content:

Co to jest CSP?

CSP to nagłówek HTTP, który określa, które zasoby mogą być ładowane przez stronę. Pomaga zapobiegać atakom XSS i mixed content.

Implementacja CSP:

Przez .htaccess:

Skonfiguruj nagłówek Content-Security-Policy w module mod_headers.c z dyrektywami dla źródeł skryptów, stylów, czcionek, obrazów i połączeń API.

Przez functions.php:

Dodaj akcję send_headers z warunkiem sprawdzającym panel administracyjny, a następnie ustaw nagłówek CSP z odpowiednimi dyrektywami bezpieczeństwa.

Dyrektywy CSP dla WooCommerce:

Podstawowe dyrektywy:

  • default-src – domyślne zasady
  • script-src – dozwolone skrypty
  • style-src – dozwolone style
  • img-src – dozwolone obrazy
  • connect-src – dozwolone połączenia

Przykład dla sklepu WooCommerce:

Konfiguracja CSP powinna zawierać dyrektywy dla: default-src, script-src (z domenami Google, Stripe, PayPal), style-src (Google Fonts), font-src, img-src, connect-src (API bramek płatności) oraz frame-src.

Testowanie CSP:

  1. Użyj narzędzi deweloperskich
  2. Sprawdź zakładkę Console
  3. Szukaj błędów CSP
  4. Dostosuj dyrektywy

Raportowanie CSP:

Możesz skonfigurować raportowanie naruszeń CSP poprzez nagłówek Content-Security-Policy-Report-Only z dyrektywą report-uri wskazującą na endpoint do zbierania raportów.

Podsumowanie – bezpieczny checkout

Bezpieczny checkout to fundament zaufania klientów w e-commerce. Mixed content to poważny problem, ale można go skutecznie rozwiązać:

Kluczowe kroki:

Diagnoza:

  • Użyj narzędzi deweloperskich do identyfikacji problemów
  • Sprawdź konsolę przeglądarki pod kątem ostrzeżeń
  • Przeanalizuj wszystkie ładowane zasoby

Naprawa:

  • Zaktualizuj URL w bazie danych
  • Skonfiguruj .htaccess
  • Użyj odpowiednich wtyczek
  • Zarządzaj zewnętrznymi zasobami

Testowanie:

  • Przetestuj cały proces checkout
  • Weryfikuj działanie na różnych przeglądarkach
  • Wykonaj testowe transakcje

Najlepsze praktyki:

Prewencja:

  • Od początku używaj HTTPS
  • Regularnie sprawdzaj stan SSL
  • Monitoruj nowe wtyczki i motywy

Monitoring:

  • Ustaw powiadomienia o problemach z SSL
  • Regularnie sprawdzaj certyfikat
  • Monitoruj wydajność checkout

Wpływ na biznes:

Poprawna konfiguracja SSL to nie tylko kwestia bezpieczeństwa, ale także:

  • Zaufanie klientów – zielona kłódka buduje pewność
  • SEO – Google faworyzuje strony HTTPS
  • Konwersje – mniejsze porzucanie koszyka
  • Bezpieczeństwo danych – ochrona informacji klientów

Jeśli interesuje Cię szersze spojrzenie na problemy z checkoutem w WooCommerce, polecam przeczytać artykuł: Checkout WooCommerce nie działa – klient nie może finalizować zamówienia, gdzie znajdziesz więcej szczegółów na temat diagnozowania i rozwiązywania różnych problemów z procesem finalizacji zamówień.

Pamiętaj – bezpieczny checkout to inwestycja w zaufanie klientów i sukces Twojego sklepu internetowego. Czas poświęcony na poprawną konfigurację SSL zaprocentuje wyższymi konwersjami i lepszym doświadczeniem zakupowym.

Potrzebujesz profesjonalnej pomocy w naprawie problemów z SSL i mixed content w sklepie WooCommerce? Chętnie pomożemy Ci zdiagnozować i naprawić wszystkie problemy z certyfikatem SSL, które przerywają proces checkout. Skontaktuj się z nami, aby uzyskać kompleksowe wsparcie w zabezpieczaniu Twojego sklepu i zapewnieniu bezpiecznych transakcji.

zlecenia@devdoit.pl 530 776 999

Przeczytaj także: