Иногда возникает следующая ситуация: вы заказали доверенный SSL сертификат, прошли проверку центром сертификации, установили сертификат на сервер. Все сделали верно, но при попытке перейти на ваш ресурс, браузер выдает ошибку: «Не удалось загрузить сайт, заблокирована загрузка смешанного активного содержимого». Или же, как вариант, веб-сайт загружается, но вместо закрытого замка в адресной строке браузер показывает желтый треугольник и сообщает о том, что соединение зашифровано только частично. Причина этих проблем – смешанное содержимое или смешанный контент (в английском варианте — mixed content) на вашем сайте.
Что же представляет собой смешанный контент? И, самое главное, как от него избавиться?
Что такое смешанное содержимое?
Все мы знаем, что при посещении веб-сайта, на котором клиент планирует ввести какие-либо личные данные, будь-то логин и пароль, ФИО, электронный или простой адрес, номера кредитных карт и прочее, следует обращать внимание, защищена ли эта страница SSL сертификатом. На это указывают некоторые визуальные признаки:
- URL-адрес веб-сайта начинается с расширения https, а не http (например, https://emaro-ssl.ru)
- В адресной строке браузера отображается иконка закрытого замка (чаще всего зеленого цвета)
- Хорошо, если на сайте установлена печать защиты или Site Seal (но ее добавление опционально, поэтому ее отсутствие не всегда говорит об отсутствии SSL сертификата)
- Если на сайт установлен SSL сертификат с расширенной проверкой, зеленая строка будет содержать и название компании-владельца домена на зеленом фоне.
Тем не менее, в некоторых случаях возникают проблемы с отображением содержимого сайта при наличии смешанного содержимого: например, в Google Chrome в адресной строке вместо зеленого замка показывается замок, перекрытый желтым треугольником. В Mozilla Firefox вместо замка показывается треугольник с восклицательным знаком, как на картинке ниже. 
Кроме того, в окне браузера может появляться сообщение о том, что веб-страница содержит смешанное содержимое и информация отображается частично, либо полностью заблокирована и не отображается вообще. В каждом браузере сообщение о смешанном контенте может показываться по-разному, но суть одна – пользователь получает предупреждение и не сможет просмотреть все содержимое страницы, что, соответственно, оказывает негативное влияние на конверсию сайта в целом.
Internet Explorer:

Internet Explorer сообщает, что отображено только безопасное содержимое сайта, предоставленное через безопасный протокол https. У вас есть возможность отобразить весь контент страницы нажатием кнопки “Show all content” («показать все содержимое»).
Google Chrome:

Браузер Google Chrome пишет, что данная страница содержит скрипт из непроверенного источника. Вы можете загрузить все содержимое сайта, нажав на ссылку “Load unsafe content” (“Загрузить небезопасное содержимое)”.
Mozilla Firefox:

Mozilla Firefox также блокирует небезопасное наполнение, однако информирует, что большинство веб-сайтов продолжают работать, несмотря на заблокированное содержимое. Если вы видите одно из этих предупреждений, это значит, что, несмотря на установленный SSL сертификат, соединение не может быть полностью защищено, так как некоторые файлы загружается по http-каналу. Соответственно, эта информация может быть просмотрена или изменена третьими лицами. Поэтому на сайтах со смешанным содержимым не рекомендуется оставлять личную информацию, такую как, например, банковские и паспортные данные, логины и пароли, адреса и так далее.
Почему смешанное содержимое блокируется?
По сути, смешанное содержимое или смешанный контент – это смешанные скрипты протоколов https и http. Дело в том, что если не все наполнение сайта состоит из файлов, загружаемых по протоколу https, и на странице имеется часть контента, загружаемого по протоколу http, то такое соединение может быть защищено только частично. В результате, казалось бы безопасное соединение является не совсем безопасным. Почему же возникают проблемы со смешанным содержимым, и к каким последствиям может это привести? SSL сертификат гарантирует защищенное https-соединение. Соответственно, при установленном SSL сертификате страницы веб-сайта должны загружаться только по протоколу https. Если использовать на безопасном сайте также части контента по http, появляются пробелы в безопасности соединения между веб-сайтом и Интернет пользователем. Следовательно, мошенники или просто третьи лица, заинтересованные в получении конфиденциальных данных, могут заменить части сайта с http на преднамеренно измененную информацию и тем самым скомпрометировать веб-страницу. Заполучив личную информацию посетителей, ее могут использовать в своих корыстных целях.
Каким бывает смешанный контент?
Существует два вида смешанного содержимого: активное и пассивное. Разница между ними состоит в том, как мошенник может использовать ту или иную часть страницы и какими могут быть последствия для пользователей. Давайте разберемся подробнее:
Пассивное смешанное содержимое
Пассивное смешанное содержимое (от англ. Mixed passive content или Mixed display content) – часть страницы, которая отображается на сайте, несет в себе какую-либо информацию, но напрямую не влияет на функционирование сайта. Пассивный смешанный контент появляется, когда на защищенной веб-странице загружается картинка, видеозапись, звуковой файл или объект через http протокол. Мошенники могут заменить соответствующую часть контента дезориентирующей информацией, содержащей cookie-файлы, и таким образом смогут собирать информацию о перемещении пользователя на страницах. Картинку на сайте потенциально могут заменить другим изображением, содержащим неверную информацию или какой-либо призыв к пользователю. Большинство браузеров не блокируют полностью все содержимое пассивного типа, а предупреждают о присутствии такой информации на сайте в виде специального знака , как это было показано на примерах выше. Такой вид смешанного содержимого встречается очень часто на различных веб-сайтах. Предупреждение о смешанном пассивном содержимом на Google Chrome выглядит так:
Виды пассивного смешанного контента:
- src атрибут <audio> — звуковой файл
- src атрибут <img> — изображение
- src атрибут <video> — видеозапись
- субресурсы <object> — запрос каких-либо файлов веб-сайта по http
Активное смешанное содержимое
Активное смешанное содержимое (от англ. Mixed Active Content) – куда более опасный тип смешанного контента. В данном случае через небезопасный http протокол загружаются файлы, которые могут вносить изменения на странице, загружаемой по https-соединению, и потенциально украсть личные данные, вводимые пользователями. Таким образом, вместе с описанными выше рисками, которым подвергает безопасность страницы пассивный контент, активное смешанное содержимое влечет за собой и другие, более опасные угрозы. Так, с его помощью мошенник может перехватить запрос на http контент или изменить ответ сервера, добавив в него вредоносный код JavaScript, который в свою очередь может украсть имя пользователя и пароль, заполучить личные данные или попытаться установить вредоносное ПО на операционной системе пользователя. Большинство браузеров блокирует активное смешанное содержимое. К нему относятся следующие http запросы:
- data атрибут <object> — выбор файла, который отображается на странице
- href атрибут <link> — исходящие ссылки
- src атрибут <script> — файл скрипта
- src атрибут <iframe> — файл, отображаемый во фрейме
- атрибут XMLHttpRequest – объект, с помощью которого JavaScript делает http-запросы к серверу, не перезагружая страницу
Как исправить смешанное содержимое?
После установки SSL сертификата, необходимо обязательно проверять, правильно ли работает веб-страница, корректно ли настроена переадресация, все ли ссылки внутри сайта открываются по протоколу https. Для проверки смешанного контента рекомендуем использовать браузер Google Chrome.
- В первую очередь обратите внимание, как отображается Ваш URL-адрес. Если замочек перед адресом зеленый – проблем с https-соединением нет. Если он перекрыт желтым треугольником, скорее всего, речь идет как раз о смешанном содержимом.
- В окне кликните правой кнопкой мыши и перейдите по ссылке «Просмотр кода элемента». Это же можно сделать, нажав комбинацию клавиш Ctrl+Shift+I.
- Внизу окна браузера появится окно, перейдите в последнюю вкладку Console («Консоль»). В ней будут перечислены проблемные ссылки после предупреждения «Mixed Content: и далее перечисление файлов, которые загружаются по протоколу http», как на примере ниже:
Все, что Вам нужно сделать, — это заменить все http-ссылки на https. Для того, чтобы избежать появления смешанного содержимого при переходе на https, рекомендуем изначально все ссылки внутри сайта оформлять как динамические. Тогда при переходе на https-соединение, они автоматически будут меняться на https-ссылки.
When attempting to view my site over https, I keep getting a «Blocked loading mixed active content» error in my Firefox console. I am getting this error only for my css and js file.
The reason I am so confused is because the reference to the files in the page code itself is https:
<link rel="stylesheet" href="https://www.example.com/style.css">
But in the console, it shows it as http:
Blocked loading mixed active content «http://www.example.com/style.css»[Learn More]
I can do a view source on the page and search for «http://» and there are no results anywhere on the page.
Any ideas?
![]()
asked Aug 31, 2015 at 8:47
![]()
2
I think that you can try with relative protocol caller.
<link rel="stylesheet" href="//www.example.com/style.css">
---------^^
if your users visit your web in http, it loads http, and if the user visit under https it loads https.
answered Aug 31, 2015 at 8:54
6
When attempting to view my site over https, I keep getting a «Blocked loading mixed active content» error in my Firefox console. I am getting this error only for my css and js file.
The reason I am so confused is because the reference to the files in the page code itself is https:
<link rel="stylesheet" href="https://www.example.com/style.css">
But in the console, it shows it as http:
Blocked loading mixed active content «http://www.example.com/style.css»[Learn More]
I can do a view source on the page and search for «http://» and there are no results anywhere on the page.
Any ideas?
![]()
asked Aug 31, 2015 at 8:47
![]()
2
I think that you can try with relative protocol caller.
<link rel="stylesheet" href="//www.example.com/style.css">
---------^^
if your users visit your web in http, it loads http, and if the user visit under https it loads https.
answered Aug 31, 2015 at 8:54
6
Начиная с 2014 года Google стал активно продвигать защищенный протокол соединения HTTPS, сделав его в скором времени одним из факторов ранжирования сайтов в поисковой выдаче. Но кроме самой страницы, все ее содержимое должно также передаваться по HTTPS, в противном случае пользователь получит уведомление о том, что подключение к сайту не защищено. Какой бывает смешанный контент (mixed content), чем он опасен, и как от него избавиться?
Что такое смешанный контент?
Смешанный контент или по-другому mixed content, ситуация, в которой страница загружается с использованием сертификата SSL по защищенному соединению HTTPS, но некоторые ее элементы по стандартному HTTP. Такое может произойти, когда, например, картинка подгружается с другого сервера по незащищенному протоколу.
Суть HTTPS заключается в передаче данных между пользователем и сервером с помощью TLS шифрования. Важно, чтобы все ресурсы страницы также подгружались по зашифрованному соединению, иначе появляется уязвимость, и злоумышленники могут перехватить данные.
Каким он бывает?
Смешанное содержимое страницы может быть двух типов:
- Активным, содержащим в себе исполняемые скрипты. Это наиболее опасный вариант смешанного контента, при котором гораздо проще перехватывать данные. Его можно найти в коде с тегами <script>, <object>, <XTMLHttpRequest><iframe>, наличию URL-адресов в CSS файлах. Вариантов мошенничества, при использовании активного типа содержимого страницы, много, и зависит от уровня взломщика. Например, перенаправление на посторонний сайт, воровство личных данных (номера банковских карт, пароли и т.д.).
- Пассивным, при котором контент отображается без использования скриптов, например, медиа-файлы (фото, музыка, видео). Для пользователей такой вариант безопасен, но злоумышленник может подменить такое содержимое, на что-нибудь непристойное, например. В таком случае, сайт или компания понесут ущерб репутации.
Нет времени разбираться?
SEO-продвижение под ключ
Проанализируем конкурентов, подберем запросы с низкой конкуренцией, проведем поисковую оптимизацию сайта, организуем внешнюю ссылочную массу, проработаем карточки компании на онлайн картах, проведем базовую UX-аналитику сайта. Над каждым проектом работает от 6 до 10 специалистов. Собственные разработчики для доработки сайта при необходимости. От вас — сайт, от нас — позиции в Яндекс/Google и трафик.
Ваш сайт:
Чем опасен mixed content?
Наибольшая опасность от mixed content – кража персональных данных пользователей, как с текущего сайта, так с помощью постороннего. Поэтому такой контент по умолчанию блокируется всеми популярными браузерами. Пассивный же контент предлагается заблокировать пользователю самостоятельно.
Если говорить про влияние на SEO, то незащищенное содержимое оказывает колоссальное влияние на него. Во-первых, посетители оповещаются об опасных ресурсах на странице, после чего пользователи, как правило, покидают сайт. Процент отказов относится к поведенческим факторам ранжирования, если он растет (а он вырастет, если посетители будут получать уведомления о смешанном содержимом), то, соответственно, сайт будет опускаться в результатах органической выдачи. Во-вторых, Google сам факт отсутствия HTTPS протокола у страницы или ее содержимого принимает за негативный сигнал, после чего также идет понижение позиций в поисковиках.
Поэтому при обнаружении смешанного контента, от него следует сразу же избавляться.
Как обнаружить смешанный контент на сайте?
Обнаружить его можно несколькими способами.
Адресная строка браузера
Зайдя на страницу, ее URL-адрес должен начинаться с HTTPS. Далее смотрим на иконку слева от адреса, если содержимое защищено, то отображается замок, в противном случае, появляется надпись: «Не защищено».

«Безопасное подключение» — смешанного содержимого нет
Привлекли 35.000.000 людей на 185 сайтов
Мы точно знаем, как увеличить онлайн–продажи
Применяем лучшие практики digital–продвижения как из вашей тематики, так и из смежных областей бизнеса. Именно это сделает вас на голову выше конкурентов и принесёт лиды и продажи.
Ваш сайт:

«Подключение к сайту не защищено» — сайт на HTTP
При наличии смешанного содержимого в Chrome следующая картина:

Уведомление о смешанном контенте в Chrome
Как видно, данный браузер помечает всю страницу как не защищенную.
В Firefox информация показывается детальнее, указывая на незащищенный контент:

Информация о смешанном контенте в Firefox
Искать таким образом на сайте проблемные страницы достаточно трудозатратно, т.к. если сайт большой, то каждую придется перебирать вручную. К тому же, не всегда удается сходу понять из-за какого именно элемента возник конфликт.
С помощью консоли разработчика
С помощью данного инструмента можно получить информацию о том, какой именно элемент подгружается не по защищенному протоколу. Чтобы открыть консоль, воспользуйтесь комбинацией клавиш – CTRL + Shift + I, либо щелкните правой кнопкой по пустому месту страницы и выберете «Просмотреть код».
По умолчанию в нижней части окна браузера откроется консоль, где сразу видно mixed content:

Отображение mixed content в консоли браузера
Но опять же, способ вряд ли подойдет для обнаружения проблем на большом количестве страниц.
Поиск в Screaming Frog Seo Spider
Для автоматизации поиска страниц со смешанным контентом, лучше использовать специальный софт. Одной из таких программ является Screaming Frog Seo Spider, которая включает в себя множество инструментов по анализу технической стороны сайта. Правда программа платная, но если вы основательно подходите к оптимизации своего ресурса, то это будет оправданная покупка.
Итак, алгоритм действия по поиску проблемных страниц следующий:
- Копируем адрес изучаемого сайта, вставляем в соответствующее поле, жмем «Start».

Программа Screaming Frog Seo Spider
- После того, как краулер программы обойдет все страницы, идем в «Reports — Insecure Content» (Отчеты — Небезопасный контент).

Заходим в «Reports — Insecure Content»
- После чего будет предложено выбрать путь сохранения CSV файла отчета.
- В отчете программа выведет страницы со смешанным контентом и укажет на небезопасные элементы.

Отчет по страницам со смешанным контентом
С помощью онлайн-сервиса
Если нет Screaming Frog Seo Spider, можно воспользоваться полуавтоматическим способом поиска страниц со смешанным контентом. Для этого существуют специальные сервисы, которые сканируют сайт и выводят URL-адреса, на которых присутствует mixed content.
Одним из таких сканеров является jitbit.com, в поле на главной странице вставляется адрес сайта и запускается поиск SLL ошибок.

Сервис jitbit.com
Сервис выведет списком адреса сайта, которые имеют проблемы. После остается лишь пройти их вручную с помощью консоли разработчика, и найти незащищенные элементы.
Как исправить смешанное содержимое?
Как уже стало понятно из статьи, незащищенные элементы подгружаются по HTTP протоколу со сторонних ресурсов. Поэтому главная задача – сделать так, чтобы они грузились через HTTPS. Сделать это можно разными способами.
Самый очевидный – это перенести, если возможно, контент с чужого сайта на свой. Если это медаконтент, то сделать это достаточно просто: размещаем его в директории сайта, после меняем ссылки на него в материалах.
Если подобное невозможно, то на сайте-доноре можно попробовать поменять HTTP на HTTPS, возможно, сайт поддерживает работу по этому протоколу. Если да, то все в порядке, просто меняем на страницах URL-адреса.
В случае, если SLL-сертификат у донора не установлен, то вероятнее всего придется искать ему замену, либо оставлять все так, как есть.
Иногда при переезде сайта с HTTP на HTTPS, неправильно настраивают 301 редиректы, в итоге перенаправление срабатывает только для страниц, а содержимое продолжает работать по старому протоколу. В таком случае, стоит ознакомиться с инструкциями по правильной миграции сайта на защищенный протокол, т.к. подобная ошибка чревата проблемами с индексацией и последующим выпадением из поисковой выдачи.
Все гораздо проще обстоит у тех, кто использует CMS WordPress, на которую существуют несколько удобных плагинов.
SSL Insecure Content Fixer
Данный плагин автоматически «на лету» работает со ссылками на страницах, исправляя все HTTP на HTTPS.
Разработчики подготовили 5 готовых режимов работы плагина:
- Простой, когда требуется исправлять URL-адреса у несложных элементов, например, ссылки изображений. Однако с JavaScript, фреймами и прочими видами контента в таком режиме плагин не работает.
- Для работы с контентом. Также поддерживаются исправления для простых элементов, но в этом случае плагин очищает фреймы от содержимого.
- Для очистки незащищенного содержимого в виджетах.
- Захват практически всего содержимого, исправления касаются всех медиа-элементов, фреймов, стилей и т.д.
- Исправление всего содержимого, в том числе AJAX. В этом случае, плагин внедряется во всю структуру WordPress, что может повлиять на стабильность работы сайта в целом. Данный режим требует теста стабильности работы, иначе могут возникнуть серьезные проблемы, в том числе с индексацией.
В любом случае, плагин имеет большое количество положительных отзывов, высокий рейтинг и постоянно обновляется, к тому же у него русский интерфейс.

Плагин SSL Insecure Content Fixer
SSL Mixed Content Fix
Более простой плагин, который подходит для случаев, когда сайт переехал на HTTPS, но имеются элементы, у которых URL-адреса прописаны через HTTP. Его удобно использовать на ресурсах с большим количеством страниц, содержащих (чаще всего) мультимедийный контент. В идеале лучше исправить все ссылки внутри самих страниц вручную, но если их количество зашкаливает, а результат нужен в короткий срок, то SSL Mixed Content Fix поможет с этим.
После установки и активации, плагин по умолчанию включен.
Из плюсов: имеет простые настройки, достаточно активировать опцию «Enable HTTP/HTTPs Removal» и у смешанного контента (исключительно тот, который находится на вашем сайте/сервере) подменяются URL-адреса. Есть возможность добавления ссылок, которые плагин должен игнорировать.

Плагин SSL Mixed Content Fix
Из минусов: относительно давно не обновлялся, но актуален для версии WordPress 5.4.2. Интерфейс полностью на английском, хотя он достаточно прост и это вряд ли станет проблемой.
Really Simple SSL
Еще один популярный плагин, имеющий более 4-х млн. скачиваний и высокий рейтинг. У него отличный интерфейс, практически полностью переведенный на русский язык. На вкладке «Конфигурация» указаны замечания по сайту.

Плагин Really Simple SSL
Настройки просты, но в то же время разнообразны, по умолчанию у плагина уже выставлены необходимые опции, подходящие под большинство требований по работе со смешанным контентом.

Настройки в плагине Really Simple SSL
Для простого использования достаточно бесплатной версии.
Итак, если у вас на сайте обнаружился смешанный контент, советуем исправить это в ближайшее время. В противном случае, сайт рискует потерять позиции в поисковой выдаче (особенно в Google), а также утратить лояльность со стороны новых и постоянных пользователей. Кроме того, в некоторых случаях вы подвергаете посетителей реальному риску, связанному с утечкой персональной информации.
На чтение 5 мин Просмотров 5.2к. Опубликовано 08.12.2016
Обновлено 11.11.2022
Содержание
- Смешанное содержимое
- Типы смешанного содержимого.
- Как исправить страницу с заблокированным содержимым и что может произойти если не исправить.
- Как исправить сайт
- Как быстро найти и исправить смешанное содержимое
Приветствую вас уважаемые читатели, не так давно я получил SSL сертификат и перевел данный блог на https. Сегодня так сказать продолжение этой истории и мы поговорим о смешанном содержимом сайта — как его найти и исправить. Начнем пожалуй с теории.
Смешанное содержимое
И так, когда человек заходит на сайт по протоколу HTTPS, его соединение с веб-сервером шифруется с помощью TLS и защищено от различных атак и перехватчиков. В случае если на странице, переданной по HTTPS, содержит какой либо контент, передаваемый по HTTP, то соединение считается частично зашифрованным: потому, что все что передаётся по HTTP, можно перехватить и изменить, следовательно такое соединение уже не защищённое. И именно такие страницы называются страницами со смешанным контентом (содержимым).
Типы смешанного содержимого.
Есть 2 группы смешанного контента: Пассивный (отображаемый) и Активное содержимое. Разница между ними заключается в уроне, который может понести сайт в случае перехвата и изменения в процессе передачи.
Так вот пассивный смешанный контент, это по сути изображения (аудио, видео) , которые вы получаете по http с других источников, и если их перехватят, максимум смогут поменять картинку (видео, аудио), на порнобанер к примеру, вашему сайту это урон по идее не нанесет, но вот пользователям думаю будет не очень приятно.
А вот активный смешанный контент (это скрипты, фреймы), несет уже борее серьезные риски. Здесь уже хакеры могут украсть личные данные, перенаправить пользователей на небезопасный сайт и т.д.
Как исправить страницу с заблокированным содержимым и что может произойти если не исправить.
Сейчас практически все самые популярные браузеры по умолчанию блокирует активное смешанное содержимое.
И вот если ваш сайт работает по протоколу HTTPS, а весь его активный контент (ну или часть его), отправлен по HTTP, то он будет заблокирован. А от сюда вытекает следующее, у вас отвалятся слайдеры, выплывающие формы и т.д. в общем все что работает за счет скриптов и ваш будет работать неправильно. А на счет пассивного контента — он пока что загружается по умолчанию, но есть одно но, любой пользователь может заблокировать его в настройках браузера, а то не есть гуд!
В общем, вся суть заключается в следующем, раз вы не поленились перейти на https, то и не поленитесь избавится от смешанного контента!
Как исправить сайт
Самое адекватно решение — перевести весь контент сайта и все его запросы на HTTPS.
В случае с картинками с других ресурсов, можно проверить можно ли их получить по https, если да то просто сменить ссылки, если нет то скачать их с тех сайтов и залить к себе на сервер, ну и соотвественно сменить путь, да и со скриптами можно поступить также)
По поводу всех ссылок, тут можно поступить по разному -заменить в ссылках протокол с http на https, либо сделать ссылки относительными, вот так:
<script src="//site.ru/script.js" type="text/javascript"></script>
На счет относительных ссылок, есть одно но, тут браузер сам выбирает протокол, в вашем случае он будет выбирать https, если то возможно, а вот если невозможно, то запрос пойдёт по HTTP, и у нас снова старая проблема)
Как быстро найти и исправить смешанное содержимое
Вариант 1й. Можно использовать сервис SSL-check, он проверит ваш сайт на наличие HTTP запросов.
Вариант 2й. Через консоль браузера, Гугл хром или Мозилы, мне больше нравиться гугл (я пошел этим путем). Как искать контент данным способом, показано в видео ниже.
И так вы нашли смешанный контент, все круто, в случае с картинками все достаточно просто, посмотрел что за картинка, нашел ее на сайте и изменил. В случае со скриптами все гораздо сложнее, особенно если у вас стоит какой нибудь движок типа того же wordpress с кучей включенных плагинов, вы же не знаете (97% пользователей обычно не знают) какой плагин какие скрипты подключает, а как узнать? В моем случае, у меня клевый хостинг (Бегет — всем рекомендую его), с крутым файловым менеджером, в котором есть функция поиска

Вбил название скрипта, он про шерстил все папки сайта, плагинов, тем и т.д. и показал файлы в которых они подключены, следовательно заходишь в них и правишь протокол (лучше предварительно проверить в браузере, можно его получить с того же сайта но по https, если нельзя можно его от туда скачать и залить к себе и прописать новый путь получения). Если у вас более убогий файловый менеджер, тогда можно скачать весь сайт на компьютер, и проделать такой же поиск по файлам к примеру при помощи NOTEPAD++.
Вот в принципе и все! Удачи вам с борьбой со смешанным содержимым. Да и сделайте бэкапы на всякий случай, мало ли что) Если остались вопросы, задавайте в комментариях.
После этого так же рекомендую проверить правильность установки SSL и если все нормально, то можно вздохнуть спокойно и закрыть этот вопрос)