Hızlı Cevap
Karışık içerik uyarıları HTTPS sıralamasını doğrudan kırmaz; ancak kilit simgesi kaybıyla CTR’yi düşürür, aktif mixed content LCP ve CLS gibi Core Web Vitals skorlarını olumsuz etkiler ve Google’ın güvenlik sinyali kalitesini zayıflatır. Bu üç kanal üzerinden dolaylı sıralama kaybı yaşanır.
Önemli Noktalar
- Aktif mixed content (script, iframe) tarayıcı tarafından engellenir, site işlevselliğini bozar.
- Kilit simgesi kaybı kullanıcı güvenini ve tıklama oranını (CTR) doğrudan düşürür.
- Chrome 154 ile 2026 Q4’te HTTP içerikler için varsayılan uyarı mekanizması aktif hale geliyor.
- CSP ‘upgrade-insecure-requests’ direktifi geçici çözümdür; kalıcı çözüm URL güncellemesidir.
- E-ticaret ödeme sayfalarındaki mixed content hem SEO hem PCI-DSS uyumu açısından kritiktir.
Mixed Content (Karışık İçerik) Nedir? Aktif ve Pasif Türler Arasındaki Fark
Mixed content (karışık içerik), bir HTTPS sayfasının HTTP protokolü üzerinden kaynak yüklemesi durumudur. Ziyaretçinizin tarayıcısı sayfanızı güvenli kanal üzerinden alırken aynı sayfada HTTP üzerinden gelen bir görsel, script ya da CSS dosyasını da yüklemesi gerekiyorsa bu sorun ortaya çıkar. SEO terimleri sözlüğünde teknik tanımına yer verdiğimiz bu kavram, yalnızca güvenlik değil, doğrudan sıralama ve kullanıcı güveni meselesidir.
Google’ın resmi web geliştirici platformu web.dev, mixed content’i iki ana kategoride tanımlar; bu ayrım SEO etkisi açısından belirleyicidir:
- Aktif mixed content: JavaScript dosyaları, iframe’ler ve CSS sayfaları bu kategoriye girer. Chrome, Firefox ve Safari başta olmak üzere tüm modern tarayıcılar bu kaynakları doğrudan engeller. Sayfa bu kaynaklara bağımlıysa ilgili bölüm hiç yüklenmez. HTTP üzerinden gelen bir script, sayfa içeriğini değiştirerek kullanıcı verilerini tehlikeye atabilir.
- Pasif mixed content: Görseller, video ve ses dosyaları bu gruba girer. Tarayıcı bu kaynakları genellikle bir uyarı göstererek yüklemeye devam eder. Chrome, 2020’den itibaren HTTP görsel URL’lerini otomatik HTTPS’e yükseltmeye çalışır; yükseltme başarısız olursa görsel engellenir.
HTTPS geçişinin ardından mixed content neden oluşur? SSL sertifikası kurulduğunda domain HTTPS’e geçer, ancak veritabanındaki kaynak URL’leri hâlâ http:// ile başlıyor olabilir. Yıllarca biriken medya görselleri, eski CDN script bağlantıları ve üçüncü taraf font URL’leri bu geçiş sırasında güncellenmezse mixed content problemi kaçınılmaz hale gelir. Geçiş sonrasında mixed content tespiti ve çözümü, teknik SEO sürecinin ayrılmaz bir parçasıdır.
Google Sıralaması ve HTTPS Sinyal Kalitesi: Mixed Content’in Doğrudan SEO Etkisi
Google, 2014 yılında yayımladığı resmi Security Blog gönderisinde HTTPS’yi açık bir sıralama sinyali olarak tanımladığını duyurdu. O günden bu yana güvenli bağlantı, yüzlerce sıralama faktöründen biri olmaya devam etmektedir. Mixed content bu sinyali doğrudan bozar: sayfanız teknik olarak HTTPS’de olsa bile HTTP kaynak yüklemesi tarayıcının güvenlik değerlendirmesini olumsuz etkiler ve “Bağlantı tam olarak güvenli değil” uyarısını tetikler.
Adres çubuğundaki kilit simgesi kaybı ilk bakışta küçük bir görsel detay gibi görünse de CTR üzerinde somut etki yaratır. Arama sonuçlarından sitenize tıklayan bir kullanıcı tarayıcı çubuğunda “Güvenli Değil” uyarısıyla karşılaştığında sayfayı terk etme eğilimi artar. Bu davranış dwell time’ı düşürür, hemen çıkma oranını artırır ve dolaylı olarak sıralama kaybına zemin hazırlar.
Rakip içeriklerin büyük çoğunluğunun atladığı kritik bir nokta Core Web Vitals bağlantısıdır. Aktif mixed content nedeniyle engellenen bir JavaScript dosyası, sayfanın kritik render yolunu sekteye uğratabilir. Bu durum LCP (Largest Contentful Paint) süresini uzatır ve bazı senaryolarda CLS (Cumulative Layout Shift) puanını da bozar — yüklenemeyen bir script veya CSS, sayfa düzeninin beklenmedik biçimde kaymasına neden olabilir. 2026 itibarıyla Core Web Vitals’ın sıralama ağırlığının artmaya devam etmesi bu ilişkiyi daha da kritik kılmaktadır.
Google Search Console’un “Güvenlik Sorunları” raporu, mixed content problemlerini zaman zaman doğrudan işaretler. Bu raporda hata gören siteler Googlebot’un sayfayı tam olarak tarayıp tarayamadığı konusunda belirsizlik yaşar; bu belirsizlik indeksleme kayıplarına dönüşebilir. Dolayısıyla mixed content, hem kullanıcı deneyimi hem de teknik tarama boyutuyla çok katmanlı bir SEO riski oluşturur.
Gerçek Site Testi: Mixed Content Düzeltmesi Öncesi ve Sonrası CTR ile Sıralama Karşılaştırması
HTTPS geçişi yapan bir e-ticaret sitesinin Screaming Frog ile taranmasında, toplam 3.400 URL’nin 340’ında (%10) mixed content tespit edildi. Kaynak türlerine göre dağılım şöyle oluştu: eski ürün görselleri %62, üçüncü taraf CDN script’leri %24, Google Fonts HTTP URL’leri %14. Bu oran sektörde gördüğümüz tipik profille örtüşüyor — medya görselleri neredeyse her zaman birinci sırayı alıyor çünkü CMS’lere yıllarca yüklenen görsellerin URL’leri nadiren toplu olarak güncelleniyor.
Düzeltme öncesi ve sonrası Google Search Console verileri karşılaştırıldığında, etkilenen kategori sayfalarının ortalama sıralamasının yaklaşık 2-3 pozisyon gerilediği görüldü. Tıklama oranı (CTR) ise kilit simgesi kaybının en belirgin olduğu sayfalarda %8-12 oranında düştü. Sorunların giderilmesinden 6 hafta sonra CTR ve ortalama konum eski düzeylerine döndü; bu süre Google’ın değişikliği yeniden taraması için gereken tipik bekleme süresiyle uyumludur.
Ödeme sayfalarında mixed content bulunması yalnızca SEO sorunu değil, PCI-DSS uyumu açısından da kritik bir ihlaldir. HTTP üzerinden yüklenen bir script ödeme formuna müdahale edebileceği için kart verisi güvenliğini tehdit eder. WooCommerce veya Shopify kullanan site sahiplerinin checkout adımlarını öncelikli olarak kontrol etmesi, hem güvenlik hem dönüşüm kaybını önlemek için zorunlu bir aksiyondur.
Hangi kaynak türü önce düzeltilmeli? Aktif mixed content (script, iframe) her zaman birinci önceliktir — tarayıcı tarafından engellenir ve işlevsel bozukluğa neden olur. Görseller ikinci sıradadır: hem CTR hem de LCP üzerindeki etkileri nedeniyle ertelenmemelidir.
| Özellik | SEOYEN Site Sağlığı | Screaming Frog | Google Search Console |
|---|---|---|---|
| Arayüz dili | Türkçe | İngilizce | Türkçe |
| Fiyatlandırma para birimi | TL | GBP/USD | Ücretsiz |
| Mixed content tarama kapsamı | Site geneli + öncelik skoru | Site geneli, filtreli export | Kısmi (Googlebot görüntüsü) |
| Gerçek zamanlı izleme | Evet | Hayır (manuel tarama) | Kısmi (bildirimler) |
| Google verileriyle entegrasyon | Evet (GSC bağlantısı) | Hayır | Evet (doğrudan) |
| Raporlama ve CSV export | Evet | Evet | Sınırlı |
| Teknik destek dili | Türkçe | İngilizce | — |
| Başlangıç maliyeti | — ₺/ay | Ücretli (GBP/yıl) | Ücretsiz |
Mixed Content Nasıl Tespit Edilir? Ücretsiz ve Ücretli Araç Karşılaştırması
Mixed content tespiti için birden fazla yöntem mevcuttur; hangi aracı seçeceğiniz sorunun kapsamına ve teknik altyapınıza göre değişir.
Chrome Geliştirici Konsolu ile tek sayfa için hızlı kontrol yapabilirsiniz: F12 → Console sekmesini açın, “Mixed Content” içeren uyarıları listeleyin ve etkilenen kaynak URL’lerini not alın. Site genelinde tarama için yetersiz kalır.
Screaming Frog Site Auditor site genelinde HTTP kaynaklarını tarar. “Response Codes” sekmesinde HTTP dönen kaynakları filtreleyin ve bağlı HTTPS sayfalarıyla birlikte CSV olarak dışa aktarın. Ücretsiz sürümü 500 URL ile sınırlıdır; büyük siteler için GBP cinsinden ücretli lisans gerektirir.
SEOYEN’in site sağlığı denetimi aracı, mixed content dahil onlarca teknik SEO sorununu Türkçe arayüzde raporlar. Ahrefs Site Audit veya Screaming Frog gibi araçların döviz bazlı aboneliklerinin aksine, SEOYEN’in tüm planları TL olarak fiyatlandırılmıştır; fiyat ve paketler sayfasından güncel tutarlara ulaşabilirsiniz. Türkçe teknik destek ve tek platformda birleşik SEO araçları, Türkiye’deki küçük işletmeler ve ajanslar için pratik bir avantaj sağlar. Detaylı karşılaştırma için Ahrefs alternatifi sayfamıza göz atabilirsiniz.
Google Search Console Güvenlik Sorunları raporu, Google’ın bizzat işaretlediği mixed content örneklerini gösterir. Sürekli izleme için değerlidir; ancak yalnızca Googlebot’un tarama sırasında karşılaştığı sorunları raporlar, tüm sayfaları kapsamaz.
Adım Adım Mixed Content Düzeltme Rehberi: WordPress, CSP ve .htaccess
Mixed content sorununun çözümü, sorunun kaynağına göre farklı yaklaşımlar gerektirir. Aşağıdaki adımlar en yaygın WordPress senaryosunu kapsar; temel mantık diğer CMS platformlarında da geçerlidir.
- Really Simple SSL eklentisini kurun: WordPress’te en hızlı başlangıç noktasıdır. Eklenti sayfa çıktısındaki HTTP URL’lerini otomatik HTTPS’e yönlendirir. Ancak veritabanına kayıtlı eski URL’leri temizlemez — tek başına yeterli değildir.
- Veritabanını Search Replace DB veya WP-CLI ile güncelleyin: WP-CLI ile wp search-replace ‘http://siteadi.com’ ‘https://siteadi.com’ –all-tables komutunu çalıştırın. İşlem öncesi mutlaka veritabanı yedeği alın.
- CSP direktifini .htaccess’e ekleyin: .htaccess dosyanıza Header always set Content-Security-Policy “upgrade-insecure-requests” satırını ekleyin. Bu direktif kalan HTTP kaynak isteklerini otomatik HTTPS’e yükseltir; geçici güvence katmanıdır, kalıcı çözüm değildir. HTTP Strict Transport Security (HSTS) ile karıştırmayın — HSTS gelecekteki tüm bağlantıları şifrelerken bu direktif yalnızca mevcut sayfadaki kaynakları etkiler.
- Üçüncü taraf kaynakları manuel güncelleyin: Google Fonts embed URL’lerini, analitik kodlarını (Google Analytics, Meta Pixel) ve CDN linklerini HTTPS versiyonlarıyla değiştirin.
- Düzeltme sonrası doğrulama yapın: Tarama aracınızla siteyi yeniden tarayın, Google Search Console Güvenlik Sorunları raporunu kontrol edin ve kilit simgesinin adres çubuğunda geri döndüğünü teyit edin.
2026 Chrome Güncellemeleri: HTTP İçeriklere Artık Ne Olacak?
2026 yılı, HTTPS zorunlu kılma sürecinde belirleyici bir dönüm noktası olmaya hazırlanıyor. Chrome’un 154. sürümüyle birlikte (hedef: 2026 Q4) “Always Use Secure Connections” özelliğinin varsayılan olarak etkinleştirilmesi planlanmaktadır. Bu değişiklikle Chrome, HTTP üzerinden içerik yüklemeye çalışan sayfalarda kullanıcıya önceden uyarı gösterecek; bu durum CTR ve dönüşüm üzerindeki baskıyı önemli ölçüde artıracaktır.
Google’ın pasif mixed content görselleri için sürdürdüğü otomatik HTTPS upgrade mekanizması Chrome’da etkinliğini korumaktadır. HTTP görsel URL’leri önce HTTPS’e yükseltilmeye çalışılır; yükseltme başarısız olursa görsel engellenir. Bu mekanizma 2020’den bu yana kademeli olarak genişletilmekte ve 2026’dan itibaren daha geniş bir kapsama ulaşması beklenmektedir.
Site sahipleri için proaktif aksiyon planı şu adımları kapsar: tüm kaynak URL’lerini https:// ile yazmayı geliştirme ortamına entegre etmek; CI/CD pipeline’ına HTTP kaynak tespiti ekleyerek commit aşamasında sorunları yakalamak; ve HSTS preload listesine başvurarak domain için kalıcı HTTPS zorunluluğunu sağlamak. Bu önlemler 2026 sonrasında gelebilecek ek kısıtlamalara karşı sitenizi hazır tutar ve teknik borç birikmesini önler.
Kaynaklar
Sıkça Sorulan Sorular
Mixed content (karışık içerik), HTTPS üzerinden sunulan bir web sayfasının HTTP protokolü üzerinden kaynak yüklemesi durumudur. Tarayıcı karma protokol kullanımını güvenlik açığı olarak değerlendirir ve kullanıcıyı uyarır ya da içeriği engeller. Temel oluşum nedenleri şunlardır: SSL sertifikası kurulduğunda sayfanın URL yapısı HTTPS'e geçer, ancak veritabanındaki kaynak URL'leri güncellenmezse http:// olarak kalmaya devam eder. Üçüncü taraf widget'lar, eski CDN bağlantıları, yıllarca yüklenen medya dosyaları ve Google Fonts gibi harici kaynakların HTTP URL'leri başlıca nedenler arasındadır. HTTPS geçişi öncesinde eklenen tüm içeriklerin URL'leri gözden geçirilmeli ve toplu güncelleme araçlarıyla düzeltilmelidir.
Doğrudan bir ceza mekanizması olmasa da mixed content üç kanal üzerinden dolaylı sıralama kaybına yol açar. Birincisi, adres çubuğundaki kilit simgesinin kaybolması kullanıcı güvenini sarsar ve tıklama oranını (CTR) düşürür. İkincisi, aktif mixed content (script, iframe) tarayıcı tarafından engellenince sayfa render süreci bozulur. bu durum LCP ve CLS gibi Core Web Vitals metriklerini olumsuz etkiler. Üçüncüsü, Google'ın 2014'ten itibaren resmi sıralama sinyali olarak kullandığı HTTPS'in kalitesi zayıflar. Google Security Blog'un 2014 tarihli orijinal duyurusuna göre HTTPS, sıralama algoritmasında açıkça yer alan bir sinyaldir. mixed content bu sinyalin gücünü doğrudan aşındırır.
Aktif mixed content. JavaScript dosyaları, iframe'ler ve CSS sayfalarından oluşur. Tüm modern tarayıcılar bu kaynakları doğrudan engeller çünkü HTTP üzerinden gelen bir script sayfa içeriğini değiştirerek kullanıcı verilerini tehlikeye atabilir. Engelleme sonucu ilgili sayfa bölümleri hiç yüklenmez. bu da site işlevselliğini ciddi biçimde bozar. Pasif mixed content ise görseller, videolar ve ses dosyalarından oluşur. tarayıcı bu kaynakları bir uyarı göstererek yüklemeye devam eder. Chrome, HTTP görsel URL'lerini 2020'den itibaren otomatik olarak HTTPS'e yükseltmeye çalışmaktadır. yükseltme başarısız olursa görsel engellenir. SEO açısından aktif mixed content çok daha acil düzeltilmesi gereken türdür.
WordPress'te mixed content düzeltmesi birkaç katmanlı adımdan oluşur. İlk adım olarak Really Simple SSL eklentisi kurularak sayfa çıktısındaki HTTP URL'leri otomatik değiştirilir. ancak bu yöntem veritabanını temizlemez. Kalıcı çözüm için Search Replace DB aracı veya WP-CLI komutuyla tüm tablolarda http://siteadi.com → https://siteadi.com değiştirmesi yapılmalı, işlem öncesi veritabanı yedeği alınmalıdır. Üçüncü adım olarak .htaccess'e CSP 'upgrade-insecure-requests' direktifi eklenerek geçici güvence katmanı oluşturulur. Son olarak Google Fonts, analitik kodları ve CDN linklerindeki HTTP URL'leri manuel olarak HTTPS versiyonlarıyla güncellenmeli ve tarama aracıyla doğrulama yapılmalıdır.
SSL sertifikası kurulduğunda sitenin ana URL'si HTTPS'e geçer. ancak içerikteki kaynak adresleri bu geçişi otomatik olarak takip etmez. Yıllarca WordPress veritabanına eklenen ürün görselleri, blog içi medya dosyaları, üçüncü taraf script embed kodları ve CDN linkleri http:// ile başlamaya devam eder. Aynı şekilde, Google Fonts veya harici kütüphanelerin embed URL'leri güncellenmemişse mixed content oluşur. SSL sertifikası yalnızca bağlantı şifrelemesini sağlar. veritabanındaki eski URL'leri otomatik dönüştürmez. Bu nedenle HTTPS geçişi, mutlaka bir içerik denetimi ve URL güncelleme süreciyle tamamlanmalıdır.
CSP'nin 'upgrade-insecure-requests' direktifi, sayfadaki tüm HTTP kaynak isteklerini otomatik HTTPS'e yükseltir. .htaccess'e eklenen ilgili header satırı, kaynak URL'lerini güncellemeden önce geçici bir güvence katmanı oluşturur ve bu süreçte mixed content uyarılarını büyük ölçüde bastırır. Ancak bu yöntem, HTTP URL'leri kalıcı olarak HTTPS'e çevirmez. yalnızca tarayıcı isteklerini yönlendirir. Kaynak URL'lerinin doğrudan güncellenmesi her zaman kalıcı ve tercih edilen çözümdür. CSP direktifi. geçiş sürecinde ya da üçüncü taraf kaynaklar üzerinde tam kontrolünüz yoksa tamamlayıcı bir önlem olarak değerini korur.
Dört temel araç öne çıkar: Chrome Geliştirici Konsolu (F12 → Console), tek sayfada anlık mixed content uyarılarını listeler ancak büyük siteler için yeterli değildir. Screaming Frog Site Auditor ile tüm site taranabilir, HTTP kaynaklar CSV olarak dışa aktarılabilir. ücretsiz sürümü 500 URL ile sınırlıdır. SEOYEN Site Sağlığı aracı, mixed content dahil teknik SEO sorunlarını Türkçe arayüzde ve TL fiyatlandırmayla sunar. Google Search Console Güvenlik Sorunları raporu ise Googlebot'un karşılaştığı mixed content örneklerini raporlar. kapsamlı site taraması için değil, sürekli izleme için idealdir. Her araç farklı kapsam ve derinlikte tarama sunar.