Падручнік17 мая 2026 | FlexyConsent

Аўдыт cookie ў WordPress: як тэмы і плагіны напаўняюць ваш сайт трэкерамі

Схаваная праблема cookie ў WordPress

Большасць уладальнікаў сайтаў на WordPress не ўсведамляюць, колькі cookie ўсталёўвае іх сайт. Свежая ўстаноўка WordPress з папулярнай тэмай і некалькімі распаўсюджанымі плагінамі лёгка можа ўсталяваць ад 15 да 30 cookie на розных дамёнах, многія з іх — да таго, як у наведвальніка з'явіцца магчымасць даць згоду. Гэта не вынік наўмыснага адсочвання — гэта кумулятыўны эфект тэм і плагінаў, якія загружаюць знешнія рэсурсы, што пастаўляюцца са сваімі cookie.

Разуменне таго, адкуль бяруцца гэтыя cookie, што яны робяць і як імі кіраваць, неабходна для любога сайта WordPress, якому трэба адпавядаць GDPR, ePrivacy або аналагічным рэгламентам. Гэты дапаможнік пакрокава апісвае працэс аўдыту.

Чаму сайты WordPress назапашваюць так шмат cookie

Архітэктура плагінаў WordPress — гэта адначасова яго найвялікшая сіла і найбуйнейшая пагроза канфідэнцыяльнасці. Кожны плагін працуе паўнезалежна, і большасць распрацоўшчыкаў плагінаў засяроджаны на функцыянальнасці, а не на адпаведнасці патрабаванням да cookie. Вось асноўныя крыніцы cookie на тыповым сайце WordPress:

Тэмы і Google Fonts

Многія тэмы WordPress загружаюць Google Fonts напрамую з fonts.googleapis.com. Калі браўзер наведвальніка запытвае гэтыя шрыфты, Google можа ўсталяваць cookie і сабраць IP-адрас наведвальніка, інфармацыю аб браўзеры і рэферальную старонку. У 2022 годзе нямецкі суд пастанавіў, што загрузка Google Fonts з сервераў Google без згоды парушае GDPR, што прывяло да штрафу ў памеры 100 еўра за кожнага закранутага наведвальніка. Рашэнне — размяшчаць шрыфты лакальна, але большасць тэм па змаўчанні па-ранейшаму ўказваюць на серверы Google.

Канструктары старонак і аналітыка

Elementor, самы папулярны канструктар старонак WordPress, загружае знешнія рэсурсы, уключаючы шрыфты, і можа ўсталёўваць cookie адсочвання выкарыстання. Некаторыя віджэты Elementor убудоўваюць іншародны кантэнт (відэа YouTube, Google Maps), які ўсталёўвае свае cookie. Нават бясплатная версія Elementor можа адпраўляць ананімізаваныя даныя аб выкарыстанні, калі гэта яўна не адключана ў наладах.

SEO-плагіны

Yoast SEO і Rank Math самі ўсталёўваюць няшмат cookie, але яны часта інтэгруюцца з Google Search Console і заахвочваюць дадаваць коды адсочвання Google Analytics. Скрыпты аналітыкі, якія яны дапамагаюць укараніць, з'яўляюцца асноўнай крыніцай cookie. Прэміум-версія Yoast таксама звязваецца з серверамі Yoast для SEO-аналізу, што можа ўключаць cookie.

Jetpack і сэрвісы WordPress.com

Jetpack — адзін з самых пладавітых усталёўшчыкаў cookie ў экасістэме WordPress. У залежнасці ад таго, якія модулі актыўныя, Jetpack можа ўсталёўваць cookie для:

Статыстыкі сайта (статыстыка WordPress.com)
Кнопак сацыяльнага абмену (загрузка скрыптаў з Facebook, Twitter, LinkedIn)
Сістэмы каментарыяў (cookie Gravatar)
Функцый бяспекі (cookie модуля Protect)
Выкарыстання CDN (cookie CDN WordPress.com)

Адзіная ўстаноўка Jetpack з наладамі па змаўчанні можа адказваць за 8–12 cookie з розных дамёнаў.

WooCommerce і электронная камерцыя

WooCommerce усталёўвае некалькі cookie, якія лічацца строга неабходнымі для функцыянальнасці электроннай камерцыі:

woocommerce_cart_hash: дапамагае WooCommerce даведацца, калі мяняецца змесціва кошыка.
woocommerce_items_in_cart: адсочвае, ці ёсць тавары ў кошыку.
wp_woocommerce_session_*: змяшчае ўнікальны код для сесіі кожнага кліента.

Хоць гэтыя cookie, як правіла, вызвалены ад патрабаванняў згоды як строга неабходныя, пашырэнні WooCommerce для апрацоўкі плацяжоў, аднаўлення пакінутых кошыкаў і маркетынгавай аўтаматызацыі дадаюць шмат іншых cookie, якія сапраўды патрабуюць згоды.

Кантактныя формы і reCAPTCHA

Плагіны кантактных форм, такія як Contact Form 7, WPForms і Gravity Forms, часта выкарыстоўваюць Google reCAPTCHA для абароны ад спаму. reCAPTCHA v2 і v3 усталёўваюць некалькі cookie, уключаючы _GRECAPTCHA, і загружаюць скрыпты з google.com, якія могуць усталёўваць дадатковыя cookie адсочвання. Гэта азначае, што нават простая кантактная старонка можа запускаць cookie, звязаныя з рэкламай.

Плагіны кэшавання

Плагіны кэшавання, такія як WP Super Cache, W3 Total Cache і WP Rocket, усталёўваюць свае cookie для кіравання паводзінамі кэша. Звычайна гэта функцыянальныя cookie (напрыклад, для абыходу кэша для аўтарызаваных карыстальнікаў), але іх усё роўна трэба задакументаваць у вашай палітыцы cookie.

Як правесці аўдыт cookie на вашым сайце WordPress

Дбайны аўдыт cookie ўключае сканіраванне вашага сайта з пункту гледжання наведвальніка. Вось працэс:

Крок 1: выкарыстоўвайце інструменты распрацоўшчыка браўзера

Адкрыйце ваш сайт у Chrome, перайдзіце ў DevTools > Application > Cookies і вывучыце ўсе cookie, усталяваныя для вашага дамена і іншародных дамёнаў. Рабіце гэта ў акне інкогніта, каб імітаваць першага наведвальніка. Запішыце імя, дамен, тэрмін дзеяння кожнага cookie і ці з'яўляецца ён уласным або іншародным.

Крок 2: выкарыстоўвайце спецыялізаваны сканер cookie

Ручная праверка выяўляе cookie, якія ўсталёўваюцца пры загрузцы старонкі, але прапускае cookie, якія ўсталёўваюцца пры ўзаемадзеяннях (націсканне кнопак, адпраўка форм, прагортка). Спецыялізаваныя сканеры, такія як бясплатны сканер Cookiebot, сканер CookieYes або браўзерныя пашырэнні накшталт EditThisCookie, даюць больш поўныя вынікі. Запускайце сканіраванне на некалькіх старонках, а не толькі на галоўнай.

Крок 3: катэгарызуйце кожны cookie

Згрупуйце выяўленыя cookie па стандартных катэгорыях:

Строга неабходныя: сесійныя cookie, аўтэнтыфікацыя, бяспека, функцыянальнасць кошыка. Яны не патрабуюць згоды.
Функцыянальныя: моўныя перавагі, наладка інтэрфейсу. Згода тэхнічна патрабуецца, але яны прадстаўляюць нізкі рызыка.
Аналітыка: Google Analytics, статыстыка WordPress.com, інструменты цеплавых карт. Згода патрабуецца.
Маркетынг/рэклама: Google Ads, Facebook Pixel, cookie рэмаркетынгу. Згода патрабуецца, і іх блакіроўка мае найвышэйшы прыярытэт.

Крок 4: супаставіце cookie з іх крыніцамі

Для кожнага cookie вызначце, якая тэма або плагін за яго адказвае. Менавіта тут WordPress ускладняецца — адна старонка можа загружаць скрыпты з 5 розных плагінаў, кожны з якіх усталёўвае свае cookie. Часова дэактывуйце плагіны адзін за адным, каб вызначыць, які плагін усталёўвае якія cookie.

Распаўсюджаныя крыніцы cookie і іх рашэнні

Вось кароткі даведнік па найбольш распаўсюджаных крыніцах cookie WordPress і спосабах іх ліквідацыі:

Google Fonts: перайдзіце на лакальна размешчаныя шрыфты. Плагіны накшталт OMGF або налады вашай тэмы могуць гэта аўтаматызаваць.
Google Analytics: павінен быць заблакаваны да прадастаўлення згоды. Гэта апрацоўваецца вашай CMP.
Убудаванні YouTube: выкарыстоўвайце дамен youtube-nocookie.com замест youtube.com. Гэта прадухіляе большасць cookie адсочвання.
Google Maps: загружайце толькі пасля згоды або выкарыстоўвайце статычны відарыс карты ў якасці запаўняльніка.
Facebook Pixel: павінен быць заблакаваны да прадастаўлення маркетынгавай згоды.
reCAPTCHA: разгледзьце альтэрнатывы, такія як hCaptcha (больш прыязны да канфідэнцыяльнасці) або метады honeypot, якія не патрабуюць знешніх скрыптаў.

Наладка плагіна FlexyConsent для WordPress для поўнай адпаведнасці

Пасля таго як вы правялі аўдыт cookie і зразумелі, што трэба кантраляваць, укараненне FlexyConsent у WordPress становіцца простым.

🔌

Афіцыйны плагін WordPress

FlexyConsent для WordPress

Усталюйце напрамую з каталога плагінаў WordPress. Натыўная наладка з панэлі адміністратара WP — без праграмавання.

→

Плагін FlexyConsent для WordPress інтэгруецца напрамую ў панэль адміністратара WordPress, забяспечваючы натыўны вопыт наладкі:

Усталюйце з каталога плагінаў: знайдзіце «FlexyConsent» у раздзеле «Плагіны > Дадаць новы», усталюйце і актывуйце. Ручная загрузка файлаў не патрабуецца.
Падключыце ваш сайт: увядзіце ваш ідэнтыфікатар сайта FlexyConsent у наладах плагіна. Плагін аўтаматычна ўкараняе скрыпт згоды ў правільную пазіцыю — перад любымі іншымі іншароднымі скрыптамі.
Наладзьце катэгорыі cookie: супаставіце правераныя cookie з катэгорыямі згоды FlexyConsent. Плагін прадастаўляе візуальны інтэрфейс для гэтага прама ў панэлі адміністратара WordPress.
Наладзьце блакіроўку скрыптаў: FlexyConsent аўтаматычна кіруе тэгамі Google праз Consent Mode V2. Для іншых скрыптаў (Facebook Pixel, кастамнае адсочванне) плагін прадастаўляе правілы блакіроўкі скрыптаў, якія прадухіляюць выкананне да таго часу, пакуль не будзе прадастаўлена згода адпаведнай катэгорыі.
Дбайна тэстуйце: выкарыстоўвайце акно інкогніта, каб пераканацца, што неістотныя cookie заблакаваны да прадастаўлення згоды і што ўся функцыянальнасць працуе карэктна пасля згоды.

Будучы сертыфікаванай Google CMP з падтрымкай IAB TCF 2.3, FlexyConsent аўтаматычна апрацоўвае самыя складаныя аспекты адпаведнасці патрабаванням cookie ў WordPress. Сігналы Consent Mode V2 адпраўляюцца сэрвісам Google без якой-небудзь дадатковай наладкі тэгаў, а геатаргетынг гарантуе, што наведвальнікі з розных рэгіёнаў бачаць адпаведны вопыт згоды.

Ключавы вывад: гнуткасць WordPress мае цану з пункту гледжання канфідэнцыяльнасці — кожная тэма і кожны плагін могуць уводзіць cookie, якія патрабуюць згоды. Сістэматычны аўдыт з наступнай правільнай рэалізацыяй CMP — адзіны надзейны шлях да адпаведнасці. Не меркавайце, што ваш сайт усталёўвае толькі тыя cookie, аб якіх вы ведаеце; рэальнасць амаль заўсёды складанейшая, чым чакаецца.