Auditoria de galetes de WordPress: Com els temes i els connectors omplen el teu lloc de rastrejadors

El problema ocult de les galetes a WordPress

La majoria de propietaris de llocs WordPress no s'adonen de quantes galetes estableix el seu lloc. Una instal·lació nova de WordPress amb un tema popular i uns quants connectors habituals pot establir fàcilment 15 a 30 galetes en diversos dominis, moltes d'elles abans que el visitant tingui cap oportunitat de donar el consentiment. Això no és el resultat d'un seguiment deliberat — és l'efecte acumulatiu dels temes i connectors que carreguen recursos externs que vénen amb les seves pròpies galetes.

Entendre d'on provenen aquestes galetes, què fan i com controlar-les és essencial per a qualsevol lloc WordPress que necessiti complir amb el RGPD, ePrivacy o regulacions similars. Aquesta guia et porta pas a pas pel procés d'auditoria.

Per què els llocs WordPress acumulen tantes galetes

L'arquitectura de connectors de WordPress és alhora la seva major fortalesa i la seva major responsabilitat en matèria de privadesa. Cada connector opera de manera semi-independent, i la majoria de desenvolupadors de connectors se centren en la funcionalitat més que en el compliment de galetes. Aquestes són les fonts principals de galetes en un lloc WordPress típic:

Temes i Google Fonts

Molts temes de WordPress carreguen Google Fonts directament des de fonts.googleapis.com. Quan el navegador del visitant sol·licita aquestes tipografies, Google pot establir galetes i recollir l'adreça IP del visitant, informació del navegador i la pàgina de referència. El 2022, un tribunal alemany va dictaminar que carregar Google Fonts des dels servidors de Google sense consentiment viola el RGPD, amb una multa de 100 EUR per cada visitant afectat. La solució és allotjar les tipografies localment, però la majoria de configuracions per defecte dels temes encara apunten als servidors de Google.

Constructors de pàgines i analítiques

Elementor, el constructor de pàgines de WordPress més popular, carrega recursos externs incloent-hi tipografies i pot establir galetes de seguiment d'ús. Alguns ginys d'Elementor incrusten contingut de tercers (vídeos de YouTube, Google Maps) que estableixen les seves pròpies galetes. Fins i tot la versió gratuïta d'Elementor pot enviar dades d'ús anonimitzades si no es desactiva explícitament a la configuració.

Connectors de SEO

Yoast SEO i Rank Math per si mateixos estableixen poques galetes, però sovint s'integren amb Google Search Console i fomenten l'addició de codis de seguiment de Google Analytics. Els scripts d'analítiques que t'ajuden a implementar són una font principal de galetes. La versió premium de Yoast també es comunica amb els servidors de Yoast per a l'anàlisi SEO, cosa que pot implicar galetes.

Jetpack i serveis de WordPress.com

Jetpack és un dels connectors que més galetes estableix a l'ecosistema de WordPress. Depenent de quins mòduls estiguin actius, Jetpack pot establir galetes per a:

• Estadístiques del lloc (estadístiques de WordPress.com)
• Botons de compartició social (carregant scripts de Facebook, Twitter, LinkedIn)
• Sistema de comentaris (galetes de Gravatar)
• Funcions de seguretat (galetes del mòdul Protect)
• Ús de CDN (galetes del CDN de WordPress.com)

Una sola instal·lació de Jetpack amb la configuració per defecte pot ser responsable de 8 a 12 galetes de diversos dominis.

WooCommerce i comerç electrònic

WooCommerce estableix diverses galetes que es consideren estrictament necessàries per a la funcionalitat de comerç electrònic:

• woocommerce_cart_hash: Ajuda WooCommerce a saber quan canvia el contingut del carret.
• woocommerce_items_in_cart: Rastreja si hi ha articles al carret.
• wp_woocommerce_session_*: Conté un codi únic per a la sessió de cada client.

Tot i que aquestes generalment estan exemptes dels requisits de consentiment com a galetes estrictament necessàries, les extensions de WooCommerce per al processament de pagaments, la recuperació de carrets abandonats i l'automatització de màrqueting afegeixen moltes més galetes que sí requereixen consentiment.

Formularis de contacte i reCAPTCHA

Els connectors de formularis de contacte com Contact Form 7, WPForms i Gravity Forms sovint utilitzen Google reCAPTCHA per a la protecció contra correu brossa. reCAPTCHA v2 i v3 estableixen múltiples galetes incloent-hi _GRECAPTCHA i carreguen scripts de google.com que poden establir galetes de seguiment addicionals. Això significa que fins i tot una pàgina de contacte senzilla pot activar galetes relacionades amb la publicitat.

Connectors de memòria cau

Els connectors de memòria cau com WP Super Cache, W3 Total Cache i WP Rocket estableixen les seves pròpies galetes per gestionar el comportament de la memòria cau. Aquestes són típicament galetes funcionals (per exemple, per saltar la memòria cau per als usuaris que han iniciat sessió), però encara necessiten ser documentades a la vostra política de galetes.

Com auditar les galetes del teu lloc WordPress

Una auditoria completa de galetes implica escanejar el teu lloc des de la perspectiva del visitant. Aquí tens el procés:

Pas 1: Utilitza les eines de desenvolupador del navegador

Obre el teu lloc a Chrome, ves a DevTools > Application > Cookies i examina totes les galetes establertes per al teu domini i dominis de tercers. Fes-ho en una finestra d'incògnit per simular un visitant per primera vegada. Anota el nom, domini, caducitat i si és de primera o tercera part de cada galeta.

Pas 2: Utilitza un escàner de galetes dedicat

La inspecció manual captura les galetes establertes en la càrrega de la pàgina, però omet les establertes per interaccions (clicar botons, enviar formularis, desplaçar-se). Els escàners dedicats com l'escàner gratuït de Cookiebot, l'escàner de CookieYes o extensions del navegador com EditThisCookie proporcionen resultats més complets. Executa escanejos en múltiples pàgines, no només a la pàgina principal.

Pas 3: Categoritza cada galeta

Agrupa les galetes descobertes en categories estàndard:

• Estrictament necessàries: Galetes de sessió, autenticació, seguretat, funcionalitat del carret. Aquestes no requereixen consentiment.
• Funcionals: Preferències d'idioma, personalització de la interfície d'usuari. El consentiment és tècnicament requerit però aquestes són de baix risc.
• Analítiques: Google Analytics, estadístiques de WordPress.com, eines de mapes de calor. El consentiment és requerit.
• Màrqueting/Publicitat: Google Ads, Facebook Pixel, galetes de remàrqueting. El consentiment és requerit i aquestes són la màxima prioritat per bloquejar.

Pas 4: Mapeja les galetes a les seves fonts

Per a cada galeta, identifica quin tema o connector n'és responsable. Aquí és on WordPress es complica — una sola pàgina podria carregar scripts de 5 connectors diferents, cadascun establint les seves pròpies galetes. Desactiva temporalment els connectors un per un per identificar quin connector estableix quines galetes.

Fonts comunes de galetes i les seves solucions

Aquí tens una referència ràpida per a les fonts de galetes més comunes a WordPress i com abordar-les:

• Google Fonts: Canvia a tipografies allotjades localment. Connectors com OMGF o la configuració del teu tema poden automatitzar-ho.
• Google Analytics: S'ha de bloquejar fins que es concedeixi el consentiment. Això és gestionat pel teu CMP.
• Incrustacions de YouTube: Utilitza el domini youtube-nocookie.com en lloc de youtube.com. Això prevé la majoria de galetes de seguiment.
• Google Maps: Carrega'l només després del consentiment, o utilitza una imatge de mapa estàtica com a marcador de posició.
• Facebook Pixel: S'ha de bloquejar fins que es concedeixi el consentiment de màrqueting.
• reCAPTCHA: Considera alternatives com hCaptcha (més respectuós amb la privadesa) o tècniques de trampa que no requereixen scripts externs.

Configuració del connector FlexyConsent per a WordPress per al compliment total

Un cop hagis auditat les teves galetes i entenguis què necessita ser controlat, implementar FlexyConsent a WordPress és senzill.

El connector de FlexyConsent per a WordPress s'integra directament al teu tauler d'administració de WordPress, proporcionant una experiència de configuració nativa:

1. Instal·la des del Directori de connectors: Cerca "FlexyConsent" a Connectors > Afegir nou, instal·la i activa. No cal pujar fitxers manualment.
2. Connecta el teu lloc: Introdueix el teu ID de lloc de FlexyConsent a la configuració del connector. El connector injecta automàticament l'script de consentiment a la posició correcta — abans de qualsevol altre script de tercers.
3. Configura les categories de galetes: Mapeja les teves galetes auditades a les categories de consentiment de FlexyConsent. El connector proporciona una interfície visual per a això directament a la teva administració de WordPress.
4. Configura el bloqueig de scripts: FlexyConsent gestiona automàticament les etiquetes de Google mitjançant Consent Mode V2. Per a altres scripts (Facebook Pixel, seguiment personalitzat), el connector proporciona regles de bloqueig de scripts que impedeixen l'execució fins que es concedeixi la categoria de consentiment adequada.
5. Prova a fons: Utilitza una finestra d'incògnit per verificar que les galetes no essencials estan bloquejades fins que es concedeixi el consentiment, i que tota la funcionalitat funciona correctament després del consentiment.

Com a CMP certificat per Google amb suport IAB TCF 2.3, FlexyConsent gestiona automàticament els aspectes més complexos del compliment de galetes a WordPress. Els senyals de Consent Mode V2 s'envien als serveis de Google sense cap configuració addicional d'etiquetes, i la segmentació geogràfica assegura que els visitants de diferents regions vegin l'experiència de consentiment adequada.

Conclusió clau: La flexibilitat de WordPress té un cost de privadesa — cada tema i connector pot introduir galetes que requereixen consentiment. Una auditoria sistemàtica seguida d'una implementació adequada del CMP és l'únic camí fiable cap al compliment. No assumeixis que el teu lloc només estableix les galetes que coneixes; la realitat és gairebé sempre més complexa del que s'espera.