Audit souborů cookie ve WordPress: Jak šablony a pluginy zaplňují váš web sledovači

Skrytý problém se soubory cookie ve WordPress

Většina vlastníků webů WordPress si neuvědomuje, kolik souborů cookie jejich web nastavuje. Čerstvá instalace WordPress s populární šablonou a několika běžnými pluginy může snadno nastavit 15 až 30 souborů cookie napříč různými doménami, z nichž mnohé ještě předtím, než návštěvník dostane jakoukoli příležitost k udělení souhlasu. Není to výsledek záměrného sledování — je to kumulativní efekt šablon a pluginů, které načítají externí zdroje přicházející s vlastními soubory cookie.

Pochopení toho, odkud tyto soubory cookie pocházejí, co dělají a jak je kontrolovat, je nezbytné pro každý web WordPress, který musí splňovat požadavky GDPR, ePrivacy nebo podobných předpisů. Tento průvodce vás provede procesem auditu krok za krokem.

Proč weby WordPress hromadí tolik souborů cookie

Architektura pluginů WordPress je současně jeho největší silou i největší odpovědností v oblasti ochrany soukromí. Každý plugin funguje polosamostatně a většina vývojářů pluginů se zaměřuje na funkcionalitu spíše než na soulad se soubory cookie. Zde jsou hlavní zdroje souborů cookie na typickém webu WordPress:

Šablony a Google Fonts

Mnoho šablon WordPress načítá Google Fonts přímo z fonts.googleapis.com. Když prohlížeč návštěvníka tyto písma požaduje, Google může nastavit soubory cookie a shromáždit IP adresu návštěvníka, informace o prohlížeči a odkazující stránku. V roce 2022 německý soud rozhodl, že načítání Google Fonts ze serverů Google bez souhlasu porušuje GDPR, což vedlo k pokutě 100 EUR za každého dotčeného návštěvníka. Řešením je hostovat písma lokálně, ale většina výchozích nastavení šablon stále odkazuje na servery Google.

Stavitelé stránek a analytika

Elementor, nejpopulárnější stavitel stránek pro WordPress, načítá externí zdroje včetně písem a může nastavovat soubory cookie pro sledování použití. Některé widgety Elementoru vkládají obsah třetích stran (videa z YouTube, Google Maps), které nastavují vlastní soubory cookie. I bezplatná verze Elementoru může odesílat anonymizovaná data o používání, pokud to není výslovně zakázáno v nastavení.

SEO pluginy

Yoast SEO a Rank Math samy o sobě nastavují málo souborů cookie, ale často se integrují s Google Search Console a podporují přidávání sledovacích kódů Google Analytics. Analytické skripty, které vám pomáhají implementovat, jsou hlavním zdrojem souborů cookie. Prémiová verze Yoast také komunikuje se servery Yoast pro SEO analýzu, což může zahrnovat soubory cookie.

Jetpack a služby WordPress.com

Jetpack je jedním z nejplodnějších tvůrců souborů cookie v ekosystému WordPress. V závislosti na tom, které moduly jsou aktivní, může Jetpack nastavit soubory cookie pro:

• Statistiky webu (statistiky WordPress.com)
• Tlačítka pro sdílení na sociálních sítích (načítání skriptů z Facebooku, Twitteru, LinkedInu)
• Systém komentářů (soubory cookie Gravatar)
• Bezpečnostní funkce (soubory cookie modulu Protect)
• Využití CDN (soubory cookie CDN WordPress.com)

Jediná instalace Jetpack s výchozím nastavením může být zodpovědná za 8 až 12 souborů cookie z různých domén.

WooCommerce a elektronický obchod

WooCommerce nastavuje několik souborů cookie, které jsou považovány za nezbytně nutné pro funkčnost elektronického obchodu:

• woocommerce_cart_hash: Pomáhá WooCommerce vědět, kdy se změní obsah košíku.
• woocommerce_items_in_cart: Sleduje, zda jsou v košíku položky.
• wp_woocommerce_session_*: Obsahuje jedinečný kód pro relaci každého zákazníka.

Zatímco tyto jsou obecně osvobozeny od požadavků na souhlas jako nezbytně nutné soubory cookie, rozšíření WooCommerce pro zpracování plateb, obnovu opuštěných košíků a marketingovou automatizaci přidávají mnoho dalších souborů cookie, které souhlas vyžadují.

Kontaktní formuláře a reCAPTCHA

Pluginy kontaktních formulářů jako Contact Form 7, WPForms a Gravity Forms často používají Google reCAPTCHA pro ochranu proti spamu. reCAPTCHA v2 a v3 nastavují více souborů cookie včetně _GRECAPTCHA a načítají skripty z google.com, které mohou nastavit další sledovací soubory cookie. To znamená, že i jednoduchá kontaktní stránka může spustit soubory cookie související s reklamou.

Pluginy pro vyrovnávací paměť

Pluginy pro vyrovnávací paměť jako WP Super Cache, W3 Total Cache a WP Rocket nastavují vlastní soubory cookie pro správu chování vyrovnávací paměti. Jedná se obvykle o funkční soubory cookie (například pro obejití vyrovnávací paměti pro přihlášené uživatele), ale stále je nutné je dokumentovat ve vaší politice souborů cookie.

Jak auditovat soubory cookie na vašem webu WordPress

Důkladný audit souborů cookie zahrnuje skenování vašeho webu z pohledu návštěvníka. Zde je postup:

Krok 1: Použijte vývojářské nástroje prohlížeče

Otevřete svůj web v Chrome, přejděte na DevTools > Application > Cookies a prozkoumejte všechny soubory cookie nastavené pro vaši doménu a domény třetích stran. Udělejte to v anonymním okně pro simulaci návštěvníka poprvé. Poznamenejte si název, doménu, vypršení platnosti a zda se jedná o soubor cookie první nebo třetí strany u každého z nich.

Krok 2: Použijte specializovaný skener souborů cookie

Ruční kontrola zachytí soubory cookie nastavené při načtení stránky, ale mine ty nastavené interakcemi (klikání na tlačítka, odesílání formulářů, posouvání). Specializované skenery jako bezplatný skener Cookiebot, skener CookieYes nebo rozšíření prohlížeče jako EditThisCookie poskytují komplexnější výsledky. Spusťte skenování na více stránkách, nejen na domovské stránce.

Krok 3: Kategorizujte každý soubor cookie

Seskupte zjištěné soubory cookie do standardních kategorií:

• Nezbytně nutné: Soubory cookie relace, autentizace, zabezpečení, funkčnost košíku. Tyto nevyžadují souhlas.
• Funkční: Jazykové preference, přizpůsobení uživatelského rozhraní. Souhlas je technicky vyžadován, ale tyto představují nízké riziko.
• Analytické: Google Analytics, statistiky WordPress.com, nástroje pro teplotní mapy. Souhlas je vyžadován.
• Marketingové/Reklamní: Google Ads, Facebook Pixel, remarketingové soubory cookie. Souhlas je vyžadován a tyto mají nejvyšší prioritu pro blokování.

Krok 4: Mapujte soubory cookie na jejich zdroje

U každého souboru cookie identifikujte, která šablona nebo plugin je zodpovědný. Zde se WordPress komplikuje — jedna stránka může načítat skripty z 5 různých pluginů, z nichž každý nastavuje vlastní soubory cookie. Dočasně deaktivujte pluginy jeden po druhém, abyste zjistili, který plugin nastavuje které soubory cookie.

Běžné zdroje souborů cookie a jejich řešení

Zde je rychlý přehled nejběžnějších zdrojů souborů cookie ve WordPress a jak je řešit:

• Google Fonts: Přejděte na lokálně hostovaná písma. Pluginy jako OMGF nebo nastavení vaší šablony to mohou automatizovat.
• Google Analytics: Musí být blokován, dokud není udělen souhlas. To zajišťuje vaše CMP.
• Vložení YouTube: Použijte doménu youtube-nocookie.com místo youtube.com. Tím se zabrání většině sledovacích souborů cookie.
• Google Maps: Načtěte až po souhlasu nebo použijte statický obrázek mapy jako zástupný symbol.
• Facebook Pixel: Musí být blokován, dokud není udělen marketingový souhlas.
• reCAPTCHA: Zvažte alternativy jako hCaptcha (příznivější pro soukromí) nebo techniky honeypot, které nevyžadují externí skripty.

Nastavení pluginu FlexyConsent pro WordPress pro úplný soulad

Jakmile provedete audit svých souborů cookie a pochopíte, co je třeba kontrolovat, implementace FlexyConsent na WordPress je přímočará.

Plugin FlexyConsent pro WordPress se integruje přímo do vašeho administračního panelu WordPress a poskytuje nativní konfigurační prostředí:

1. Nainstalujte z Adresáře pluginů: Vyhledejte "FlexyConsent" v Pluginy > Přidat nový, nainstalujte a aktivujte. Není třeba ručně nahrávat soubory.
2. Připojte svůj web: Zadejte své ID webu FlexyConsent v nastavení pluginu. Plugin automaticky vloží skript pro souhlas na správnou pozici — před jakékoli jiné skripty třetích stran.
3. Nakonfigurujte kategorie souborů cookie: Namapujte své auditované soubory cookie na kategorie souhlasu FlexyConsent. Plugin poskytuje vizuální rozhraní přímo ve vaší administraci WordPress.
4. Nastavte blokování skriptů: FlexyConsent automaticky spravuje značky Google prostřednictvím Consent Mode V2. Pro ostatní skripty (Facebook Pixel, vlastní sledování) plugin poskytuje pravidla pro blokování skriptů, která zabraňují spuštění, dokud není udělena příslušná kategorie souhlasu.
5. Důkladně otestujte: Použijte anonymní okno k ověření, že nepodstatné soubory cookie jsou blokovány, dokud není udělen souhlas, a že veškerá funkčnost funguje správně po udělení souhlasu.

Jako CMP certifikovaná Googlem s podporou IAB TCF 2.3 FlexyConsent automaticky zvládá nejsložitější aspekty souladu se soubory cookie ve WordPress. Signály Consent Mode V2 jsou odesílány službám Google bez jakékoli další konfigurace značek a geografické cílení zajišťuje, že návštěvníci z různých regionů vidí odpovídající prostředí pro udělení souhlasu.

Klíčový závěr: Flexibilita WordPress přichází s cenou za soukromí — každá šablona a plugin může zavést soubory cookie vyžadující souhlas. Systematický audit následovaný řádnou implementací CMP je jedinou spolehlivou cestou k souladu. Nepředpokládejte, že váš web nastavuje pouze soubory cookie, o kterých víte; realita je téměř vždy složitější, než se očekává.