WordPress-Cookie-Audit: Wie Themes und Plugins Ihre Website mit Trackern füllen

Das versteckte Cookie-Problem in WordPress

Die meisten WordPress-Website-Betreiber merken gar nicht, wie viele Cookies ihre Seite setzt. Eine frische WordPress-Installation mit einem beliebten Theme und ein paar gängigen Plugins kann problemlos 15 bis 30 Cookies über verschiedene Domains setzen – viele davon, bevor der Besucher überhaupt eine Möglichkeit zur Einwilligung hat. Das ist nicht das Ergebnis gezielten Trackings, sondern der kumulative Effekt von Themes und Plugins, die externe Ressourcen laden, die wiederum eigene Cookies mitbringen.

Zu verstehen, woher diese Cookies kommen, was sie tun und wie man sie kontrolliert, ist für jede WordPress-Seite essenziell, die mit der DSGVO, der ePrivacy-Richtlinie oder ähnlichen Vorschriften konform sein muss. Diese Anleitung führt Schritt für Schritt durch den Audit-Prozess.

Warum WordPress-Websites so viele Cookies ansammeln

Die Plugin-Architektur von WordPress ist sowohl seine größte Stärke als auch sein größtes Datenschutzrisiko. Jedes Plugin arbeitet halbwegs unabhängig, und die meisten Plugin-Entwickler konzentrieren sich auf Funktionalität statt auf Cookie-Compliance. Hier sind die wichtigsten Cookie-Quellen auf einer typischen WordPress-Seite:

Themes und Google Fonts

Viele WordPress-Themes laden Google Fonts direkt von fonts.googleapis.com. Wenn der Browser eines Besuchers diese Fonts anfordert, kann Google Cookies setzen und die IP-Adresse des Besuchers, Browserinformationen und die verweisende Seite erfassen. 2022 entschied ein deutsches Gericht, dass das Laden von Google Fonts von den Google-Servern ohne Einwilligung gegen die DSGVO verstößt, was zu einem Schadensersatz von 100 EUR pro betroffenem Besucher führte. Die Lösung besteht darin, Fonts lokal zu hosten, aber die meisten Theme-Standardeinstellungen verweisen weiterhin auf die Server von Google.

Page Builder und Analytics

Elementor, der beliebteste Page Builder für WordPress, lädt externe Ressourcen, darunter Fonts, und kann Nutzungs-Tracking-Cookies setzen. Einige Elementor-Widgets betten Inhalte von Drittanbietern ein (YouTube-Videos, Google Maps), die wiederum eigene Cookies setzen. Selbst die kostenlose Version von Elementor kann anonymisierte Nutzungsdaten senden, sofern dies nicht explizit in den Einstellungen deaktiviert wird.

SEO-Plugins

Yoast SEO und Rank Math setzen selbst nur wenige Cookies, integrieren aber häufig Google Search Console und regen dazu an, Google Analytics-Tracking-Codes hinzuzufügen. Die Analytics-Skripte, deren Implementierung sie erleichtern, sind eine wesentliche Cookie-Quelle. Die Premium-Version von Yoast kommuniziert zudem mit den Servern von Yoast für SEO-Analysen, was ebenfalls Cookies beinhalten kann.

Jetpack und WordPress.com-Dienste

Jetpack gehört zu den produktivsten Cookie-Setzern im WordPress-Ökosystem. Je nach aktivierten Modulen kann Jetpack Cookies setzen für:

• Seitenstatistiken (WordPress.com Stats)
• Social-Sharing-Buttons (Skripte von Facebook, Twitter, LinkedIn)
• Kommentarsystem (Gravatar-Cookies)
• Sicherheitsfunktionen (Protect-Modul-Cookies)
• CDN-Nutzung (WordPress.com-CDN-Cookies)

Eine einzelne Jetpack-Installation mit Standardeinstellungen kann für 8 bis 12 Cookies aus verschiedenen Domains verantwortlich sein.

WooCommerce und E-Commerce

WooCommerce setzt mehrere Cookies, die als unbedingt erforderlich für die E-Commerce-Funktionalität gelten:

• woocommerce_cart_hash: Hilft WooCommerce zu erkennen, wann sich der Warenkorbinhalt ändert.
• woocommerce_items_in_cart: Verfolgt, ob sich Artikel im Warenkorb befinden.
• wp_woocommerce_session_*: Enthält einen eindeutigen Code für die Sitzung jedes Kunden.

Diese gelten im Allgemeinen als von der Einwilligungspflicht ausgenommen, da sie unbedingt erforderliche Cookies sind. WooCommerce-Erweiterungen für Zahlungsabwicklung, Warenkorbabbruch-Erinnerungen und Marketing-Automatisierung fügen jedoch viele weitere Cookies hinzu, die eine Einwilligung erfordern.

Kontaktformulare und reCAPTCHA

Kontaktformular-Plugins wie Contact Form 7, WPForms und Gravity Forms verwenden häufig Google reCAPTCHA zum Spamschutz. reCAPTCHA v2 und v3 setzen mehrere Cookies, darunter _GRECAPTCHA, und laden Skripte von google.com, die zusätzliche Tracking-Cookies setzen können. Das bedeutet, dass bereits eine einfache Kontaktseite werbebezogene Cookies auslösen kann.

Caching-Plugins

Caching-Plugins wie WP Super Cache, W3 Total Cache und WP Rocket setzen eigene Cookies, um das Cache-Verhalten zu steuern. Dabei handelt es sich typischerweise um funktionale Cookies (z. B. um den Cache für eingeloggte Nutzer zu umgehen), sie müssen aber dennoch in Ihrer Cookie-Richtlinie dokumentiert werden.

So führen Sie einen Cookie-Audit auf Ihrer WordPress-Website durch

Ein gründlicher Cookie-Audit erfordert, Ihre Seite aus der Perspektive des Besuchers zu scannen. So gehen Sie vor:

Schritt 1: Browser-Entwicklertools verwenden

Öffnen Sie Ihre Seite in Chrome, gehen Sie zu DevTools > Application > Cookies und prüfen Sie alle Cookies, die für Ihre Domain und Drittanbieter-Domains gesetzt werden. Tun Sie dies in einem Inkognito-Fenster, um einen Erstbesuch zu simulieren. Notieren Sie den Namen jedes Cookies, die Domain, das Ablaufdatum und ob es sich um ein First-Party- oder Third-Party-Cookie handelt.

Schritt 2: Einen dedizierten Cookie-Scanner nutzen

Die manuelle Prüfung erfasst Cookies, die beim Laden der Seite gesetzt werden, übersieht aber Cookies, die durch Interaktionen gesetzt werden (Klicks auf Buttons, Absenden von Formularen, Scrollen). Dedizierte Scanner wie der kostenlose Scanner von Cookiebot, der CookieYes-Scanner oder Browser-Erweiterungen wie EditThisCookie liefern umfassendere Ergebnisse. Führen Sie Scans auf mehreren Seiten durch, nicht nur auf der Startseite.

Schritt 3: Alle Cookies kategorisieren

Ordnen Sie die gefundenen Cookies in Standardkategorien ein:

• Unbedingt erforderlich: Session-Cookies, Authentifizierung, Sicherheit, Warenkorbfunktionalität. Diese erfordern keine Einwilligung.
• Funktional: Spracheinstellungen, Anpassung der Benutzeroberfläche. Technisch ist eine Einwilligung erforderlich, das Risiko ist jedoch gering.
• Analyse: Google Analytics, WordPress.com Stats, Heatmap-Tools. Einwilligung ist erforderlich.
• Marketing/Werbung: Google Ads, Facebook Pixel, Remarketing-Cookies. Einwilligung ist erforderlich, und diese haben höchste Priorität beim Blockieren.

Schritt 4: Cookies ihren Quellen zuordnen

Ermitteln Sie für jedes Cookie, welches Theme oder welches Plugin dafür verantwortlich ist. Hier wird WordPress kompliziert – eine einzelne Seite kann Skripte von fünf verschiedenen Plugins laden, die jeweils eigene Cookies setzen. Deaktivieren Sie Plugins testweise nacheinander, um herauszufinden, welches Plugin welche Cookies setzt.

Häufige Cookie-Quellen und ihre Lösungen

Hier ist eine kurze Referenz der häufigsten Cookie-Quellen in WordPress und wie Sie damit umgehen:

• Google Fonts: Wechseln Sie zu lokal gehosteten Fonts. Plugins wie OMGF oder die Einstellungen Ihres Themes können dies automatisieren.
• Google Analytics: Muss bis zur Einwilligung blockiert werden. Dies übernimmt Ihre CMP.
• YouTube-Einbettungen: Verwenden Sie die Domain youtube-nocookie.com statt youtube.com. Das verhindert die meisten Tracking-Cookies.
• Google Maps: Nur nach Einwilligung laden oder ein statisches Kartenbild als Platzhalter verwenden.
• Facebook Pixel: Muss bis zur Erteilung der Marketing-Einwilligung blockiert werden.
• reCAPTCHA: Ziehen Sie Alternativen wie hCaptcha (datenschutzfreundlicher) oder Honeypot-Techniken in Betracht, die keine externen Skripte benötigen.

FlexyConsent-WordPress-Plugin für vollständige Compliance einrichten

Wenn Sie Ihre Cookies geprüft und verstanden haben, was kontrolliert werden muss, ist die Implementierung von FlexyConsent in WordPress unkompliziert.

Das WordPress-Plugin von FlexyConsent integriert sich direkt in Ihr WordPress-Admin-Dashboard und bietet eine native Konfigurationserfahrung:

1. Aus dem Plugin-Verzeichnis installieren: Suchen Sie unter „Plugins > Installieren“ nach „FlexyConsent“, installieren und aktivieren Sie es. Manuelle Datei-Uploads sind nicht nötig.
2. Ihre Website verbinden: Geben Sie Ihre FlexyConsent-Site-ID in den Plugin-Einstellungen ein. Das Plugin fügt das Consent-Skript automatisch an der richtigen Stelle ein – vor allen anderen Drittanbieter-Skripten.
3. Cookie-Kategorien konfigurieren: Ordnen Sie Ihre geprüften Cookies den Consent-Kategorien von FlexyConsent zu. Das Plugin stellt dafür direkt in Ihrem WordPress-Admin eine visuelle Oberfläche bereit.
4. Script-Blocking einrichten: FlexyConsent verwaltet Google-Tags automatisch über den Consent Mode V2. Für andere Skripte (Facebook Pixel, benutzerdefiniertes Tracking) bietet das Plugin Script-Blocking-Regeln, die deren Ausführung verhindern, bis die entsprechende Einwilligungskategorie erteilt wurde.
5. Gründlich testen: Verwenden Sie ein Inkognito-Fenster, um zu prüfen, dass nicht notwendige Cookies bis zur Einwilligung blockiert werden und dass nach der Einwilligung alle Funktionen korrekt arbeiten.

Als Google-zertifizierte CMP mit Unterstützung für IAB TCF 2.3 übernimmt FlexyConsent die komplexesten Aspekte der WordPress-Cookie-Compliance automatisch. Consent-Mode-V2-Signale werden ohne zusätzliche Tag-Konfiguration an Google-Dienste gesendet, und Geo-Targeting stellt sicher, dass Besucher aus verschiedenen Regionen die jeweils passende Consent-Erfahrung sehen.

Wichtigste Erkenntnis: Die Flexibilität von WordPress hat einen Datenschutzpreis – jedes Theme und jedes Plugin kann Cookies einführen, die eine Einwilligung erfordern. Ein systematischer Audit, gefolgt von einer korrekten CMP-Implementierung, ist der einzige verlässliche Weg zur Compliance. Gehen Sie nicht davon aus, dass Ihre Seite nur die Cookies setzt, von denen Sie wissen; die Realität ist fast immer komplexer als erwartet.