ممیزی کوکی در وردپرس: چگونه قالب‌ها و افزونه‌ها سایت شما را پر از ردیاب می‌کنند

مشکل پنهان کوکی در وردپرس

بیشتر صاحبان سایت‌های وردپرسی متوجه نیستند که سایت‌شان چه تعداد کوکی تنظیم می‌کند. یک نصب تازهٔ وردپرس با یک قالب محبوب و چند افزونهٔ رایج می‌تواند به‌راحتی ۱۵ تا ۳۰ کوکی روی دامنه‌ها و زیردامنه‌های مختلف تنظیم کند؛ بسیاری از آن‌ها پیش از آن‌که بازدیدکننده اصلاً فرصتی برای اعلام رضایت داشته باشد. این موضوع معمولاً نتیجهٔ ردیابی عمدی نیست، بلکه حاصل تجمعیِ قالب‌ها و افزونه‌هایی است که منابع خارجی را بارگذاری می‌کنند و این منابع، کوکی‌های خودشان ر�� به‌همراه دارند.

درک این‌که این کوکی‌ها از کجا می‌آیند، چه کاری انجام می‌دهند و چگونه می‌توان آن‌ها را کنترل کرد، برای هر سایت وردپرسی که باید با GDPR، ePrivacy یا مقررات مشابه منطبق باشد ضروری است. این راهنما فرایند ممیزی را گام‌به‌گام توضیح می‌دهد.

چرا سایت‌های وردپرسی این‌همه کوکی جمع می‌کنند

معماری افزونه‌ای وردپرس هم بزرگ‌ترین نقطهٔ قوت آن است و هم بزرگ‌ترین ریسک حریم خصوصی‌اش. هر افزونه تا حدی مستقل عمل می‌کند و بیشتر توسعه‌دهندگان افزونه روی کارکرد و امکانات تمرکز می‌کنند، نه روی انطباق کوکی. در یک سایت وردپرسی معمولی، منابع اصلی کوکی‌ها این‌ها هستند:

قالب‌ها و Google Fonts

بسیاری از قالب‌های وردپرس، Google Fonts را مستقیماً از fonts.googleapis.com بارگذاری می‌کنند. وقتی مرورگر بازدیدکننده این فونت‌ها را درخواست می‌کند، Google می‌تواند کوکی تنظیم کند و آدرس IP بازدیدکننده، اطلاعات مرورگر و صفحهٔ ارجاع‌دهنده را جمع‌آوری کند. در سال ۲۰۲۲، یک دادگاه آلمانی حکم داد که بارگذاری Google Fonts از سرورهای Google بدون رضایت، ناقض GDPR است و برای هر بازدیدکنندهٔ متأثر، جریمه‌ای معادل ۱۰۰ یورو تعیین شد. راه‌حل، میزبانی محلی فونت‌هاست، اما تنظیمات پیش‌فرض بیشتر قالب‌ها هنوز به سرورهای Google اشاره می‌کنند.

سازنده‌های صفحه و آنالیتیکس

Elementor، محبوب‌ترین سازندهٔ صفحه در وردپرس، منابع خارجی از جمله فونت‌ها را بارگذاری می‌کند و می‌تواند کوکی‌های ردیابی استفاده را تنظیم کند. بعضی ویجت‌های Elementor محتوای شخص ثالث (ویدئوهای YouTube، نقشه‌های Google Maps) را جاسازی می‌کنند که خودشان کوکی تنظیم می‌کنند. حتی نسخهٔ رایگان Elementor هم ممکن است داده‌های استفادهٔ ناشناس ارسال کند، مگر این‌که در تنظیمات به‌طور صریح غیرفعال شده باشد.

افزونه‌های سئو

Yoast SEO و Rank Math خودشان کوکی‌های کمی تنظیم می‌کنند، اما اغلب با Google Search Console یکپارچه می‌شوند و شما را به افزودن کدهای ردیابی Google Analytics تشویق می‌کنند. اسکریپت‌های آنالیتیکسی که با کمک آن‌ها پیاده‌سازی می‌کنید، یکی از منابع اصلی کوکی‌ها هستند. نسخهٔ پرمیوم Yoast همچنین برای تحلیل سئو با سرورهای Yoast ارتباط برقرار می‌کند که می‌تواند شامل کوکی باشد.

Jetpack و سرویس‌های WordPress.com

Jetpack یکی از پرمصرف‌ترین افزونه‌ها در تنظیم کوکی در اکوسیستم وردپرس است. بسته به این‌که کدام ماژول‌ها فعال باشند، Jetpack می‌تواند برای موارد زیر کوکی تنظیم کند:

• آمار سایت (WordPress.com stats)
• دکمه‌های اشتراک‌گذاری اجتماعی (بارگذاری اسکریپت از Facebook، Twitter، LinkedIn)
• سیستم دیدگاه‌ها (کوکی‌های Gravatar)
• امکانات امنیتی (کوکی‌های ماژول Protect)
• استفاده از CDN (کوکی‌های WordPress.com CDN)

یک نصب Jetpack با تنظیمات پیش‌فرض می‌تواند به‌تنهایی مسئول ۸ تا ۱۲ کوکی از دامنه‌های مختلف باشد.

WooCommerce و تجارت الکترونیک

WooCommerce چند کوکی تنظیم می‌کند که برای کارکرد فروشگاه به‌عنوان «کاملاً ضروری» در نظر گرفته می‌شوند:

• woocommerce_cart_hash: کمک می‌کند WooCommerce متوجه تغییرات سبد خرید شود.
• woocommerce_items_in_cart: مشخص می‌کند آیا آیتمی در سبد وجود دارد یا نه.
• wp_woocommerce_session_*: حاوی یک کد منحصربه‌فرد برای نشست هر مشتری است.

در حالی که این کوکی‌ها معمولاً به‌عنوان کوکی‌های کاملاً ضروری از الزام به اخذ رضایت معاف هستند، افزونه‌های جانبی WooCommerce برای پردازش پرداخت، بازیابی سبد رهاشده و اتوماسیون بازاریابی، کوکی‌های زیادی اضافه می‌کنند که برای آن‌ها باید رضایت گرفته شود.

فرم‌های تماس و reCAPTCHA

افزونه‌های فرم تماس مانند Contact Form 7، WPForms و Gravity Forms اغلب برای محافظت در برابر اسپم از Google reCAPTCHA استفاده می‌کنند. reCAPTCHA نسخهٔ ۲ و ۳ چندین کوکی از جمله _GRECAPTCHA تنظیم می‌کند و اسکریپت‌هایی از google.com بارگذاری می‌کند که می‌توانند کوکی‌های ردیابی اضافی تنظیم کنند. این یعنی حتی یک صفحهٔ تماس ساده هم می‌تواند کوکی‌های مرتبط با تبلیغات را فعال کند.

افزونه‌های کش

افزونه‌های کش مانند WP Super Cache، W3 Total Cache و WP Rocket برای مدیریت رفتار کش، کوکی‌های خودشان را تنظیم می‌کنند. این‌ها معمولاً کوکی‌های عملکردی هستند (مثلاً برای دور زدن کش برای کاربران واردشده)، اما همچنان باید در سیاست کوکی شما مس��ند شوند.

چگونه کوکی‌های سایت وردپرسی خود را ممیزی کنید

یک ممیزی کامل کوکی شامل اسکن سایت از دید بازدیدکننده است. فرایند به این صورت است:

گام ۱: استفاده از ابزارهای توسعه‌دهندهٔ مرورگر

سایت خود را در Chrome باز کنید، به DevTools > Application > Cookies بروید و همهٔ کوکی‌های تنظیم‌شده برای دامنهٔ خودتان و دامنه‌های شخص ثالث را بررسی کنید. این کار را در یک پنجرهٔ ناشناس (Incognito) انجام دهید تا رفتار یک بازدیدکنندهٔ باراول را شبیه‌سازی کنید. نام هر کوکی، دامنه، زمان انقضا و این‌که کوکی «اول‌شخص» است یا «شخص ثالث» را یادداشت کنید.

گام ۲: استفاده از اسکنر اختصاصی کوکی

بررسی دستی، کوکی‌هایی را که هنگام بارگذاری صفحه تنظیم می‌شوند شناسایی می‌کند، اما کوکی‌هایی را که در اثر تعاملات (کلیک دکمه‌ها، ارسال فرم‌ها، اسکرول) تنظیم می‌شوند از قلم می‌اندازد. اسکنرهای اختصاصی مانند اسکنر رایگان Cookiebot، CookieYes scanner یا افزونه‌های مرورگر مانند EditThisCookie نتایج جامع‌تری ارائه می‌دهند. اسکن را روی چند صفحه انجام دهید، نه فقط صفحهٔ اصلی.

گام ۳: دسته‌بندی همهٔ کوکی‌ها

کوکی‌های کشف‌شده را در دسته‌های استاندارد گروه‌بندی کنید:

• کاملاً ضروری (Strictly Necessary): کوکی‌های نشست، احراز هویت، امنیت، کارکرد سبد خرید. این‌ها به رضایت نیاز ندارند.
• عملکردی (Functional): ترجیحات زبان، سفارشی‌سازی رابط کاربری. از نظر فنی نیازمند رضایت‌اند، اما ریسک پایینی دارند.
• آنالیتیکس: Google Analytics، آمار WordPress.com، ابزارهای نقشهٔ حرارتی. رضایت لازم است.
• بازاریابی/تبلیغات: Google Ads، Facebook Pixel، کوکی‌های ریمارکتینگ. رضایت لازم است و این‌ها بالاترین اولویت برای مسدودسازی را دارند.

گام ۴: نگاشت کوکی‌ها به منابع‌شان

برای هر کوکی مشخص کنید ک��ام قالب یا افزونه مسئول آن است. این‌جا است که وردپرس پیچیده می‌شود — یک صفحهٔ واحد ممکن است اسکریپت‌هایی از ۵ افزونهٔ مختلف بارگذاری کند که هرکدام کوکی‌های خودشان را تنظیم می‌کنند. برای شناسایی این‌که هر کوکی را کدام افزونه تنظیم می‌کند، افزونه‌ها را موقتاً یکی‌یکی غیرفعال کنید.

منابع رایج کوکی و راه‌حل‌های آن‌ها

در این‌جا یک مرجع سریع برای رایج‌ترین منابع کوکی در وردپرس و نحوهٔ رسیدگی به آن‌ها آمده است:

• Google Fonts: به فونت‌های میزبانی‌شده به‌صورت محلی سوئیچ کنید. افزونه‌هایی مانند OMGF یا تنظیمات قالب شما می‌توانند این کار را خودکار کنند.
• Google Analytics: باید تا زمان اعطای رضایت مسدود شود. این کار توسط CMP شما مدیریت می‌شود.
• جاسازی‌های YouTube: از دامنهٔ youtube-nocookie.com به‌جای youtube.com استفاده کنید. این کار از بیشتر کوکی‌های ردیابی جلوگیری می‌کند.
• Google Maps: فقط پس از اخذ رضایت بارگذاری شود، یا از یک تصویر نقشهٔ ثابت به‌عنوان جای‌نگهدار استفاده کنید.
• Facebook Pixel: باید تا زمان دریافت رضایت بازاریابی مسدود شود.
• reCAPTCHA: گزینه‌های جایگزین مانند hCaptcha (حریم‌خصوصی‌محورتر) یا تکنیک‌های honeypot که به اسکریپت خارجی نیاز ندارند را در نظر بگیرید.

راه‌اندازی افزونهٔ وردپرسی FlexyConsent برای انطباق کامل

وقتی کوکی‌های خود را ممیزی کردید و فهمیدید چه چیزهایی باید کنترل شوند، پیاده‌سازی FlexyConsent در وردپرس سرراست است.

افزونهٔ وردپرسی FlexyConsent مستقیماً در پیشخوان مدیریت وردپرس شما ادغام می‌شود و یک تجربهٔ پیکربندی بومی فراهم می‌کند:

1. نصب از مخزن افزونه‌ها: در مسیر Plugins > Add New عبارت «FlexyConsent» را جست‌وجو کنید، نصب و فعال کنید. نیازی به آپلود دستی فایل‌ها نیست.
2. اتصال سایت: شناسهٔ سایت FlexyConsent خود را در تنظیمات افزونه وارد کنید. افزونه به‌طور خودکار اسکریپت رضایت را در جای درست — پیش از هر اسکریپت شخص ثالث دیگر — تزریق می‌کند.
3. پیکربندی دسته‌های کوکی: کوکی‌های ممیزی‌شدهٔ خود را به دسته‌های رضایت FlexyConsent نگاشت کنید. افزونه یک رابط بصری برای این کار مستقیماً در پی��خوان وردپرس شما ارائه می‌دهد.
4. راه‌اندازی مسدودسازی اسکریپت: FlexyConsent به‌طور خودکار تگ‌های Google را از طریق Consent Mode V2 مدیریت می‌کند. برای سایر اسکریپت‌ها (Facebook Pixel، ردیابی‌های سفارشی)، افزونه قوانین مسدودسازی اسکریپت ارائه می‌دهد که تا زمان اعطای دستهٔ رضایت مناسب، از اجرای آن‌ها جلوگیری می‌کند.
5. آزمایش کامل: با یک پنجرهٔ ناشناس بررسی کنید که کوکی‌های غیرضروری تا زمان اعطای رضایت مسدود می‌شوند و پس از رضایت، همهٔ امکانات به‌درستی کار می‌کنند.

به‌عنوان یک Google-certified CMP با پشتیبانی از IAB TCF 2.3، FlexyConsent پیچیده‌ترین جنبه‌های انطباق کوکی در وردپرس را به‌طور خودکار مدیریت می‌کند. سیگنال‌های Consent Mode V2 بدون هیچ پیکربندی اضافهٔ تگ، به سرویس‌های Google ارسال می‌شوند و هدف‌گیری جغرافیایی تضمین می‌کند که بازدیدکنندگان مناطق مختلف، تجربهٔ رضایت متناسب با محل خود را ببینند.

نکتهٔ کلیدی: انعطاف‌پذیری وردپرس بهایی در حوزهٔ حریم خصوصی دارد — هر قالب و افزونه می‌تواند کوکی‌هایی اضافه کند که نیازمند رضایت هستند. یک ممیزی نظام‌مند، به‌همراه پیاده‌سازی درست یک CMP، تنها مسیر قابل‌اعتماد برای انطباق است. فرض نکنید سایت شما فقط همان کوکی‌هایی را تنظیم می‌کند که خودتان از آن‌ها خبر دارید؛ واقعیت تقریباً همیشه پیچیده‌تر از چیزی است که انتظار دارید.