Opas17. toukokuuta 2026 | FlexyConsent

WordPress-evästeauditointi: Näin teemat ja lisäosat täyttävät sivustosi seurannalla

WordPressin piilotettu evästeongelma

Useimmat WordPress-sivustojen omistajat eivät ymmärrä, kuinka monta evästettä heidän sivustonsa asettaa. Uusi WordPress-asennus, jossa on suosittu teema ja muutama yleinen lisäosa, voi helposti asettaa 15–30 evästettä useille eri verkkotunnuksille – monia niistä jo ennen kuin kävijällä on mitään mahdollisuutta antaa suostumustaan. Tämä ei yleensä johdu tietoisesta seurannasta, vaan on seurausta siitä, että teemat ja lisäosat lataavat ulkoisia resursseja, jotka tuovat mukanaan omat evästeensä.

On olennaista ymmärtää, mistä nämä evästeet tulevat, mitä ne tekevät ja miten niitä voi hallita, jos WordPress-sivuston on noudatettava GDPR:ää, ePrivacy-sääntelyä tai vastaavia lakeja. Tämä opas käy läpi auditointiprosessin vaihe vaiheelta.

Miksi WordPress-sivustoille kertyy niin paljon evästeitä

WordPressin lisosarakennetta voi pitää sekä sen suurimpana vahvuutena että suurimpana yksityisyysriskinä. Jokainen lisäosa toimii puoliksi itsenäisesti, ja useimmat lisäosakehittäjät keskittyvät toiminnallisuuteen eivätkä evästeiden sääntelyn noudattamiseen. Tässä ovat tyypillisimmät evästeiden lähteet WordPress-sivustolla:

Teemat ja Google Fonts

Monet WordPress-teemat lataavat Google Fonts -kirjasimet suoraan osoitteesta fonts.googleapis.com. Kun kävijän selain pyytää näitä kirjasimia, Google voi asettaa evästeitä ja kerätä kävijän IP-osoitteen, selaintiedot ja viittaavan sivun. Vuonna 2022 saksalainen tuomioistuin katsoi, että Google Fonts -kirjasinten lataaminen Googlen palvelimilta ilman suostumusta rikkoo GDPR:ää, ja määräsi 100 euron hyvityksen jokaisesta vaikutuksen kohteena olleesta kävijästä. Ratkaisu on isännöidä kirjasimia paikallisesti, mutta useimpien teemojen oletusasetukset osoittavat yhä Googlen palvelimille.

Sivunrakentajat ja analytiikka

Elementor, suosituin WordPress-sivunrakentaja, lataa ulkoisia resursseja, kuten kirjasimia, ja voi asettaa käyttöä seuraavia evästeitä. Jotkin Elementorin widgetit upottavat kolmannen osapuolen sisältöä (YouTube-videoita, Google Maps -karttoja), jotka asettavat omat evästeensä. Jopa Elementorin ilmainen versio voi lähettää anonymisoituja käyttötietoja, ellei tätä erikseen poisteta käytöstä asetuksista.

SEO-lisäosat

Yoast SEO ja Rank Math asettavat itse vain vähän evästeitä, mutta ne integroituvat usein Google Search Consoleen ja kannustavat lisäämään Google Analytics -seurantakoodeja. Ne analytiikkaskriptit, joiden käyttöönotossa lisäosat auttavat, ovat merkittävä evästeiden lähde. Yoastin maksullinen versio kommunikoi myös Yoastin palvelimien kanssa SEO-analyysiä varten, mikä voi sisältää evästeiden käyttöä.

Jetpack ja WordPress.com-palvelut

Jetpack on yksi koko WordPress-ekosysteemin tuotteliaimmista evästeiden asettajista. Aktiivisista moduuleista riippuen Jetpack voi asettaa evästeitä seuraaviin tarkoituksiin:

Sivuston tilastot (WordPress.com stats)
Sosiaalisen median jakonapit (skriptit Facebookista, Twitteristä, LinkedInistä)
Kommentointijärjestelmä (Gravatar-evästeet)
Turvaominaisuudet (Protect-moduulin evästeet)
CDN:n käyttö (WordPress.com CDN -evästeet)

Yksi Jetpack-asennus oletusasetuksilla voi olla vastuussa 8–12 evästeestä eri verkkotunnuksista.

WooCommerce ja verkkokauppa

WooCommerce asettaa useita evästeitä, joita pidetään ehdottoman välttämättöminä verkkokaupan toiminnan kannalta:

woocommerce_cart_hash: Auttaa WooCommercea tunnistamaan, milloin ostoskorin sisältö muuttuu.
woocommerce_items_in_cart: Seuraa, onko ostoskorissa tuotteita.
wp_woocommerce_session_*: Sisältää jokaiselle asiakkaalle yksilöllisen istuntokoodin.

Näitä pidetään yleensä suostumusvaatimuksista vapautettuina, koska ne ovat välttämättömiä evästeitä. WooCommerce-laajennukset maksujen käsittelyyn, hylättyjen ostoskorien palauttamiseen ja markkinoinnin automaatioon lisäävät kuitenkin monia muita evästeitä, jotka edellyttävät suostumusta.

Yhteydenottolomakkeet ja reCAPTCHA

Yhteydenottolomake-lisäosat, kuten Contact Form 7, WPForms ja Gravity Forms, käyttävät usein Google reCAPTCHAa roskapostin torjuntaan. reCAPTCHA v2 ja v3 asettavat useita evästeitä, kuten _GRECAPTCHA, ja lataavat skriptejä google.com-verkkotunnukselta, joka voi asettaa lisää seurantaan liittyviä evästeitä. Tämä tarkoittaa, että jopa yksinkertainen yhteydenottosivu voi laukaista mainontaan liittyviä evästeitä.

Välimuistilisäosat

Välimuistilisäosat, kuten WP Super Cache, W3 Total Cache ja WP Rocket, asettavat omia evästeitään välimuistin toiminnan hallintaan. Nämä ovat tyypillisesti toiminnallisia evästeitä (esimerkiksi välimuistin ohittamiseen kirjautuneille käyttäjille), mutta nekin on kuvattava evästekäytännössäsi.

Kuinka auditoida evästeet WordPress-sivustollasi

Perusteellinen evästeauditointi tarkoittaa sivuston läpikäyntiä kävijän näkökulmasta. Prosessi etenee näin:

Vaihe 1: Käytä selaimen kehittäjätyökaluja

Avaa sivustosi Chromessa, siirry kohtaan DevTools > Application > Cookies ja tarkastele kaikkia verkkotunnuksellesi ja kolmansien osapuolten verkkotunnuksille asetettuja evästeitä. Tee tämä incognito-ikkunassa simuloidaksesi ensimmäistä käyntiä. Kirjaa ylös jokaisen evästeen nimi, verkkotunnus, vanhenemisaika sekä tieto siitä, onko kyseessä ensimmäisen osapuolen vai kolmannen osapuolen eväste.

Vaihe 2: Käytä erillistä evästeskanneria

Manuaalinen tarkistus havaitsee sivun latauksen yhteydessä asetetut evästeet, mutta ei välttämättä niitä, jotka asetetaan vuorovaikutuksen seurauksena (painikkeiden klikkaus, lomakkeiden lähetys, vieritys). Erilliset skannerit, kuten Cookiebotin ilmainen skanneri, CookieYes-skanneri tai selaimen laajennukset, kuten EditThisCookie, antavat kattavampia tuloksia. Aja skannauksia useilla sivuilla, ei vain etusivulla.

Vaihe 3: Luokittele jokainen eväste

Ryhmittele löydetyt evästeet vakioluokkiin:

Ehdottoman välttämättömät: Istuntoevästeet, tunnistautuminen, turvallisuus, ostoskorin toiminta. Nämä eivät edellytä suostumusta.
Toiminnalliset: Kieliasetukset, käyttöliittymän mukautus. Näihin vaaditaan periaatteessa suostumus, mutta riskitaso on matala.
Analytiikka: Google Analytics, WordPress.com stats, lämpökarttatyökalut. Suostumus vaaditaan.
Markkinointi/mainonta: Google Ads, Facebook Pixel, uudelleenmarkkinoinnin evästeet. Suostumus vaaditaan, ja nämä ovat tärkeimpiä estää ennen suostumusta.

Vaihe 4: Yhdistä evästeet niiden lähteisiin

Tunnista jokaiselle evästeelle, mikä teema tai lisäosa siitä vastaa. Tässä WordPress muuttuu monimutkaiseksi – yksi sivu voi ladata skriptejä viidestä eri lisäosasta, joista jokainen asettaa omat evästeensä. Poista lisäosia tilapäisesti käytöst�� yksi kerrallaan selvittääksesi, mikä lisäosa asettaa mitkäkin evästeet.

Yleiset evästelähteet ja ratkaisut niihin

Tässä pikaopas yleisimpiin WordPress-evästelähteisiin ja tapoihin puuttua niihin:

Google Fonts: Vaihda paikallisesti isännöityihin kirjasimiin. Lisäosat kuten OMGF tai teemasi asetukset voivat automatisoida tämän.
Google Analytics: On estettävä, kunnes suostumus on annettu. Tämän hoitaa CMP-järjestelmäsi.
YouTube-upotukset: Käytä youtube-nocookie.com-verkkotunnusta youtube.comin sijaan. Tämä estää suurimman osan seurantaan liittyvistä evästeistä.
Google Maps: Lataa vasta suostumuksen jälkeen tai käytä staattista karttakuvaa paikkamerkkinä.
Facebook Pixel: On estettävä, kunnes markkinointisuostumus on annettu.
reCAPTCHA: Harkitse vaihtoehtoja, kuten hCaptcha (yksityisyyttä paremmin suojaava) tai honeypot-tekniikoita, jotka eivät vaadi ulkoisia skriptejä.

FlexyConsent WordPress -lisäosan käyttöönotto täydellistä vaatimustenmukaisuutta varten

Kun olet auditoinut evästeesi ja ymmärrät, mitä on hallittava, FlexyConsentin käyttöönotto WordPressissä on suoraviivaista.

🔌

Virallinen WordPress-lisäosa

FlexyConsent for WordPress

Asenna suoraan WordPress Plugin Directorysta. Luonteva konfigurointi WP-hallintapaneelista – ei koodausta.

→

FlexyConsentin WordPress-lisäosa integroituu suoraan WordPressin hallintapaneeliin ja tarjoaa natiivin konfigurointikokemuksen:

Asenna Plugin Directorysta: Etsi "FlexyConsent" kohdasta Plugins > Add New, asenna ja aktivoi. Manuaalisia tiedostojen latauksia ei tarvita.
Yhdistä sivustosi: Syötä FlexyConsent-sivustotunnuksesi lisäosan asetuksiin. Lisäosa lisää suostumusskriptin automaattisesti oikeaan kohtaan – ennen muita kolmannen osapuolen skriptejä.
Määritä evästeluokat: Yhdistä auditoidut evästeesi FlexyConsent-järjestelmän suostumusluokkiin. Lisäosa tarjoaa tähän visuaalisen käyttöliittymän suoraan WordPress-hallinnassa.
Ota käyttöön skriptien estäminen: FlexyConsent hallitsee Google-tageja automaattisesti Consent Mode V2 -tilan kautta. Muille skripteille (Facebook Pixel, omat seurantaskriptit) lisäosa tarjoaa estosäännöt, jotka estävät suorittamisen, kunnes vastaava suostumusluokka on hyväksytty.
Testaa huolellisesti: Käytä incognito-ikkunaa varmistaaksesi, että ei-välttämättömät evästeet estetään, kunnes suostumus on annettu, ja että kaikki toiminnallisuus toimii oikein suostumuksen jälkeen.

Google-sertifioituna CMP:nä, jolla on IAB TCF 2.3 -tuki, FlexyConsent hoitaa WordPress-evästeiden vaatimustenmukaisuuden monimutkaisimmatkin osa-alueet automaattisesti. Consent Mode V2 -signaalit lähetetään Google-palveluille ilman lisäkonfigurointia tageihin, ja maantieteellinen kohdennus varmistaa, että eri alueilta tulevat kävijät näkevät heille sopivan suostumuskokemuksen.

Ydinajatus: WordPressin joustavuus tuo mukanaan yksityisyyskustannuksen – jokainen teema ja lisäosa voi tuoda sivustolle evästeitä, jotka edellyttävät suostumusta. Järjestelmällinen auditointi ja sen jälkeen tehty asianmukainen CMP-toteutus on ainoa luotettava tie vaatimustenmukaisuuteen. Älä oleta, että sivustosi asettaa vain ne evästeet, joista tiedät; todellisuus on lähes aina monimutkaisempi kuin odotat.