Auditoría de cookies en WordPress: como os temas e plugins enchen o teu sitio de rastrexadores

O problema oculto das cookies en WordPress

A maioría das persoas propietarias de sitios WordPress non se decatan de cantas cookies establece o seu sitio. Unha instalación nova de WordPress cun tema popular e un feixe de plugins habituais pode chegar facilmente a establecer entre 15 e 30 cookies en varios dominios, moitas delas antes de que a persoa visitante teña oportunidade de dar o seu consentimento. Isto non é o resultado dun seguimento deliberado, senón o efecto acumulado de temas e plugins que cargan recursos externos que traen as súas propias cookies.

Comprender de onde veñen estas cookies, que fan e como controlalas é esencial para calquera sitio WordPress que precise cumprir co GDPR, a ePrivacy ou normativas semellantes. Esta guía percorre o proceso de auditoría paso a paso.

Por que os sitios WordPress acumulan tantas cookies

A arquitectura de plugins de WordPress é ao mesmo tempo a súa maior fortaleza e a súa principal debilidade en materia de privacidade. Cada plugin funciona de maneira semi-independente, e a maioría das persoas desenvolvedoras céntranse na funcionalidade máis ca no cumprimento en materia de cookies. Estes son as principais fontes de cookies nun sitio WordPress típico:

Temas e Google Fonts

Moitos temas de WordPress cargan Google Fonts directamente desde fonts.googleapis.com. Cando o navegador da persoa visitante solicita estas fontes, Google pode establecer cookies e recoller o enderezo IP da persoa visitante, información do navegador e a páxina de procedencia. En 2022, un tribunal alemán determinou que cargar Google Fonts desde os servidores de Google sen consentimento vulnera o GDPR, o que deu lugar a unha multa de 100 € por cada persoa visitante afectada. A solución é aloxar as fontes localmente, pero a maioría das configuracións predeterminadas dos temas seguen apuntando aos servidores de Google.

Maquetadores de páxinas e analítica

Elementor, o maquetador de páxinas máis popular de WordPress, carga recursos externos, incluídas fontes, e pode establecer cookies de seguimento de uso. Algúns widgets de Elementor incrustan contido de terceiros (vídeos de YouTube, Google Maps) que establecen as súas propias cookies. Mesmo a versión gratuíta de Elementor pode enviar datos de uso anonimizados a non ser que se desactive explicitamente na configuración.

Plugins de SEO

Yoast SEO e Rank Math en si mesmos establecen poucas cookies, pero adoitan integrarse con Google Search Console e animan a engadir códigos de seguimento de Google Analytics. Os scripts de analítica que che axudan a implementar son unha fonte importante de cookies. A versión premium de Yoast tamén se comunica cos servidores de Yoast para a análise SEO, o que pode implicar cookies.

Jetpack e servizos de WordPress.com

Jetpack é un dos elementos que máis cookies establece no ecosistema WordPress. Segundo que módulos estean activos, Jetpack pode establecer cookies para:

• Estatísticas do sitio (estatísticas de WordPress.com)
• Botóns de compartición social (cargando scripts de Facebook, Twitter, LinkedIn)
• Sistema de comentarios (cookies de Gravatar)
• Funcións de seguridade (cookies do módulo Protect)
• Uso de CDN (cookies da CDN de WordPress.com)

Unha única instalación de Jetpack coa configuración predeterminada pode ser responsable de entre 8 e 12 cookies de varios dominios.

WooCommerce e comercio electrónico

WooCommerce establece varias cookies que se consideran estritamente necesarias para a funcionalidade de comercio electrónico:

• woocommerce_cart_hash: Axuda WooCommerce a saber cando cambian os contidos do carriño.
• woocommerce_items_in_cart: Indica se hai artigos no carriño.
• wp_woocommerce_session_*: Contén un código único para a sesión de cada clienta ou cliente.

Aínda que estas cookies adoitan estar exentas de requisitos de consentimento por seren estritamente necesarias, as extensións de WooCommerce para procesamento de pagos, recuperación de carriños abandonados e automatización de marketing engaden moitas máis cookies que si requiren consentimento.

Formularios de contacto e reCAPTCHA

Plugins de formularios de contacto como Contact Form 7, WPForms e Gravity Forms adoitan usar Google reCAPTCHA para a protección contra spam. reCAPTCHA v2 e v3 establecen varias cookies, incluída _GRECAPTCHA, e cargan scripts desde google.com que poden establecer cookies de seguimento adicionais. Isto significa que mesmo unha páxina de contacto sinxela pode desencadear cookies relacionadas coa publicidade.

Plugins de caché

Plugins de caché como WP Super Cache, W3 Total Cache e WP Rocket establecen as súas propias cookies para xestionar o comportamento da caché. Adoitan ser cookies funcionais (por exemplo, para evitar a caché para persoas usuarias con sesión iniciada), pero aínda así deben figurar na túa política de cookies.

Como auditar as cookies no teu sitio WordPress

Unha auditoría de cookies completa implica analizar o teu sitio desde a perspectiva da persoa visitante. Este é o proceso:

Paso 1: usar as ferramentas de desenvolvemento do navegador

Abre o teu sitio en Chrome, vai a DevTools > Application > Cookies e examina todas as cookies establecidas para o teu dominio e dominios de terceiros. Faino nunha xanela de incógnito para simular unha persoa visitante por primeira vez. Anota o nome de cada cookie, o dominio, a caducidade e se é de primeira ou de terceira parte.

Paso 2: usar un escáner de cookies dedicado

A inspección manual detecta as cookies que se establecen na carga da páxina, pero non as que se establecen por interaccións (premer botóns, enviar formularios, desprazarse). Escáneres dedicados como o escáner gratuíto de Cookiebot, o escáner de CookieYes ou extensións de navegador como EditThisCookie ofrecen resultados máis completos. Executa análises en varias páxinas, non só na páxina de inicio.

Paso 3: categorizar cada cookie

Agrupa as cookies descubertas en categorías estándar:

• Estritamente necesarias: Cookies de sesión, autenticación, seguridade, funcionalidade do carriño. Non requiren consentimento.
• Funcionais: Preferencias de idioma, personalización da interface de usuario. Tecnicamente requiren consentimento, pero son de baixo risco.
• Analítica: Google Analytics, estatísticas de WordPress.com, ferramentas de mapas de calor. Requiren consentimento.
• Marketing/Publicidade: Google Ads, Facebook Pixel, cookies de remarketing. Requiren consentimento e son a máxima prioridade para bloquear.

Paso 4: mapear as cookies coas súas fontes

Para cada cookie, identifica que tema ou plugin é o responsable. Aquí é onde WordPress se complica: unha única páxina pode cargar scripts de 5 plugins diferentes, cada un establecendo as súas propias cookies. Desactiva temporalmente os plugins un a un para identificar que plugin establece que cookies.

Fontes de cookies habituais e as súas solucións

Velaquí unha referencia rápida das fontes de cookies máis habituais en WordPress e como abordalas:

• Google Fonts: Cambia a fontes aloxadas localmente. Plugins como OMGF ou a configuración do teu tema poden automatizar isto.
• Google Analytics: Debe bloquearse ata que se conceda o consentimento. Isto xestiónao o teu CMP.
• Incrustacións de YouTube: Usa o dominio youtube-nocookie.com no canto de youtube.com. Isto evita a maioría das cookies de seguimento.
• Google Maps: Carga só despois do consentimento ou usa unha imaxe de mapa estático como marcador de posición.
• Facebook Pixel: Debe bloquearse ata que se conceda o consentimento de marketing.
• reCAPTCHA: Considera alternativas como hCaptcha (máis respectuosa coa privacidade) ou técnicas de honeypot que non requiren scripts externos.

Configurar o plugin FlexyConsent para WordPress para un cumprimento completo

Unha vez que audites as túas cookies e comprendas que é o que hai que controlar, implementar FlexyConsent en WordPress é sinxelo.

O plugin de WordPress de FlexyConsent intégrase directamente no teu panel de administración de WordPress, ofrecendo unha experiencia de configuración nativa:

1. Instalar desde o directorio de plugins: Busca "FlexyConsent" en Plugins > Engadir novo, instala e activa. Non son necesarias cargas manuais de ficheiros.
2. Conectar o teu sitio: Introduce o ID do teu sitio FlexyConsent na configuración do plugin. O plugin insire automaticamente o script de consentimento na posición correcta — antes de calquera outro script de terceiros.
3. Configurar as categorías de cookies: Mapea as cookies que auditaches coas categorías de consentimento de FlexyConsent. O plugin ofrece unha interface visual para isto directamente no teu panel de administración de WordPress.
4. Configurar o bloqueo de scripts: FlexyConsent xestiona automaticamente as etiquetas de Google mediante o Consent Mode V2. Para outros scripts (Facebook Pixel, seguimento personalizado), o plugin ofrece regras de bloqueo de scripts que impiden a súa execución ata que se conceda a categoría de consentimento correspondente.
5. Probar a fondo: Usa unha xanela de incógnito para verificar que as cookies non esenciais se bloquean ata que se conceda o consentimento e que toda a funcionalidade funciona correctamente despois do consentimento.

Como CMP certificado por Google con soporte para IAB TCF 2.3, FlexyConsent xestiona automaticamente os aspectos máis complexos do cumprimento de cookies en WordPress. Os sinais de Consent Mode V2 envíanse aos servizos de Google sen necesidade de configuración adicional de etiquetas, e a segmentación xeográfica garante que as persoas visitantes de diferentes rexións vexan a experiencia de consentimento adecuada.

Idea clave: A flexibilidade de WordPress ten un custo en termos de privacidade: cada tema e plugin pode introducir cookies que requiren consentimento. Unha auditoría sistemática seguida dunha implementación correcta dun CMP é o único camiño fiable cara ao cumprimento normativo. Non deas por feito que o teu sitio só establece as cookies que coñeces; a realidade é case sempre máis complexa do que parece.