Tutorial17 Mei 2026 | FlexyConsent

Audit Cookie WordPress: Bagaimana Tema dan Plugin Memenuhi Situs Anda dengan Pelacak

Masalah Cookie Tersembunyi di WordPress

Kebanyakan pemilik situs WordPress tidak menyadari berapa banyak cookie yang disetel oleh situs mereka. Instalasi WordPress baru dengan sebuah tema populer dan beberapa plugin umum saja sudah dapat menyetel 15 hingga 30 cookie di berbagai domain, banyak di antaranya sebelum pengunjung memiliki kesempatan untuk memberikan persetujuan. Ini bukan hasil dari pelacakan yang disengaja — ini adalah efek kumulatif dari tema dan plugin yang memuat sumber daya eksternal yang membawa cookie mereka sendiri.

Memahami dari mana cookie ini berasal, apa fungsinya, dan bagaimana mengendalikannya sangat penting bagi situs WordPress yang perlu mematuhi GDPR, ePrivacy, atau regulasi serupa. Panduan ini menjelaskan proses audit langkah demi langkah.

Mengapa Situs WordPress Mengumpulkan Begitu Banyak Cookie

Arsitektur plugin WordPress adalah kekuatan terbesar sekaligus liabilitas privasi terbesarnya. Setiap plugin beroperasi secara semi-independen, dan sebagian besar pengembang plugin berfokus pada fungsionalitas, bukan kepatuhan cookie. Berikut sumber utama cookie di situs WordPress pada umumnya:

Tema dan Google Fonts

Banyak tema WordPress memuat Google Fonts langsung dari fonts.googleapis.com. Ketika browser pengunjung meminta font ini, Google dapat menyetel cookie dan mengumpulkan alamat IP pengunjung, informasi browser, dan halaman perujuk. Pada 2022, pengadilan Jerman memutuskan bahwa memuat Google Fonts dari server Google tanpa persetujuan melanggar GDPR, yang berujung pada denda 100 EUR untuk setiap pengunjung yang terdampak. Solusinya adalah meng-host font secara lokal, tetapi sebagian besar pengaturan bawaan tema masih mengarah ke server Google.

Page Builder dan Analitik

Elementor, page builder WordPress paling populer, memuat sumber daya eksternal termasuk font dan dapat menyetel cookie pelacakan penggunaan. Beberapa widget Elementor menyematkan konten pihak ketiga (video YouTube, Google Maps) yang menyetel cookie mereka sendiri. Bahkan versi gratis Elementor dapat mengirim data penggunaan anonim kecuali dinonaktifkan secara eksplisit di pengaturan.

Plugin SEO

Yoast SEO dan Rank Math sendiri hanya menyetel sedikit cookie, tetapi sering kali terintegrasi dengan Google Search Console dan mendorong penambahan kode pelacakan Google Analytics. Skrip analitik yang mereka bantu terapkan merupakan sumber utama cookie. Versi premium Yoast juga berkomunikasi dengan server Yoast untuk analisis SEO, yang dapat melibatkan cookie.

Jetpack dan Layanan WordPress.com

Jetpack adalah salah satu penyetel cookie paling produktif di ekosistem WordPress. Bergantung pada modul mana yang aktif, Jetpack dapat menyetel cookie untuk:

Statistik situs (statistik WordPress.com)
Tombol berbagi sosial (memuat skrip dari Facebook, Twitter, LinkedIn)
Sistem komentar (cookie Gravatar)
Fitur keamanan (cookie modul Protect)
Penggunaan CDN (cookie WordPress.com CDN)

Satu instalasi Jetpack dengan pengaturan bawaan dapat bertanggung jawab atas 8 hingga 12 cookie dari berbagai domain.

WooCommerce dan E-commerce

WooCommerce menyetel beberapa cookie yang dianggap sangat diperlukan (strictly necessary) untuk fungsionalitas e-commerce:

woocommerce_cart_hash: Membantu WooCommerce mengetahui kapan isi keranjang berubah.
woocommerce_items_in_cart: Melacak apakah ada item di keranjang.
wp_woocommerce_session_*: Berisi kode unik untuk setiap sesi pelanggan.

Walaupun cookie ini umumnya dikecualikan dari persyaratan persetujuan sebagai cookie yang sangat diperlukan, ekstensi WooCommerce untuk pemrosesan pembayaran, pemulihan keranjang yang ditinggalkan, dan otomatisasi pemasaran menambahkan banyak cookie lain yang memang memerlukan persetujuan.

Formulir Kontak dan reCAPTCHA

Plugin formulir kontak seperti Contact Form 7, WPForms, dan Gravity Forms sering menggunakan Google reCAPTCHA untuk perlindungan spam. reCAPTCHA v2 dan v3 menyetel beberapa cookie termasuk _GRECAPTCHA dan memuat skrip dari google.com yang dapat menyetel cookie pelacakan tambahan. Ini berarti bahkan halaman kontak sederhana pun dapat memicu cookie terkait iklan.

Plugin Caching

Plugin caching seperti WP Super Cache, W3 Total Cache, dan WP Rocket menyetel cookie mereka sendiri untuk mengelola perilaku cache. Ini biasanya adalah cookie fungsional (misalnya, untuk melewati cache bagi pengguna yang sudah login), tetapi tetap perlu didokumentasikan dalam kebijakan cookie Anda.

Cara Mengaudit Cookie di Situs WordPress Anda

Audit cookie yang menyeluruh melibatkan pemindaian situs Anda dari perspektif pengunjung. Berikut prosesnya:

Langkah 1: Gunakan Developer Tools di Browser

Buka situs Anda di Chrome, masuk ke DevTools > Application > Cookies, dan periksa semua cookie yang disetel untuk domain Anda dan domain pihak ketiga. Lakukan ini di jendela penyamaran (incognito) untuk mensimulasikan pengunjung pertama kali. Catat setiap nama cookie, domain, masa kedaluwarsa, dan apakah itu cookie pihak pertama atau pihak ketiga.

Langkah 2: Gunakan Pemindai Cookie Khusus

Pemeriksaan manual menangkap cookie yang disetel saat halaman dimuat, tetapi melewatkan cookie yang disetel oleh interaksi (mengklik tombol, mengirim formulir, menggulir). Pemindai khusus seperti pemindai gratis Cookiebot, CookieYes scanner, atau ekstensi browser seperti EditThisCookie memberikan hasil yang lebih komprehensif. Jalankan pemindaian di beberapa halaman, bukan hanya beranda.

Langkah 3: Kategorikan Setiap Cookie

Kelompokkan cookie yang ditemukan ke dalam kategori standar:

Sangat Diperlukan (Strictly Necessary): Cookie sesi, autentikasi, keamanan, fungsionalitas keranjang. Cookie ini tidak memerlukan persetujuan.
Fungsional: Preferensi bahasa, penyesuaian antarmuka pengguna. Secara teknis memerlukan persetujuan tetapi risikonya rendah.
Analitik: Google Analytics, statistik WordPress.com, alat heatmap. Memerlukan persetujuan.
Pemasaran/Iklan: Google Ads, Facebook Pixel, cookie remarketing. Memerlukan persetujuan dan ini adalah prioritas tertinggi untuk diblokir.

Langkah 4: Petakan Cookie ke Sumbernya

Untuk setiap cookie, identifikasi tema atau plugin mana yang bertanggung jawab. Di sinilah WordPress menjadi rumit — satu halaman dapat memuat skrip dari 5 plugin berbeda, masing-masing menyetel cookie sendiri. Nonaktifkan plugin sementara satu per satu untuk mengidentifikasi plugin mana yang menyetel cookie tertentu.

Sumber Cookie Umum dan Solusinya

Berikut referensi cepat untuk sumber cookie WordPress yang paling umum dan cara menanganinya:

Google Fonts: Beralih ke font yang di-host secara lokal. Plugin seperti OMGF atau pengaturan tema Anda dapat mengotomatiskan ini.
Google Analytics: Harus diblokir sampai persetujuan diberikan. Ini ditangani oleh CMP Anda.
Sematan YouTube: Gunakan domain youtube-nocookie.com alih-alih youtube.com. Ini mencegah sebagian besar cookie pelacakan.
Google Maps: Muat hanya setelah ada persetujuan, atau gunakan gambar peta statis sebagai placeholder.
Facebook Pixel: Harus diblokir sampai persetujuan pemasaran diberikan.
reCAPTCHA: Pertimbangkan alternatif seperti hCaptcha (lebih ramah privasi) atau teknik honeypot yang tidak memerlukan skrip eksternal.

Menyiapkan Plugin WordPress FlexyConsent untuk Kepatuhan Penuh

Setelah Anda mengaudit cookie dan memahami apa yang perlu dikendalikan, menerapkan FlexyConsent di WordPress menjadi sederhana.

🔌

Plugin Resmi WordPress

FlexyConsent untuk WordPress

Instal langsung dari WordPress Plugin Directory. Konfigurasi native dari dasbor admin WP Anda — tanpa perlu coding.

→

Plugin WordPress FlexyConsent terintegrasi langsung ke dalam dasbor admin WordPress Anda, memberikan pengalaman konfigurasi native:

Instal dari Plugin Directory: Cari "FlexyConsent" di Plugins > Add New, instal, dan aktifkan. Tidak perlu unggah file manual.
Hubungkan situs Anda: Masukkan ID situs FlexyConsent Anda di pengaturan plugin. Plugin secara otomatis menyisipkan skrip persetujuan di posisi yang benar — sebelum skrip pihak ketiga lainnya.
Konfigurasikan kategori cookie: Petakan cookie hasil audit Anda ke kategori persetujuan FlexyConsent. Plugin menyediakan antarmuka visual untuk ini langsung di admin WordPress Anda.
Atur pemblokiran skrip: FlexyConsent secara otomatis mengelola tag Google melalui Consent Mode V2. Untuk skrip lain (Facebook Pixel, pelacakan kustom), plugin menyediakan aturan pemblokiran skrip yang mencegah eksekusi hingga kategori persetujuan yang sesuai diberikan.
Uji secara menyeluruh: Gunakan jendela penyamaran untuk memverifikasi bahwa cookie non-esensial diblokir sampai persetujuan diberikan, dan bahwa semua fungsionalitas bekerja dengan benar setelah persetujuan.

Sebagai Google-certified CMP dengan dukungan IAB TCF 2.3, FlexyConsent menangani aspek paling kompleks dari kepatuhan cookie WordPress secara otomatis. Sinyal Consent Mode V2 dikirim ke layanan Google tanpa konfigurasi tag tambahan, dan geo-targeting memastikan bahwa pengunjung dari wilayah berbeda melihat pengalaman persetujuan yang sesuai.

Inti penting: Fleksibilitas WordPress datang dengan biaya privasi — setiap tema dan plugin dapat memperkenalkan cookie yang memerlukan persetujuan. Audit yang sistematis diikuti implementasi CMP yang tepat adalah satu-satunya jalan yang andal menuju kepatuhan. Jangan berasumsi situs Anda hanya menyetel cookie yang Anda ketahui; kenyataannya hampir selalu lebih kompleks daripada yang diperkirakan.