Audit dei cookie in WordPress: come temi e plugin riempiono il tuo sito di tracker

Il problema nascosto dei cookie in WordPress

La maggior parte dei proprietari di siti WordPress non si rende conto di quanti cookie il proprio sito imposti. Una nuova installazione di WordPress con un tema popolare e una manciata di plugin comuni può facilmente impostare da 15 a 30 cookie su vari domini, molti dei quali prima che il visitatore abbia la possibilità di esprimere il consenso. Questo non è il risultato di un tracciamento deliberato — è l’effetto cumulativo di temi e plugin che caricano risorse esterne che portano con sé i propri cookie.

Capire da dove provengono questi cookie, cosa fanno e come controllarli è essenziale per qualsiasi sito WordPress che debba rispettare il GDPR, la direttiva ePrivacy o normative simili. Questa guida illustra passo dopo passo il processo di audit.

Perché i siti WordPress accumulano così tanti cookie

L’architettura a plugin di WordPress è al tempo stesso il suo più grande punto di forza e la sua maggiore criticità in termini di privacy. Ogni plugin opera in modo semi-indipendente e la maggior parte degli sviluppatori si concentra sulla funzionalità piuttosto che sulla conformità in materia di cookie. Ecco le principali fonti di cookie in un tipico sito WordPress:

Temi e Google Fonts

Molti temi WordPress caricano i Google Fonts direttamente da fonts.googleapis.com. Quando il browser di un visitatore richiede questi font, Google può impostare cookie e raccogliere l’indirizzo IP del visitatore, le informazioni sul browser e la pagina di provenienza. Nel 2022, un tribunale tedesco ha stabilito che caricare Google Fonts dai server di Google senza consenso viola il GDPR, con una sanzione di 100 EUR per ciascun visitatore interessato. La soluzione è ospitare i font localmente, ma la maggior parte delle impostazioni predefinite dei temi punta ancora ai server di Google.

Page builder e analytics

Elementor, il page builder WordPress più popolare, carica risorse esterne, inclusi font, e può impostare cookie di tracciamento dell’utilizzo. Alcuni widget di Elementor incorporano contenuti di terze parti (video YouTube, Google Maps) che impostano i propri cookie. Anche la versione gratuita di Elementor può inviare dati di utilizzo anonimizzati, a meno che non venga disattivata esplicitamente nelle impostazioni.

Plugin SEO

Yoast SEO e Rank Math di per sé impostano pochi cookie, ma spesso si integrano con Google Search Console e incoraggiano l’aggiunta dei codici di tracciamento di Google Analytics. Gli script di analytics che aiutano a implementare sono una fonte importante di cookie. La versione premium di Yoast comunica inoltre con i server di Yoast per l’analisi SEO, il che può comportare l’uso di cookie.

Jetpack e i servizi WordPress.com

Jetpack è uno dei maggiori generatori di cookie nell’ecosistema WordPress. A seconda dei moduli attivi, Jetpack può impostare cookie per:

• Statistiche del sito (WordPress.com stats)
• Pulsanti di condivisione social (caricando script da Facebook, Twitter, LinkedIn)
• Sistema di commenti (cookie di Gravatar)
• Funzionalità di sicurezza (cookie del modulo Protect)
• Uso della CDN (cookie della CDN di WordPress.com)

Una singola installazione di Jetpack con impostazioni predefinite può essere responsabile di 8–12 cookie provenienti da vari domini.

WooCommerce e e‑commerce

WooCommerce imposta diversi cookie considerati strettamente necessari per la funzionalità di e‑commerce:

• woocommerce_cart_hash: Aiuta WooCommerce a sapere quando il contenuto del carrello cambia.
• woocommerce_items_in_cart: Indica se ci sono articoli nel carrello.
• wp_woocommerce_session_*: Contiene un codice univoco per la sessione di ciascun cliente.

Sebbene questi siano generalmente esentati dall’obbligo di consenso in quanto cookie strettamente necessari, le estensioni WooCommerce per l’elaborazione dei pagamenti, il recupero dei carrelli abbandonati e l’automazione del marketing aggiungono molti altri cookie che invece richiedono il consenso.

Form di contatto e reCAPTCHA

I plugin per moduli di contatto come Contact Form 7, WPForms e Gravity Forms utilizzano spesso Google reCAPTCHA per la protezione dallo spam. reCAPTCHA v2 e v3 impostano diversi cookie, tra cui _GRECAPTCHA, e caricano script da google.com che possono impostare ulteriori cookie di tracciamento. Questo significa che anche una semplice pagina di contatto può attivare cookie legati alla pubblicità.

Plugin di cache

I plugin di cache come WP Super Cache, W3 Total Cache e WP Rocket impostano propri cookie per gestire il comportamento della cache. Si tratta in genere di cookie funzionali (ad esempio, per bypassare la cache per gli utenti connessi), ma devono comunque essere documentati nella tua cookie policy.

Come eseguire l’audit dei cookie sul tuo sito WordPress

Un audit accurato dei cookie prevede la scansione del sito dalla prospettiva del visitatore. Ecco il processo:

Passaggio 1: usare gli Strumenti per sviluppatori del browser

Apri il tuo sito in Chrome, vai su DevTools > Application > Cookies ed esamina tutti i cookie impostati per il tuo dominio e per i domini di terze parti. Fallo in una finestra in incognito per simulare un visitatore alla prima visita. Annota il nome di ogni cookie, il dominio, la scadenza e se è di prima o di terza parte.

Passaggio 2: usare uno scanner di cookie dedicato

L’ispezione manuale rileva i cookie impostati al caricamento della pagina, ma non quelli impostati dalle interazioni (clic sui pulsanti, invio di moduli, scroll). Scanner dedicati come lo scanner gratuito di Cookiebot, lo scanner di CookieYes o estensioni del browser come EditThisCookie forniscono risultati più completi. Esegui scansioni su più pagine, non solo sulla homepage.

Passaggio 3: categorizzare ogni cookie

Raggruppa i cookie individuati in categorie standard:

• Strettamente necessari: Cookie di sessione, autenticazione, sicurezza, funzionalità del carrello. Non richiedono consenso.
• Funzionali: Preferenze di lingua, personalizzazione dell’interfaccia utente. Tecnicamente richiedono consenso ma sono a basso rischio.
• Analytics: Google Analytics, WordPress.com stats, strumenti di heatmap. Richiedono consenso.
• Marketing/Pubblicità: Google Ads, Facebook Pixel, cookie di remarketing. Richiedono consenso e sono la massima priorità da bloccare.

Passaggio 4: mappare i cookie alle loro fonti

Per ciascun cookie, identifica quale tema o plugin ne è responsabile. Qui WordPress si complica — una singola pagina può caricare script da 5 plugin diversi, ognuno dei quali imposta i propri cookie. Disattiva temporaneamente i plugin uno alla volta per identificare quale plugin imposta quali cookie.

Fonti comuni di cookie e relative soluzioni

Ecco un rapido riferimento alle fonti di cookie più comuni in WordPress e a come affrontarle:

• Google Fonts: Passa a font ospitati localmente. Plugin come OMGF o le impostazioni del tuo tema possono automatizzare questo processo.
• Google Analytics: Deve essere bloccato fino a quando non viene fornito il consenso. Questo è gestito dal tuo CMP.
• Embed YouTube: Usa il dominio youtube-nocookie.com invece di youtube.com. Questo evita la maggior parte dei cookie di tracciamento.
• Google Maps: Carica solo dopo il consenso oppure usa un’immagine statica della mappa come segnaposto.
• Facebook Pixel: Deve essere bloccato fino a quando non viene fornito il consenso per il marketing.
• reCAPTCHA: Valuta alternative come hCaptcha (più rispettoso della privacy) o tecniche honeypot che non richiedono script esterni.

Configurare il plugin WordPress FlexyConsent per una conformità completa

Una volta eseguito l’audit dei cookie e compreso cosa deve essere controllato, implementare FlexyConsent su WordPress è semplice.

Il plugin WordPress di FlexyConsent si integra direttamente nella bacheca di amministrazione di WordPress, offrendo un’esperienza di configurazione nativa:

1. Installa dalla Directory dei plugin: Cerca "FlexyConsent" in Plugin > Aggiungi nuovo, installa e attiva. Non sono necessari caricamenti manuali di file.
2. Collega il tuo sito: Inserisci l’ID del tuo sito FlexyConsent nelle impostazioni del plugin. Il plugin inietta automaticamente lo script di consenso nella posizione corretta — prima di qualsiasi altro script di terze parti.
3. Configura le categorie di cookie: Collega i cookie individuati nell’audit alle categorie di consenso di FlexyConsent. Il plugin fornisce un’interfaccia visiva per farlo direttamente nell’area di amministrazione di WordPress.
4. Imposta il blocco degli script: FlexyConsent gestisce automaticamente i tag Google tramite il Consent Mode V2. Per altri script (Facebook Pixel, tracciamenti personalizzati), il plugin offre regole di blocco che ne impediscono l’esecuzione fino a quando non viene concesso il consenso per la categoria appropriata.
5. Testa accuratamente: Usa una finestra in incognito per verificare che i cookie non essenziali siano bloccati fino alla concessione del consenso e che tutte le funzionalità funzionino correttamente dopo il consenso.

In quanto CMP certificato da Google con supporto per IAB TCF 2.3, FlexyConsent gestisce automaticamente gli aspetti più complessi della conformità ai cookie in WordPress. I segnali del Consent Mode V2 vengono inviati ai servizi Google senza alcuna configurazione aggiuntiva dei tag e il geo‑targeting garantisce che i visitatori di regioni diverse vedano l’esperienza di consenso appropriata.

Conclusione chiave: la flessibilità di WordPress ha un costo in termini di privacy — ogni tema e plugin può introdurre cookie che richiedono il consenso. Un audit sistematico seguito da una corretta implementazione di un CMP è l’unico percorso affidabile verso la conformità. Non dare per scontato che il tuo sito imposti solo i cookie di cui sei a conoscenza; la realtà è quasi sempre più complessa di quanto ci si aspetti.