WordPress informasjonskapselrevisjon: Hvordan temaer og utvidelser fyller nettstedet ditt med sporere

Det skjulte informasjonskapselproblemet i WordPress

De fleste eiere av WordPress-nettsteder innser ikke hvor mange informasjonskapsler nettstedet deres setter. En fersk WordPress-installasjon med et populært tema og noen få vanlige utvidelser kan lett sette 15 til 30 informasjonskapsler på tvers av ulike domener, mange av dem før den besøkende i det hele tatt har mulighet til å gi samtykke. Dette er ikke resultatet av bevisst sporing – det er den samlede effekten av temaer og utvidelser som laster inn eksterne ressurser som kommer med sine egne informasjonskapsler.

Å forstå hvor disse informasjonskapslene kommer fra, hva de gjør, og hvordan du kontrollerer dem, er avgjørende for alle WordPress-nettsteder som må overholde GDPR, ePrivacy eller lignende regelverk. Denne veiledningen går gjennom revisjonsprosessen steg for steg.

Hvorfor WordPress-nettsteder samler opp så mange informasjonskapsler

WordPress sin utvidelsesarkitektur er både dens største styrke og dens største personvernrisiko. Hver utvidelse opererer delvis uavhengig, og de fleste utviklere fokuserer mer på funksjonalitet enn på etterlevelse av regler for informasjonskapsler. Her er de viktigste kildene til informasjonskapsler på et typisk WordPress-nettsted:

Temaer og Google Fonts

Mange WordPress-temaer laster inn Google Fonts direkte fra fonts.googleapis.com. Når nettleseren til en besøkende ber om disse fontene, kan Google sette informasjonskapsler og samle inn den besøkendes IP-adresse, nettleserinformasjon og henvisende side. I 2022 slo en tysk domstol fast at innlasting av Google Fonts fra Googles servere uten samtykke bryter med GDPR, noe som resulterte i en bot på 100 EUR for hver berørte besøkende. Løsningen er å hoste fontene lokalt, men de fleste standardinnstillinger i temaer peker fortsatt til Googles servere.

Sidebyggere og analyseverktøy

Elementor, den mest populære sidebyggeren for WordPress, laster inn eksterne ressurser, inkludert fonter, og kan sette informasjonskapsler for brukssporing. Noen Elementor-widgets bygger inn tredjepartsinnhold (YouTube-videoer, Google Maps) som setter sine egne informasjonskapsler. Selv gratisversjonen av Elementor kan sende anonymiserte bruksdata med mindre dette eksplisitt deaktiveres i innstillingene.

SEO-utvidelser

Yoast SEO og Rank Math setter i seg selv få informasjonskapsler, men de integreres ofte med Google Search Console og oppfordrer til å legge inn sporingskoder for Google Analytics. Analyse-skriptene de hjelper deg å implementere, er en stor kilde til informasjonskapsler. Yoasts premiumversjon kommuniserer også med Yoasts servere for SEO-analyse, noe som kan involvere informasjonskapsler.

Jetpack og WordPress.com-tjenester

Jetpack er en av de mest produktive kildene til informasjonskapsler i WordPress-økosystemet. Avhengig av hvilke moduler som er aktive, kan Jetpack sette informasjonskapsler for:

• Nettstedsstatistikk (WordPress.com stats)
• Delingsknapper for sosiale medier (laster skript fra Facebook, Twitter, LinkedIn)
• Kommentarsystem (Gravatar-informasjonskapsler)
• Sikkerhetsfunksjoner (Protect-modulens informasjonskapsler)
• CDN-bruk (WordPress.com CDN-informasjonskapsler)

En enkelt Jetpack-installasjon med standardinnstillinger kan være ansvarlig for 8 til 12 informasjonskapsler fra ulike domener.

WooCommerce og netthandel

WooCommerce setter flere informasjonskapsler som anses som strengt nødvendige for netthandelsfunksjonalitet:

• woocommerce_cart_hash: Hjelper WooCommerce med å vite når innholdet i handlekurven endres.
• woocommerce_items_in_cart: Sporer om det finnes varer i handlekurven.
• wp_woocommerce_session_*: Inneholder en unik kode for hver kundesesjon.

Selv om disse vanligvis er unntatt fra samtykkekrav som strengt nødvendige informasjonskapsler, legger WooCommerce-utvidelser for betalingsbehandling, gjenoppretting av forlatte handlekurver og markedsføringsautomatisering til mange flere informasjonskapsler som krever samtykke.

Kontaktskjemaer og reCAPTCHA

Utvidelser for kontaktskjemaer som Contact Form 7, WPForms og Gravity Forms bruker ofte Google reCAPTCHA for spam-beskyttelse. reCAPTCHA v2 og v3 setter flere informasjonskapsler, inkludert _GRECAPTCHA, og laster skript fra google.com som kan sette ytterligere sporingskapsler. Dette betyr at selv en enkel kontaktside kan utløse annonserelaterte informasjonskapsler.

Hurtigbufferutvidelser

Hurtigbufferutvidelser som WP Super Cache, W3 Total Cache og WP Rocket setter egne informasjonskapsler for å styre hurtigbufferoppførsel. Dette er vanligvis funksjonelle informasjonskapsler (for eksempel for å omgå hurtigbuffer for innloggede brukere), men de må likevel dokumenteres i informasjonskapselpolicyen din.

Slik reviderer du informasjonskapsler på WordPress-nettstedet ditt

En grundig revisjon av informasjonskapsler innebærer å skanne nettstedet ditt fra den besøkendes perspektiv. Her er prosessen:

Trinn 1: Bruk utviklerverktøy i nettleseren

Åpne nettstedet ditt i Chrome, gå til DevTools > Application > Cookies, og undersøk alle informasjonskapsler som er satt for domenet ditt og tredjepartsdomener. Gjør dette i et inkognitovindu for å simulere en førstegangsbesøkende. Noter hvert navn på informasjonskapsel, domene, utløpstid og om det er førsteparts- eller tredjepartsinformasjonskapsler.

Trinn 2: Bruk en dedikert skanner for informasjonskapsler

Manuell inspeksjon fanger opp informasjonskapsler som settes ved sidelast, men går glipp av informasjonskapsler som settes ved interaksjoner (klikke på knapper, sende inn skjemaer, rulling). Dedikerte skannere som Cookiebots gratis skanner, CookieYes-skanner eller nettleserutvidelser som EditThisCookie gir mer omfattende resultater. Kjør skanninger på flere sider, ikke bare forsiden.

Trinn 3: Kategoriser hver informasjonskapsel

Grupper oppdagede informasjonskapsler i standardkategorier:

• Strengt nødvendige: Sesjonskapsler, autentisering, sikkerhet, handlekurvfunksjonalitet. Disse krever ikke samtykke.
• Funksjonelle: Språkinnstillinger, tilpasning av brukergrensesnitt. Samtykke kreves teknisk sett, men disse er lavrisiko.
• Analyse: Google Analytics, WordPress.com stats, heatmap-verktøy. Samtykke kreves.
• Markedsføring/annonsering: Google Ads, Facebook Pixel, remarketing-informasjonskapsler. Samtykke kreves, og disse er høyest prioritert å blokkere.

Trinn 4: Knytt informasjonskapsler til kildene deres

For hver informasjonskapsel identifiserer du hvilket tema eller hvilken utvidelse som er ansvarlig. Det er her WordPress blir komplisert – en enkelt side kan laste skript fra 5 forskjellige utvidelser, som hver setter sine egne informasjonskapsler. Deaktiver midlertidig utvidelser én etter én for å finne ut hvilken utvidelse som setter hvilke informasjonskapsler.

Vanlige kilder til informasjonskapsler og deres løsninger

Her er en hurtigreferanse for de vanligste kildene til informasjonskapsler i WordPress og hvordan du håndterer dem:

• Google Fonts: Bytt til lokalt hostede fonter. Utvidelser som OMGF eller innstillinger i temaet ditt kan automatisere dette.
• Google Analytics: Må blokkeres til samtykke er gitt. Dette håndteres av CMP-en din.
• YouTube-innbygginger: Bruk domenet youtube-nocookie.com i stedet for youtube.com. Dette forhindrer de fleste sporingskapsler.
• Google Maps: Last kun inn etter samtykke, eller bruk et statisk kartbilde som plassholder.
• Facebook Pixel: Må blokkeres til markedsføringssamtykke er gitt.
• reCAPTCHA: Vurder alternativer som hCaptcha (mer personvernvennlig) eller honeypot-teknikker som ikke krever eksterne skript.

Konfigurere FlexyConsent WordPress-utvidelse for full etterlevelse

Når du har revidert informasjonskapslene dine og forstår hva som må kontrolleres, er det enkelt å implementere FlexyConsent på WordPress.

FlexyConsents WordPress-utvidelse integreres direkte i administrasjonspanelet i WordPress og gir en naturlig konfigurasjonsopplevelse:

1. Installer fra Plugin Directory: Søk etter "FlexyConsent" i Utvidelser > Legg til ny, installer og aktiver. Ingen manuelle filopplastinger er nødvendig.
2. Koble til nettstedet ditt: Skriv inn FlexyConsent-nettsteds-ID-en din i innstillingene for utvidelsen. Utvidelsen injiserer automatisk samtykkeskriptet på riktig sted – før andre tredjepartsskript.
3. Konfigurer informasjonskapselkategorier: Knytt de reviderte informasjonskapslene dine til FlexyConsents samtykkekategorier. Utvidelsen gir et visuelt grensesnitt for dette direkte i WordPress-administrasjonen.
4. Sett opp skriptblokkering: FlexyConsent håndterer automatisk Google-tagger gjennom Consent Mode V2. For andre skript (Facebook Pixel, egendefinert sporing) tilbyr utvidelsen regler for skriptblokkering som forhindrer kjøring til riktig samtykkekategori er gitt.
5. Test grundig: Bruk et inkognitovindu for å verifisere at ikke-essensielle informasjonskapsler blokkeres til samtykke er gitt, og at all funksjonalitet fungerer som den skal etter samtykke.

Som en Google-sertifisert CMP med IAB TCF 2.3-støtte håndterer FlexyConsent de mest komplekse aspektene ved etterlevelse av informasjonskapselregler i WordPress automatisk. Consent Mode V2-signaler sendes til Google-tjenester uten ekstra konfigurasjon av tagger, og geo-targeting sørger for at besøkende fra ulike regioner får riktig samtykkeopplevelse.

Viktig poeng: WordPress sin fleksibilitet har en personvernkostnad – hvert tema og hver utvidelse kan introdusere informasjonskapsler som krever samtykke. En systematisk revisjon etterfulgt av korrekt implementering av en CMP er den eneste pålitelige veien til etterlevelse. Ikke anta at nettstedet ditt bare setter informasjonskapslene du kjenner til; virkeligheten er nesten alltid mer kompleks enn forventet.