Poradnik17 maja 2026 | FlexyConsent

Audyt ciasteczek w WordPressie: jak motywy i wtyczki wypełniają Twoją stronę trackerami

Ukryty problem ciasteczek w WordPressie

Większość właścicieli stron na WordPressie nie zdaje sobie sprawy, ile ciasteczek ustawia ich witryna. Świeża instalacja WordPressa z popularnym motywem i kilkoma typowymi wtyczkami może z łatwością ustawiać od 15 do 30 ciasteczek w różnych domenach, z których wiele pojawia się, zanim odwiedzający w ogóle ma możliwość wyrażenia zgody. Nie jest to wynik celowego śledzenia — to skumulowany efekt motywów i wtyczek ładujących zewnętrzne zasoby, które dostarczają własne ciasteczka.

Zrozumienie, skąd pochodzą te ciasteczka, co robią i jak je kontrolować, jest kluczowe dla każdej strony na WordPressie, która musi spełniać wymagania GDPR, ePrivacy lub podobnych regulacji. Ten poradnik przeprowadzi Cię krok po kroku przez proces audytu.

Dlaczego strony na WordPressie gromadzą tyle ciasteczek

Architektura wtyczek WordPressa jest jednocześnie jego największą siłą i największym ryzykiem dla prywatności. Każda wtyczka działa pół-niezależnie, a większość jej twórców skupia się na funkcjonalności, a nie na zgodności w zakresie ciasteczek. Oto główne źródła ciasteczek na typowej stronie WordPress:

Motywy i Google Fonts

Wiele motywów WordPressa ładuje Google Fonts bezpośrednio z fonts.googleapis.com. Gdy przeglądarka odwiedzającego pobiera te fonty, Google może ustawiać ciasteczka i zbierać adres IP odwiedzającego, informacje o przeglądarce oraz stronie odsyłającej. W 2022 roku niemiecki sąd orzekł, że ładowanie Google Fonts z serwerów Google bez zgody narusza GDPR, co skutkowało karą w wysokości 100 EUR za każdego poszkodowanego odwiedzającego. Rozwiązaniem jest lokalne hostowanie fontów, ale domyślne ustawienia większości motywów wciąż wskazują na serwery Google.

Page buildery i analityka

Elementor, najpopularniejszy page builder dla WordPressa, ładuje zewnętrzne zasoby, w tym fonty, i może ustawiać ciasteczka śledzące użycie. Niektóre widgety Elementora osadzają treści stron trzecich (filmy YouTube, Google Maps), które ustawiają własne ciasteczka. Nawet darmowa wersja Elementora może wysyłać zanonimizowane dane o użyciu, o ile nie zostanie to wyraźnie wyłączone w ustawieniach.

Wtyczki SEO

Yoast SEO i Rank Math same w sobie ustawiają niewiele ciasteczek, ale często integrują się z Google Search Console i zachęcają do dodania kodów śledzących Google Analytics. Skrypty analityczne, których wdrożeniu pomagają, są głównym źródłem ciasteczek. Wersja premium Yoast komunikuje się również z serwerami Yoast w celu analizy SEO, co może wiązać się z ciasteczkami.

Jetpack i usługi WordPress.com

Jetpack jest jednym z najbardziej „płodnych” źródeł ciasteczek w ekosystemie WordPressa. W zależności od aktywnych modułów Jetpack może ustawiać ciasteczka dla:

Statystyk strony (WordPress.com stats)
Przycisków udostępniania w mediach społecznościowych (ładowanie skryptów z Facebook, Twitter, LinkedIn)
Systemu komentarzy (ciasteczka Gravatar)
Funkcji bezpieczeństwa (ciasteczka modułu Protect)
Korzystania z CDN (ciasteczka WordPress.com CDN)

Pojedyncza instalacja Jetpacka z ustawieniami domyślnymi może odpowiadać za 8–12 ciasteczek z różnych domen.

WooCommerce i e‑commerce

WooCommerce ustawia kilka ciasteczek uznawanych za ściśle niezbędne dla funkcjonowania sklepu internetowego:

woocommerce_cart_hash: Pomaga WooCommerce wykryć zmianę zawartości koszyka.
woocommerce_items_in_cart: Śledzi, czy w koszyku znajdują się produkty.
wp_woocommerce_session_*: Zawiera unikalny kod sesji dla każdego klienta.

Choć te ciasteczka są zazwyczaj zwolnione z wymogu uzyskania zgody jako ściśle niezbędne, rozszerzenia WooCommerce do obsługi płatności, odzyskiwania porzuconych koszyków i automatyzacji marketingu dodają wiele kolejnych ciasteczek, które już wymagają zgody.

Formularze kontaktowe i reCAPTCHA

Wtyczki formularzy kontaktowych, takie jak Contact Form 7, WPForms i Gravity Forms, często korzystają z Google reCAPTCHA do ochrony przed spamem. reCAPTCHA v2 i v3 ustawiają wiele ciasteczek, w tym _GRECAPTCHA, oraz ładują skrypty z google.com, które mogą ustawiać dodatkowe ciasteczka śledzące. Oznacza to, że nawet prosta strona kontaktowa może uruchamiać ciasteczka związane z reklamą.

Wtyczki cache’ujące

Wtyczki cache’ujące, takie jak WP Super Cache, W3 Total Cache i WP Rocket, ustawiają własne ciasteczka do zarządzania zachowaniem cache’u. Zazwyczaj są to ciasteczka funkcjonalne (na przykład do omijania cache’u dla zalogowanych u��ytkowników), ale mimo to muszą zostać opisane w Twojej polityce ciasteczek.

Jak przeprowadzić audyt ciasteczek na swojej stronie WordPress

Rzetelny audyt ciasteczek polega na skanowaniu witryny z perspektywy odwiedzającego. Oto proces:

Krok 1: Użyj narzędzi deweloperskich przeglądarki

Otwórz swoją stronę w Chrome, przejdź do DevTools > Application > Cookies i przeanalizuj wszystkie ciasteczka ustawione dla Twojej domeny oraz domen zewnętrznych. Zrób to w oknie incognito, aby zasymulować pierwszą wizytę. Zanotuj nazwę każdego ciasteczka, domenę, czas wygaśnięcia oraz to, czy jest to ciasteczko pierwszej, czy trzeciej strony.

Krok 2: Użyj dedykowanego skanera ciasteczek

Ręczna inspekcja wychwytuje ciasteczka ustawiane przy ładowaniu strony, ale pomija te, które pojawiają się w wyniku interakcji (klikanie przycisków, wysyłanie formularzy, przewijanie). Dedykowane skanery, takie jak darmowy skaner Cookiebot, skaner CookieYes czy rozszerzenia przeglądarki typu EditThisCookie, zapewniają bardziej kompleksowe wyniki. Uruchom skan na wielu podstronach, nie tylko na stronie głównej.

Krok 3: Skategoryzuj każde ciasteczko

Pogrupuj wykryte ciasteczka w standardowe kategorie:

Ściśle niezbędne: Ciasteczka sesyjne, uwierzytelniające, bezpieczeństwa, funkcje koszyka. Nie wymagają zgody.
Funkcjonalne: Preferencje językowe, personalizacja interfejsu. Technicznie wymagają zgody, ale są niskiego ryzyka.
Analityczne: Google Analytics, statystyki WordPress.com, narzędzia typu heatmap. Wymagana zgoda.
Marketingowe/reklamowe: Google Ads, Facebook Pixel, ciasteczka remarketingowe. Wymagana zgoda i są to ciasteczka najwyższego priorytetu do blokowania.

Krok 4: Powiąż ciasteczka z ich źródłami

Dla każdego ciasteczka ustal, który motyw lub która wtyczka za nie odpowiada. Tu WordPress staje się skomplikowany — pojedyncza strona może ładować skrypty z 5 różnych wtyczek, z których każda ustawia własne ciasteczka. Tymczasowo wyłączaj wtyczki pojedynczo, aby zidentyfikować, która z nich ustawia konkretne ciasteczka.

Typowe źródła ciasteczek i sposoby ich opanowania

Oto szybka ściągawka z najczęstszych źródeł ciasteczek w WordPressie i sposobów radzenia sobie z nimi:

Google Fonts: Przejdź na lokalnie hostowane fonty. Wtyczki takie jak OMGF lub ustawienia motywu mogą to zautomatyzować.
Google Analytics: Musi być blokowany do momentu wyrażenia zgody. Tym zajmuje się Twój CMP.
Osadzenia YouTube: Używaj domeny youtube-nocookie.com zamiast youtube.com. To zapobiega większości ciasteczek śledzących.
Google Maps: Ładuj dopiero po uzyskaniu zgody lub użyj statycznego obrazu mapy jako zastępnika.
Facebook Pixel: Musi być blokowany do czasu uzyskania zgody marketingowej.
reCAPTCHA: Rozważ alternatywy, takie jak hCaptcha (bardziej przyjazna prywatności) lub techniki honeypot, które nie wymagają zewnętrznych skryptów.

Konfiguracja wtyczki FlexyConsent dla WordPressa w celu pełnej zgodności

Gdy już przeprowadzisz audyt ciasteczek i wiesz, co trzeba kontrolować, wdrożenie FlexyConsent w WordPressie jest proste.

🔌

Oficjalna wtyczka WordPress

FlexyConsent dla WordPressa

Zainstaluj bezpośrednio z katalogu wtyczek WordPress. Nattywna konfiguracja z poziomu panelu administracyjnego WP — bez konieczności kodowania.

→

Wtyczka FlexyConsent dla WordPressa integruje się bezpośrednio z panelem administracyjnym WordPressa, zapewniając natywne środowisko konfiguracji:

Instalacja z katalogu wtyczek: Wyszukaj „FlexyConsent” w Plugins > Add New, zainstaluj i aktywuj. Nie są potrzebne ręczne przesyłanie plików.
Połącz swoją stronę: Wprowadź identyfikator witryny FlexyConsent w ustawieniach wtyczki. Wtyczka automatycznie wstrzyknie skrypt zgody we właściwym miejscu — przed wszystkimi innymi skryptami stron trzecich.
Skonfiguruj kategorie ciasteczek: Przypisz zidentyfikowane w audycie ciasteczka do kategorii zgód w FlexyConsent. Wtyczka udostępnia do tego wizualny interfejs bezpośrednio w panelu WordPressa.
Skonfiguruj blokowanie skryptów: FlexyConsent automatycznie zarządza tagami Google poprzez Consent Mode V2. Dla innych skryptów (Facebook Pixel, niestandardowe trackery) wtyczka udostępnia reguły blokowania skryptów, które uniemożliwiają ich wykonanie do czasu udzielenia odpowiedniej kategorii zgody.
Przetestuj dokładnie: Użyj okna incognito, aby sprawdzić, czy wszystkie nieniezbędne ciasteczka są blokowane do momentu wyra��enia zgody oraz czy cała funkcjonalność działa poprawnie po jej udzieleniu.

Jako certyfikowany przez Google CMP z obsługą IAB TCF 2.3, FlexyConsent automatycznie zajmuje się najbardziej złożonymi aspektami zgodności ciasteczek w WordPressie. Sygnały Consent Mode V2 są wysyłane do usług Google bez dodatkowej konfiguracji tagów, a geotargetowanie zapewnia, że odwiedzający z różnych regionów zobaczą odpowiednie doświadczenie związane ze zgodą.

Najważniejsza lekcja: Elastyczność WordPressa ma swoją cenę w obszarze prywatności — każdy motyw i każda wtyczka mogą wprowadzać ciasteczka wymagające zgody. Systematyczny audyt, a następnie prawidłowe wdrożenie CMP, to jedyna wiarygodna droga do zgodności. Nie zakładaj, że Twoja strona ustawia tylko te ciasteczka, o których wiesz; rzeczywistość niemal zawsze okazuje się bardziej złożona, niż się spodziewasz.