Audit cookies vo WordPress: Ako témy a pluginy zaplnia váš web trackermi

Skrytý problém s cookies vo WordPress

Väčšina majiteľov WordPress webov si neuvedomuje, koľko cookies ich web nastavuje. Čerstvá inštalácia WordPressu s populárnou témou a niekoľkými bežnými pluginmi môže ľahko nastaviť 15 až 30 cookies naprieč rôznymi doménami, z ktorých mnohé sa nastavia ešte predtým, než má návštevník vôbec možnosť udeliť súhlas. Nejde o úmyselné sledovanie – je to kumulatívny efekt tém a pluginov, ktoré načítavajú externé zdroje so svojimi vlastnými cookies.

Pochopiť, odkiaľ tieto cookies pochádzajú, čo robia a ako ich kontrolovať, je nevyhnutné pre každý WordPress web, ktorý potrebuje spĺňať GDPR, ePrivacy alebo podobné regulácie. Tento návod vás krok za krokom prevedie procesom auditu.

Prečo WordPress weby zhromažďujú toľko cookies

Pluginová architektúra WordPressu je zároveň jeho najväčšou silou aj najväčším rizikom pre súkromie. Každý plugin funguje čiastočne nezávisle a väčšina v��vojárov pluginov sa sústreďuje na funkcionalitu, nie na súladnosť s pravidlami pre cookies. Tu sú hlavné zdroje cookies na typickom WordPress webe:

Témy a Google Fonts

Mnohé WordPress témy načítavajú Google Fonts priamo z fonts.googleapis.com. Keď prehliadač návštevníka tieto fonty vyžiada, Google môže nastaviť cookies a zbierať IP adresu návštevníka, informácie o prehliadači a odkazujúcej stránke. V roku 2022 nemecký súd rozhodol, že načítavanie Google Fonts zo serverov Googlu bez súhlasu porušuje GDPR, čo viedlo k pokute 100 EUR za každého dotknutého návštevníka. Riešením je hostovať fonty lokálne, no predvolené nastavenia väčšiny tém stále smerujú na servery Googlu.

Page buildery a analytika

Elementor, najpopulárnejší WordPress page builder, načítava externé zdroje vrátane fontov a môže nastavovať cookies na sledovanie používania. Niektoré Elementor widgety vkladajú obsah tretích strán (YouTube videá, Google Maps), ktoré nastavujú vlastné cookies. Dokonca aj bezplatná verzia Elementoru môže odosielať anonymizované údaje o používaní, pokiaľ to nie je výslovne vypnuté v nastaveniach.

SEO pluginy

Yoast SEO a Rank Math samy osebe nastavujú málo cookies, ale často sa integrujú s Google Search Console a nabádajú k pridaniu sledovacích kódov Google Analytics. Analytické skripty, ktoré vám pomáhajú implementovať, sú významným zdrojom cookies. Prémiová verzia Yoast tiež komunikuje so servermi Yoastu kvôli SEO analýze, čo môže zahŕňať cookies.

Jetpack a služby WordPress.com

Jetpack patrí medzi najvýraznejších nastavovateľov cookies v ekosystéme WordPressu. V závislosti od toho, ktoré moduly sú aktívne, môže Jetpack nastavovať cookies pre:

• Štatistiky webu (WordPress.com stats)
• Tlačidlá na zdieľanie na sociálnych sieťach (načítavanie skriptov z Facebook, Twitter, LinkedIn)
• Komentárový systém (cookies služby Gravatar)
• Bezpečnostné funkcie (cookies modulu Protect)
• Používanie CDN (cookies WordPress.com CDN)

Jedna inštalácia Jetpacku s predvolenými nastaveniami môže byť zodpovedná za 8 až 12 cookies z rôznych domén.

WooCommerce a e‑commerce

WooCommerce nastavuje niekoľko cookies, ktoré sa považujú za striktne nevyhnutné pre fungovanie e‑shopu:

• woocommerce_cart_hash: Pomáha WooCommerce zistiť, kedy sa obsah košíka zmení.
• woocommerce_items_in_cart: Sleduje, či sú v košíku nejaké položky.
• wp_woocommerce_session_*: Obsahuje jedinečný kód pre reláciu každého zákazníka.

Hoci sú tieto cookies vo všeobecnosti oslobodené od požiadavky na súhlas ako striktne nevyhnutné, rozšírenia WooCommerce pre spracovanie platieb, obnovu opustených košíkov a marketingovú automatizáciu pridávajú mnoho ďalších cookies, ktoré už súhlas vyžadujú.

Kontaktné formuláre a reCAPTCHA

Pluginy kontaktných formulárov ako Contact Form 7, WPForms a Gravity Forms často používajú Google reCAPTCHA na ochranu pred spamom. reCAPTCHA v2 a v3 nastavujú viacero cookies vrátane _GRECAPTCHA a načítavajú skripty z google.com, ktoré môžu nastaviť ďalšie sledovacie cookies. To znamená, že aj jednoduchá kontaktná stránka môže spúšťať cookies súvisiace s reklamou.

Cachingové pluginy

Cachingové pluginy ako WP Super Cache, W3 Total Cache a WP Rocket nastavujú vlastné cookies na riadenie správania cache. Ide typicky o funkčné cookies (napríklad na obídenie cache pre prihlásených používateľov), ale aj tie musia byť zdokumentované vo vašich zásadách používania cookies.

Ako urobiť audit cookies na vašom WordPress webe

Dôkladný audit cookies zahŕňa skenovanie vášho webu z pohľadu návštevníka. Postup je nasledovný:

Krok 1: Použite vývojárske nástroje prehliadača

Otvorte svoj web v Chrome, choďte do DevTools > Application > Cookies a preskúmajte všetky cookies nastavené pre vašu doménu a domény tretích strán. Urobte to v anonymnom okne, aby ste simulovali prvonávštevníka. Zapíšte si názov každého cookie, doménu, dobu platnosti a to, či ide o cookie prvej alebo tretej strany.

Krok 2: Použite špecializovaný skener cookies

Manuálna kontrola zachytí cookies nastavené pri načítaní stránky, ale minie cookies, ktoré sa nastavia pri interakciách (klikanie na tlačidlá, odosielanie formulárov, scrollovanie). Špecializované skenery ako bezplatný skener Cookiebot, skener CookieYes alebo rozšírenia prehliadača ako EditThisCookie poskytujú komplexnejšie výsledky. Spúšťajte skeny na viacerých stránkach, nielen na domovskej.

Krok 3: Kategorizujte každé cookie

Zoskupte zistené cookies do štandardných kategórií:

• Striktne nevyhnutné: Relačné cookies, autentifikácia, bezpečnosť, funkcionalita košíka. Nepotrebujú súhlas.
• Funkčné: Jazykové preferencie, prispôsobenie používateľského rozhrania. Technicky vyžadujú súhlas, ale predstavujú nízke riziko.
• Analytické: Google Analytics, WordPress.com stats, nástroje heatmap. Vyžadujú súhlas.
• Marketingové/reklamné: Google Ads, Facebook Pixel, remarketingové cookies. Vyžadujú súhlas a sú najvyššou prioritou na blokovanie.

Krok 4: Priraďte cookies k ich zdrojom

Pri každom cookie identifikujte, ktorá téma alebo plugin je zaň zodpovedný. Tu sa WordPress komplikuje – jedna stránka môže načítať skripty z 5 rôznych pluginov, z ktorých každý nastavuje vlastné cookies. Dočasne deaktivujte pluginy jeden po druhom, aby ste zistili, ktorý plugin nastavuje ktoré cookies.

Bežné zdroje cookies a ich riešenia

Tu je rýchla referenčná tabuľka najčastejších zdrojov cookies vo WordPress a spôsobov, ako ich riešiť:

• Google Fonts: Prejdite na lokálne hostované fonty. Pluginy ako OMGF alebo nastavenia vašej témy to dokážu automatizovať.
• Google Analytics: Musí byť blokovaný, kým nie je udelený súhlas. Toto rieši váš CMP.
• YouTube embed: Používajte doménu youtube-nocookie.com namiesto youtube.com. Tým zabránite väčšine sledovacích cookies.
• Google Maps: Načítavajte až po udelení súhlasu alebo použite statický obrázok mapy ako zástupný obsah.
• Facebook Pixel: Musí byť blokovaný, kým nie je udelený marketingový súhlas.
• reCAPTCHA: Zvážte alternatívy ako hCaptcha (viac rešpektujúca súkromie) alebo honeypot techniky, ktoré nevyžadujú žiadne externé skripty.

Nastavenie WordPress pluginu FlexyConsent pre úplnú súladnosť

Keď máte audit cookies hotový a rozumiete, čo je potrebné kontrolovať, implementácia FlexyConsent vo WordPress je priamočiara.

WordPress plugin FlexyConsent sa integruje priamo do vášho administračného panela WordPress a poskytuje natívne konfiguračné rozhranie:

1. Inštalácia z Plugin Directory: V časti Plugins > Add New vyhľadajte „FlexyConsent“, nainštalujte a aktivujte. Nie sú potrebné žiadne manuálne nahrávania súborov.
2. Pripojte svoj web: Zadajte ID svojho webu z FlexyConsent v nastaveniach pluginu. Plugin automaticky vloží consent skript na správne miesto – pred všetky ostatné skripty tretích strán.
3. Konfigurujte kategórie cookies: Priraďte cookies z auditu ku kategóriám súhlasu vo FlexyConsent. Plugin na to poskytuje vizuálne rozhranie priamo v administrácii WordPress.
4. Nastavte blokovanie skriptov: FlexyConsent automaticky spravuje Google tagy prostredníctvom Consent Mode V2. Pre ostatné skripty (Facebook Pixel, vlastné trackovanie) plugin ponúka pravidlá blokovania skriptov, ktoré zabránia ich spusteniu, kým nie je udelený príslušný typ súhlasu.
5. Dôkladne otestujte: V anonymnom okne overte, že neesenciálne cookies sú blokované, kým nie je udelený súhlas, a že po udelení súhlasu všetka funkcionalita funguje správne.

Ako Google-certified CMP s podporou IAB TCF 2.3 rieši FlexyConsent automaticky tie najzložitejšie aspekty súladnosti cookies vo WordPress. Signály Consent Mode V2 sa odosielajú službám Googlu bez akejkoľvek dodatočnej konfigurácie tagov a geo‑targeting zabezpečí, že návštevníci z rôznych regiónov uvidia vhodný zážitok so súhlasom.

Hlavné ponaučenie: Flexibilita WordPressu má svoju cenu v oblasti súkromia – každá téma a plugin môže priniesť cookies, ktoré vyžadujú súhlas. Systematický audit nasledovaný správnou implementáciou CMP je jedinou spoľahlivou cestou k súladnosti. Nepredpokladajte, že váš web nastavuje iba cookies, o ktorých viete; realita je takmer vždy zložitejšia, než by ste čakali.