Guide17 maj 2026 | FlexyConsent

WordPress cookiegranskning: Hur teman och plugins fyller din webbplats med spårare

Det dolda cookieproblemet i WordPress

De flesta WordPress‑ägare inser inte hur många cookies deras webbplats sätter. En ny WordPress‑installation med ett populärt tema och ett fåtal vanliga plugins kan enkelt sätta 15 till 30 cookies över olika domäner, många av dem innan besökaren har någon möjlighet att ge sitt samtycke. Detta är inte resultatet av avsiktlig spårning – det är den kumulativa effekten av teman och plugins som laddar externa resurser som kommer med egna cookies.

Att förstå var dessa cookies kommer ifrån, vad de gör och hur du kontrollerar dem är avgörande för varje WordPress‑webbplats som behöver följa GDPR, ePrivacy eller liknande regelverk. Den här guiden går igenom granskningsprocessen steg för steg.

Varför WordPress‑webbplatser samlar på sig så många cookies

WordPress plugin‑arkitektur är både dess största styrka och dess största integritetsrisk. Varje plugin fungerar halvoberoende, och de flesta plugin‑utvecklare fokuserar på funktionalitet snarare än cookieefterlevnad. Här är de främsta källorna till cookies på en typisk WordPress‑webbplats:

Teman och Google Fonts

Många WordPress‑teman laddar Google Fonts direkt från fonts.googleapis.com. När en besökares webbläsare begär dessa typsnitt kan Google sätta cookies och samla in besökarens IP‑adress, webbläsarinformation och hänvisande sida. År 2022 slog en tysk domstol fast att laddning av Google Fonts från Googles servrar utan samtycke bryter mot GDPR, vilket resulterade i ett vite på 100 EUR för varje drabbad besökare. Lösningen är att hosta typsnitten lokalt, men de flesta temans standardinställningar pekar fortfarande på Googles servrar.

Sidbyggare och analysverktyg

Elementor, den mest populära sidbyggaren för WordPress, laddar externa resurser inklusive typsnitt och kan sätta cookies för användningsspårning. Vissa Elementor‑widgets bäddar in tredjepartsinnehåll (YouTube‑videor, Google Maps) som sätter egna cookies. Även gratisversionen av Elementor kan skicka anonymiserad användningsdata om detta inte uttryckligen inaktiveras i inställningarna.

SEO‑plugins

Yoast SEO och Rank Math sätter själva få cookies, men de integreras ofta med Google Search Console och uppmuntrar till att lägga in spårningskoder för Google Analytics. De analys‑skript de hjälper dig att implementera är en stor källa till cookies. Yoasts premiumversion kommunicerar också med Yoasts servrar för SEO‑analys, vilket kan innebära cookies.

Jetpack och WordPress.com‑tjänster

Jetpack är en av de mest cookie‑intensiva komponenterna i WordPress‑ekosystemet. Beroende på vilka moduler som är aktiva kan Jetpack sätta cookies för:

Webbplatsstatistik (WordPress.com stats)
Sociala delningsknappar (laddar skript från Facebook, Twitter, LinkedIn)
Kommentarsystem (Gravatar‑cookies)
Säkerhetsfunktioner (Protect‑modulens cookies)
CDN‑användning (WordPress.com CDN‑cookies)

En enda Jetpack‑installation med standardinställningar kan stå för 8 till 12 cookies från olika domäner.

WooCommerce och e‑handel

WooCommerce sätter flera cookies som anses vara strikt nödvändiga för e‑handelsfunktionalitet:

woocommerce_cart_hash: Hjälper WooCommerce att veta när varukorgens innehåll ändras.
woocommerce_items_in_cart: Spårar om det finns artiklar i varukorgen.
wp_woocommerce_session_*: Innehåller en unik kod för varje kundsession.

Även om dessa i allmänhet är undantagna från samtyckeskrav som strikt nödvändiga cookies, lägger WooCommerce‑tillägg för betalningshantering, övergivna varukorgar och marknadsföringsautomation till många fler cookies som kräver samtycke.

Kontaktformulär och reCAPTCHA

Kontaktformulärsplugins som Contact Form 7, WPForms och Gravity Forms använder ofta Google reCAPTCHA för spamskydd. reCAPTCHA v2 och v3 sätter flera cookies, inklusive _GRECAPTCHA, och laddar skript från google.com som kan sätta ytterligare spårningscookies. Detta innebär att även en enkel kontaktsida kan utlösa annonseringsrelaterade cookies.

Cache‑plugins

Cache‑plugins som WP Super Cache, W3 Total Cache och WP Rocket sätter egna cookies för att hantera cachebeteende. Dessa är vanligtvis funktionella cookies (till exempel för att kringgå cache för inloggade användare), men de måste ändå dokumenteras i din cookiepolicy.

Så här granskar du cookies på din WordPress‑webbplats

En grundlig cookiegranskning innebär att du skannar din webbplats ur besökarens perspektiv. Så här gör du:

Steg 1: Använd webbläsarens utvecklarverktyg

Öppna din webbplats i Chrome, gå till DevTools > Application > Cookies och granska alla cookies som sätts för din domän och tredjepartsdomäner. Gör detta i ett inkognitofönster för att simulera en förstagångsbesökare. Notera varje cookies namn, domän, utgångstid och om den är förstapart eller tredjepart.

Steg 2: Använd en dedikerad cookie‑skanner

Manuell granskning fångar cookies som sätts vid sidladdning, men missar cookies som sätts vid interaktioner (klicka på knappar, skicka formulär, scrolla). Dedikerade skannrar som Cookiebots kostnadsfria skanner, CookieYes‑skanner eller webbläsartillägg som EditThisCookie ger mer heltäckande resultat. Kör skanningar på flera sidor, inte bara startsidan.

Steg 3: Kategorisera varje cookie

Gruppera upptäckta cookies i standardkategorier:

Strikt nödvändiga: Sessionscookies, autentisering, säkerhet, varukorgsfunktionalitet. Dessa kräver inte samtycke.
Funktionella: Språkpreferenser, anpassning av användargränssnitt. Samtycke krävs tekniskt sett, men dessa är låg risk.
Analys: Google Analytics, WordPress.com stats, heatmap‑verktyg. Samtycke krävs.
Marknadsföring/annonsering: Google Ads, Facebook Pixel, remarketing‑cookies. Samtycke krävs och dessa är högst prioriterade att blockera.

Steg 4: Koppla cookies till deras källor

Identifiera för varje cookie vilket tema eller plugin som är ansvarigt. Det är här WordPress blir komplicerat – en enda sida kan ladda skript från 5 olika plugins, som alla sätter egna cookies. Inaktivera tillfälligt plugins ett i taget för att identifiera vilket plugin som sätter vilka cookies.

Vanliga cookie‑källor och deras lösningar

Här är en snabb referens för de vanligaste cookie‑källorna i WordPress och hur du hanterar dem:

Google Fonts: Byt till lokalt hostade typsnitt. Plugins som OMGF eller inställningar i ditt tema kan automatisera detta.
Google Analytics: Måste blockeras tills samtycke har getts. Detta hanteras av din CMP.
YouTube‑inbäddningar: Använd domänen youtube-nocookie.com i stället för youtube.com. Detta förhindrar de flesta spårningscookies.
Google Maps: Ladda först efter samtycke, eller använd en statisk kartbild som platshållare.
Facebook Pixel: Måste blockeras tills marknadsföringssamtycke har getts.
reCAPTCHA: Överväg alternativ som hCaptcha (mer integritetsvänligt) eller honeypot‑tekniker som inte kräver några externa skript.

Konfigurera FlexyConsent WordPress‑plugin för fullständig efterlevnad

När du har granskat dina cookies och förstår vad som behöver kontrolleras är det enkelt att implementera FlexyConsent i WordPress.

🔌

Officiellt WordPress‑plugin

FlexyConsent för WordPress

Installera direkt från WordPress Plugin Directory. Inbyggd konfiguration från din WP‑adminpanel – ingen kodning krävs.

→

FlexyConsents WordPress‑plugin integreras direkt i din WordPress‑adminpanel och ger en inbyggd konfigurationsupplevelse:

Installera från Plugin Directory: Sök efter "FlexyConsent" under Plugins > Lägg till nytt, installera och aktivera. Inga manuella filuppladdningar behövs.
Anslut din webbplats: Ange ditt FlexyConsent‑site‑ID i plugin‑inställningarna. Pluginet injicerar automatiskt samtyckesskriptet på rätt plats – före alla andra tredjepartsskript.
Konfigurera cookie‑kategorier: Koppla dina granskade cookies till FlexyConsents samtyckeskategorier. Pluginet tillhandahåller ett visuellt gränssnitt för detta direkt i din WordPress‑admin.
Ställ in skriptblockering: FlexyConsent hanterar automatiskt Google‑taggar via Consent Mode V2. För andra skript (Facebook Pixel, egen spårning) erbjuder pluginet regler för skriptblockering som förhindrar körning tills rätt samtyckeskategori har getts.
Testa noggrant: Använd ett inkognitofönster för att verifiera att icke‑nödvändiga cookies blockeras tills samtycke ges, och att all funktionalitet fungerar korrekt efter samtycke.

Som en Google‑certifierad CMP med stöd för IAB TCF 2.3 hanterar FlexyConsent automatiskt de mest komplexa delarna av cookieefterlevnad i WordPress. Consent Mode V2‑signaler skickas till Google‑tjänster utan någon extra taggkonfiguration, och geotargeting säkerställer att besökare från olika regioner får rätt samtyckesupplevelse.

Viktig slutsats: WordPress flexibilitet har ett integritetspris – varje tema och plugin kan introducera cookies som kräver samtycke. En systematisk granskning följd av korrekt CMP‑implementering är den enda tillförlitliga vägen till efterlevnad. Utgå inte från att din webbplats bara sätter de cookies du känner till; verkligheten är nästan alltid mer komplex än väntat.