教程2026年5月17号 | FlexyConsent

WordPress Cookie 审计:主题同插件怎么把侬个网站塞满跟踪器

WordPress 里向隐蔽个 Cookie 问题

大多数 WordPress 网站管理员其实弗晓得自家网站到底会设定多少 cookie。刚刚装好个 WordPress,再配一个流行主题加几只常见插件,就很容易在各个域名上设定出15 到 30 只 cookie,而且其中许多都是在访问者根本还来弗及同意之前就已经落下去个。这并弗是侬故意要去跟踪用户——主要是主题同插件在加载外部资源,而这些外部资源自家就会带 cookie。

搞清爽这些 cookie 是从啥地方来、伊拉到底做啥用、以及侬点样控制伊拉,对任何需要遵守 GDPR、ePrivacy 或者类似法规个 WordPress 网站来说,都是关键。下脚转个指南会一步一步教侬点样做审计。

为啥 WordPress 网站会积累脱许多 Cookie

WordPress 个插件架构既是伊最大个优势,也是隐私方面最大个风险来源。每只插件都半独立运行,而大多数插件开发者更关心功能实现,弗大关心 cookie 合规。下面就是典型 WordPress 网站上几只主要个 cookie 来源:

主题同 Google Fonts

许多 WordPress 主题会直接从 fonts.googleapis.com 加载 Google Fonts。当访问者浏览器去请求这些字体个辰光,Google 就可以设 cookie,并且收集访问者个 IP 地址、浏览器信息、以及来源页面。2022 年,德国一只法院裁定:在没拿到同意个情况底下,从 Google 个服务器加载 Google Fonts 算是违反 GDPR,要对每位受影响访问者罚 100 欧元。解决办法就是把字体放到本地来用,但大多数主题默认设置还是指向 Google 个服务器。

页面搭建器同分析工具

最流行个 WordPress 页面搭建器 Elementor 会加载外部资源,包括字体,而且可能设定用来做使用情况跟踪个 cookie。有些 Elementor 小部件会嵌入第三方内容(YouTube 视频、Google Maps),伊拉自家也会设 cookie。就算是免费版 Elementor,除非侬在设置里向明确关掉,伊也可能会发送匿名化个使用数据。

SEO 插件

Yoast SEORank Math 自家设个 cookie 弗多,但伊拉往往会同 Google Search Console 集成,并且鼓励侬加 Google Analytics 跟踪代码。伊拉帮侬接入个这些分析脚本,就是 cookie 个大头来源。Yoast 个高级版还会同 Yoast 自家服务器通讯做 SEO 分析,这里向也可能牵涉到 cookie。

Jetpack 同 WordPress.com 服务

Jetpack 算是 WordPress 生态里向 cookie 设得最凶个之一。根据侬开动哪几只模块,Jetpack 可能会为下面这些功能设 cookie:

一只开默认设置个 Jetpack 安装,就可能要为来自多个域名个 8 到 12 只 cookie 负责。

WooCommerce 同电商功能

WooCommerce 会设几只被认为是电商功能“绝对必要”个 cookie:

这些一般都算作绝对必要 cookie,通常可以免于事先同意个要求。但 WooCommerce 个各种扩展,比方支付处理、弃单挽回、营销自动化之类,会额外加脱许多真正需要同意个 cookie。

联系表单同 reCAPTCHA

Contact Form 7WPFormsGravity Forms 这种联系表单插件,往往会用 Google reCAPTCHA 来防垃圾。reCAPTCHA v2 同 v3 会设多只 cookie,包括 _GRECAPTCHA,还会从 google.com 加载脚本,这些脚本又能设额外个跟踪 cookie。也就是说,就算只是一张简单个联系页面,也可能会触发广告相关个 cookie。

缓存插件

WP Super CacheW3 Total CacheWP Rocket 这种缓存插件,会设自家个 cookie 来管理缓存行为。伊拉一般算功能性 cookie(比如帮登录用户绕过缓存),但照样要在侬个 cookie 政策里向写清爽。

点样帮侬个 WordPress 网站做 Cookie 审计

一趟扎实个 cookie 审计,要从访问者视角来扫描侬个网站。大致流程如下:

第一步:用浏览器开发者工具

用 Chrome 打开侬个网站,进DevTools > Application > Cookies,检查为侬个域名同第三方域名设个所有 cookie。用无痕窗口来模拟第一次访问个用户。把每只 cookie 个名字、域名、过期时间、以及到底是第一方还是第三方,都记下来。

第二步:用专门个 Cookie 扫描工具

手工检查只能看到页面加载时就设定个 cookie,看弗到交互过程中(点按钮、提交表单、滚动页面)才设个。专门个扫描工具,比如 Cookiebot 免费扫描器CookieYes 扫描器,或者浏览器扩展 EditThisCookie,能给出更全面个结果。记得要对多只页面做扫描,弗要只扫首页。

第三步:给每只 Cookie 分类

把找到个 cookie 按照标准类别来分组:

第四步:把 Cookie 对应到来源

对每只 cookie,都要搞清爽是哪只主题或者插件设个。WordPress 难就难在这里——一张页面可能会从 5 只插件加载脚本,每只都在设自家个 cookie。侬可以暂时一只只停用插件,来看是哪只插件在设哪几只 cookie。

常见 Cookie 来源同对应解决办法

下面是几只最常见个 WordPress cookie 来源,以及侬可以点样处理伊拉个速查表:

在 WordPress 里向配置 FlexyConsent 插件,实现完整合规

等侬把 cookie 审计做好,也搞清爽哪些要被控制之后,在 WordPress 里向部署 FlexyConsent 就相当直接了当。

🔌
官方 WordPress 插件
FlexyConsent for WordPress
直接从 WordPress 插件目录安装。从 WP 后台原生配置——完全弗要写代码。

FlexyConsent 个 WordPress 插件直接集成到侬个 WordPress 管理后台,提供一套原生配置体验:

  1. 从插件目录安装: 在“Plugins > Add New”里向搜“FlexyConsent”,安装并启用。完全弗要手工上传文件。
  2. 连接侬个站点: 在插件设置里向输入侬个 FlexyConsent site ID。插件会自动把同意脚本插到正确位置——在所有第三方脚本之前。
  3. 配置 cookie 分类: 把侬审计出来个 cookie 对应到 FlexyConsent 个同意类别。插件会在 WordPress 后台提供一只可视化界面帮侬做映射。
  4. 设置脚本拦截: FlexyConsent 会通过 Consent Mode V2 自动管理 Google tags。对其他脚本(Facebook Pixel、自定义跟踪),插件提供脚本拦截规则,在相应同意类别拿到之前,先阻止脚本执行。
  5. 仔细测试: 用无痕窗口来确认:在同意之前,所有非必要 cookie 都被拦截;同意之后,所有功能都能正常运作。

作为一只Google 认证个 CMP,并且支持 IAB TCF 2.3,FlexyConsent 能自动处理 WordPress 上最复杂个 cookie 合规细节。Consent Mode V2 信号会自动发给 Google 服务,弗要额外配置 tag;同时,按地区个地理定向可以保证不同地区个访问者看到适合伊拉个同意界面。

关键信息: WordPress 个灵活性是要付隐私代价个——每一只主题同插件都可能带进来需要同意个 cookie。只有先做一趟系统化个审计,再配合规范个 CMP 实施,才是可靠个合规路径。弗要以为侬个网站只设侬自家晓得个那些 cookie;实际情况几乎总归比侬想象个要复杂得多。
← 博客 阅读全部 →