教學2026年5月17日 | FlexyConsent

WordPress Cookie 審核:主題同外掛點樣塞滿你個網站嘅追蹤器

WordPress 入面隱藏嘅 Cookie 問題

大部分 WordPress 網站擁有人都唔知道自己個網站實際上 set 咗幾多 cookies。一個全新嘅 WordPress 安裝,加上一個熱門主題同幾個常見外掛,好容易就會喺唔同網域度 set 到 15 至 30 個 cookies,而且好多都係喺訪客仲未有機會同意之前就已經 set 咗。呢啲並唔一定係刻意追蹤嘅結果——而係主題同外掛載入外部資源,而嗰啲資源本身就會帶埋自己嘅 cookies。

要令任何需要遵守 GDPR、ePrivacy 或類似法規嘅 WordPress 網站合規,就必須明白呢啲 cookies 係邊度嚟、佢哋做緊乜,以及點樣控制佢哋。呢篇教學會一步一步帶你行完整個審核流程。

點解 WordPress 網站會積聚咁多 Cookies

WordPress 嘅外掛架構係佢最大嘅優點,同時亦係佢喺私隱方面最大嘅風險來源。每個外掛都係半獨立運作,而大多數外掛開發者都係專注喺功能,而唔係 cookie 合規。以下係典型 WordPress 網站上面幾個主要嘅 cookie 來源:

主題同 Google Fonts

好多 WordPress 主題會直接喺 fonts.googleapis.com 載入 Google Fonts。當訪客嘅瀏覽器去請求呢啲字型嘅時候,Google 可以 set cookies,並且收集訪客嘅 IP 地址、瀏覽器資訊同引用頁面。喺 2022 年,一間德國法院裁定,喺未經同意之下,直接由 Google 嘅伺服器載入 Google Fonts 係違反 GDPR,對每一位受影響訪客罰款 100 歐元。解決方法係本地託管字型,但大部分主題預設仍然指向 Google 嘅伺服器。

頁面編輯器同分析工具

最受歡迎嘅 WordPress 頁面編輯器 Elementor 會載入外部資源,包括字型,並且可以 set 用量追蹤 cookies。有啲 Elementor 小工具會嵌入第三方內容(例如 YouTube 影片、Google Maps),而呢啲內容又會 set 佢哋自己嘅 cookies。就算係免費版 Elementor,如果你冇喺設定入面明確關閉,亦可能會傳送匿名化嘅使用數據。

SEO 外掛

Yoast SEORank Math 本身 set 嘅 cookies 唔多,但佢哋通常會同 Google Search Console 整合,並且鼓勵你加入 Google Analytics 追蹤碼。由佢哋幫你實作嘅分析腳本,就係主要嘅 cookie 來源。Yoast ��付費版本亦會為咗做 SEO 分析而同 Yoast 嘅伺服器通訊,當中都可能牽涉到 cookies。

Jetpack 同 WordPress.com 服務

Jetpack 係 WordPress 生態圈入���其中一個 set cookie 最多嘅外掛。視乎你啟用咗邊啲模組,Jetpack 可以為以下用途 set cookies:

一個用預設設定安裝嘅 Jetpack,就已經可以為唔同網域 set 出 8 至 12 個 cookies。

WooCommerce 同電子商務

WooCommerce 會 set 幾個被視為對電子商務功能「絕對必要」嘅 cookies:

呢啲通常會被視為絕對必要嘅 cookies,所以一般唔需要事先取得同意。不過,各種 WooCommerce 擴充功能,例如付款處理、遺棄購物車挽回、營銷自動化等,就會再加上好多需要同意先可以用嘅 cookies。

聯絡表單同 reCAPTCHA

Contact Form 7WPFormsGravity Forms 呢啲聯絡表單外掛,通常會用 Google reCAPTCHA 做垃圾訊息防護。reCAPTCHA v2 同 v3 會 set 多個 cookies,包括 _GRECAPTCHA,並且由 google.com 載入腳本,而嗰啲腳本又可以 set 額外嘅追蹤 cookies。即係話,就算只係一個簡單嘅聯絡頁,都可以觸發與廣告相關嘅 cookies。

快取外掛

WP Super CacheW3 Total CacheWP Rocket 呢啲快取外掛會 set 佢哋自己嘅 cookies 去管理快取行為。呢啲通常係功能性 cookies(例如用嚟令已登入用戶略過快取),但你仍然需要喺 cookie 政策入面清楚列出。

點樣幫你嘅 WordPress 網站做 Cookie 審核

一個徹底嘅 cookie 審核,需要由訪客角度去掃描你個網站。流程如下:

步驟 1:使用瀏覽器開發者工具

用 Chrome 開你個網站,去到 DevTools > Application > Cookies,檢查為你個網域同第三方網域 set 嘅所有 cookies。喺無痕視窗入面做,模擬第一次訪客。記錄每個 cookie 嘅名稱、網域、到期時間,以及佢係第一方定第三方。

步驟 2:使用專門嘅 Cookie 掃描工具

手動檢查可以捉到載入頁面時 set 嘅 cookies,但會 miss 咗互動時(撳掣、提交表單、捲動)先 set 嘅 cookies。專門嘅掃描工具,例如 Cookiebot 免費掃描器CookieYes 掃描器,或者 EditThisCookie 呢類瀏覽器擴充功能,可以提供更全面嘅結果。記得要喺多個頁面掃描,而唔係淨係首頁。

步驟 3:為每個 Cookie 分類

將搵到嘅 cookies 分成標準類別:

步驟 4:將 Cookies 對應返來源

對每一個 cookie,搵出係邊個主題或者外掛 set 出嚟。呢一步就係 WordPress 變得複雜嘅地方——單單一個頁面就可能會由 5 個唔同外掛載入腳本,而每個都 set 自己嘅 cookies。你可以暫時逐個停用外掛,去測試邊個外掛 set 咗邊啲 cookies。

常見 Cookie 來源同對應解決方案

以下係 WordPress 上最常見嘅 cookie 來源同處理方法速查表:

設定 FlexyConsent WordPress 外掛,實現完整合規

當你完成 cookie 審核,清楚知道要控制啲乜之後,要喺 WordPress 上實作 FlexyConsent 就相當直接。

🔌
官方 WordPress 外掛
FlexyConsent for WordPress
直接喺 WordPress Plugin Directory 安裝。喺你 WP 管理後台原生設定——完全唔使寫程式碼。

FlexyConsent 嘅 WordPress 外掛會直接整合入你嘅 WordPress 管理後台,提供原生設定體驗:

  1. 由 Plugin Directory 安裝: 喺「Plugins > Add New」搜尋「FlexyConsent」,安裝並啟用,唔需要手動上載檔案。
  2. 連接你個網站: 喺外掛設定入面輸入你嘅 FlexyConsent site ID。外掛會自動喺正確位置注入同意腳本——喺任何其他第三方腳本之前。
  3. 設定 cookie 類別: 將你審核出嚟嘅 cookies 對應返 FlexyConsent 嘅同意類別。外掛會喺 WordPress 後台提供可視化介面畀你操作。
  4. 設定腳本阻擋: FlexyConsent 會透過 Consent Mode V2 自動管理 Google tags。至於其他腳本(Facebook Pixel、自訂追蹤),外掛提供腳本阻擋規則,喺相關同意類別獲授權之前,會阻止佢哋執行。
  5. 徹底測試: 用無痕視窗測試,確認喺未取得同意之前,所有非必要 cookies 都被阻擋,並且喺取得同意之後,所有功能都可以正常運作。

作為一個具備 IAB TCF 2.3 支援嘅 Google-certified CMP,FlexyConsent 可以自動處理 WordPress 上最複雜嘅 cookie 合規部分。Consent Mode V2 訊號會喺唔需要額外設定 tags 嘅情況下傳送到 Google 服務,而地理定位功能會確保唔同地區嘅訪客都會見到適合當地法規嘅同意介面。

重點提示: WordPress 嘅靈活性係有私隱代價嘅——每一個主題同外掛都可以帶入需要同意嘅 cookies。唯一可靠嘅合規途徑,就係先做系統化審核,再配合正確嘅 CMP 實作。唔好假設你個網站淨係 set 咗你知道嘅 cookies;現實情況幾乎一定比你想像中複雜得多。
← 博客 閱讀全部 →