InspectWP Logo
Guida di risoluzione

Come disabilitare Gravatar in WordPress (GDPR)

8 febbraio 2026

Gravatar (Globally Recognized Avatar) è un servizio di Automattic che fornisce immagini profilo per gli utenti basate sugli indirizzi email. WordPress usa Gravatar per default per visualizzare gli avatar nei commenti, nei profili autore e nei profili utente. Sebbene comodo, questa integrazione porta con sé significativi problemi di privacy di cui ogni proprietario di sito dovrebbe essere consapevole.

Perché Gravatar è un problema GDPR

Quando un visitatore lascia un commento sul tuo sito WordPress, il suo indirizzo email viene hashato con MD5 e inviato ai server Gravatar su gravatar.com per recuperare l'avatar. Questo processo crea diversi problemi GDPR:

  • Invio di indirizzi IP: ogni richiesta Gravatar invia l'indirizzo IP del visitatore ai server di Automattic, che si trovano negli Stati Uniti. Ai sensi del GDPR, gli indirizzi IP sono considerati dati personali, e trasferirli a un paese terzo senza adeguate garanzie richiede un consenso esplicito.
  • Esposizione dell'hash email: l'hash MD5 dell'indirizzo email è incluso nell'URL Gravatar (es. gravatar.com/avatar/ab12cd34...). MD5 non è un algoritmo di hash sicuro. Rainbow table e attacchi di brute force possono invertire gli hash email comuni e così potenzialmente esporre gli indirizzi email dei tuoi visitatori.
  • Possibilità di tracciamento: poiché lo stesso hash viene usato su tutti i siti con Gravatar, Automattic potrebbe teoricamente tracciare il comportamento di navigazione di un utente su ogni sito WordPress che visita o dove commenta.
  • Nessun meccanismo di consenso: WordPress carica automaticamente le immagini Gravatar senza chiedere il consenso al visitatore. Ai sensi del GDPR, caricare risorse esterne che inviano dati personali richiede un consenso informato preventivo.

Diverse autorità europee di protezione dei dati hanno identificato Gravatar come problematico, e i siti che caricano Gravatar senza consenso sono tecnicamente in violazione dei requisiti GDPR.

Disabilitare gli avatar tramite le impostazioni WordPress

Il modo più semplice per fermare le richieste Gravatar è tramite il pannello di amministrazione WordPress:

  1. Nella tua area di amministrazione WordPress, naviga a Impostazioni e poi Discussione.
  2. Scorri fino alla sezione Avatar.
  3. Deseleziona l'opzione "Mostra avatar".
  4. Clicca su Salva le modifiche.

Questo disabilita completamente la visualizzazione degli avatar sul tuo sito. Non vengono più fatte richieste a gravatar.com. Lo svantaggio è che perdi tutta la funzionalità avatar, il che può rendere le sezioni commenti e i profili autore meno personali.

Sostituire Gravatar con avatar locali tramite codice

Se vuoi continuare a mostrare avatar ma senza richieste esterne, puoi sovrascrivere l'URL Gravatar e farlo puntare a un'immagine predefinita locale. Aggiungi questo a functions.php del tuo tema o a un plugin personalizzato:

// Replace Gravatar with a local default avatar
add_filter('get_avatar_url', function($url, $id_or_email, $args) {
    // Return a local default avatar image
    return get_template_directory_uri() . '/images/default-avatar.png';
}, 10, 3);

// Prevent DNS prefetch to gravatar.com
remove_action('wp_head', 'wp_resource_hints', 2);

Assicurati di creare un'immagine avatar predefinita e di posizionarla al percorso specificato nel codice. Una semplice silhouette generica o il logo del tuo sito funziona bene. La rimozione di wp_resource_hints impedisce a WordPress di aggiungere un hint DNS prefetch per gravatar.com all'head HTML, che altrimenti stabilirebbe comunque una connessione ai server Gravatar, anche senza caricare effettivamente immagini.

Usare un plugin per la gestione di avatar locali

Diversi plugin rendono facile sostituire Gravatar con avatar ospitati localmente e danno agli utenti la possibilità di caricare la propria immagine profilo senza un servizio esterno:

  • One User Avatar (WP User Avatar): consente a ogni utente di caricare un'immagine profilo personalizzata che viene memorizzata sul tuo server. Include un'opzione avatar predefinita per gli utenti che non hanno caricato un'immagine. Facile da configurare e funziona con la maggior parte dei temi.
  • Simple Local Avatars: un plugin leggero che aggiunge un campo di upload avatar ai profili utente. Tutte le immagini vengono memorizzate localmente e bypassa completamente Gravatar. Supporta anche l'importazione di immagini Gravatar esistenti nell'archiviazione locale per una migrazione una tantum.
  • Avatar Privacy: l'opzione più completa. Blocca Gravatar per default, consente agli utenti di optare per Gravatar se desiderano, genera avatar predefiniti unici (come identicon stile GitHub) e gestisce il consenso per la visualizzazione degli avatar.

Avatar generati come alternativa rispettosa della privacy

Se vuoi che ogni commentatore abbia un avatar unico senza usare un servizio esterno, gli avatar generati sono una soluzione eccellente. WordPress include alcune opzioni integrate (Identicon, Wavatar, MonsterID), ma queste sono generate per default dai server Gravatar. Per generarli localmente, il plugin Avatar Privacy può creare identicon e altri avatar generati completamente sul tuo server, senza alcuna richiesta esterna.

Un altro approccio è usare avatar basati su CSS che mostrano la prima lettera del nome del commentatore in un cerchio colorato. Questo non richiede immagini, nessuna richiesta esterna e offre un aspetto pulito e moderno. Per questo approccio sono disponibili vari plugin leggeri e snippet di codice.

Vantaggi prestazionali della disabilitazione di Gravatar

Oltre alla privacy, rimuovere Gravatar migliora anche le prestazioni del tuo sito. Ogni immagine Gravatar è una richiesta HTTP esterna a gravatar.com. Su un articolo del blog con 20 commenti, ciò significa 20 lookup DNS aggiuntivi e download di immagini da un server esterno. Servendo gli avatar localmente (o non del tutto), elimini queste richieste esterne, accorci il tempo di caricamento della pagina e migliori i tuoi punteggi Core Web Vitals. Questo è particolarmente evidente sulle connessioni mobili dove la latenza verso server esterni si accumula rapidamente.

Considerazioni sul consenso ai cookie

Se decidi di lasciare Gravatar abilitato (ad esempio dietro un banner di consenso ai cookie), sii consapevole che devi integrarlo correttamente con la tua piattaforma di gestione del consenso. Le immagini Gravatar dovrebbero essere caricate solo dopo che il visitatore ha dato esplicito consenso per media esterni o servizi di terze parti. La maggior parte dei plugin di consenso ai cookie come Complianz, GDPR Cookie Compliance o Borlabs Cookie possono essere configurati per bloccare Gravatar fino a quando non viene concesso il consenso, ma questo richiede configurazione e test manuali.

Verifica con InspectWP

Dopo aver disabilitato Gravatar, esegui una nuova scansione InspectWP sul tuo sito. La sezione GDPR del tuo report mostra se Gravatar viene ancora caricato come servizio esterno. Se l'hai rimosso con successo, il controllo Gravatar non dovrebbe più apparire come problema. Controlla anche la sezione risorse esterne del report per confermare che nessuna richiesta a gravatar.com o secure.gravatar.com rimanga.

Articolo precedente

Come disabilitare la WordPress REST API

Articolo successivo

Ospitare Google Fonts localmente in WordPress

Articoli correlati

Aumentare la dimensione massima di upload dei file in WordPress

Bloccare readme.html e license.txt in WordPress

Disabilitare il directory listing in WordPress (Apache e nginx)

Vedi tutti gli articoli

Controlla subito il tuo sito WordPress

InspectWP analizza il tuo sito WordPress per problemi di sicurezza, problemi SEO, conformità GDPR e prestazioni — gratuitamente.

Analizza gratis il tuo sito