Cosa sono i cookie?

I cookie sono piccoli file di testo che i siti web memorizzano nel browser del visitatore. Tecnicamente, ogni cookie è una coppia chiave-valore con metadati aggiuntivi (data di scadenza, dominio, percorso, flag di sicurezza). Il browser rinvia tutti i cookie corrispondenti al server con ogni richiesta HTTP, ed è così che i siti web "ricordano" le cose tra le visualizzazioni di pagina. WordPress utilizza i cookie per sessioni di login, preferenze amministratore, moduli di commento e vari scopi di tracciamento.

Come funzionano i cookie a livello tecnico

Quando il tuo sito WordPress invia una risposta a un browser, può includere uno o più header Set-Cookie. Ogni header definisce un cookie con un nome, un valore e attributi opzionali come tempo di scadenza e ambito. Su ogni richiesta successiva allo stesso dominio (e percorso corrispondente), il browser include automaticamente questi cookie nell'header di richiesta Cookie. Il server li legge e utilizza i dati memorizzati per identificare l'utente, ripristinare lo stato della sessione o tracciare il comportamento.

Questo meccanismo è ciò che rende possibili le sessioni di login. Senza i cookie, il server non avrebbe modo di sapere che la persona che richiede la dashboard è la stessa persona che ha appena inserito una password nella pagina di login.

Cookie di prima parte vs. cookie di terze parti

La distinzione tra cookie di prima parte e cookie di terze parti è centrale nelle normative sulla privacy ed è importante per ogni proprietario di sito WordPress:

• Cookie di prima parte: impostati dal tuo stesso dominio. Questi includono i cookie di sessione di login WordPress, le preferenze di consenso GDPR memorizzate dal plugin del banner cookie, il contenuto del carrello WooCommerce e qualsiasi cookie creato dal tuo tema o codice personalizzato. I cookie di prima parte sono generalmente considerati meno invasivi della privacy perché operano solo all'interno del tuo sito.
• Cookie di terze parti: impostati da domini esterni tramite risorse caricate sulla tua pagina. Quando il tuo sito WordPress carica Google Analytics, Facebook Pixel, un embed YouTube o uno script pubblicitario, questi servizi impostano i propri cookie su domini diversi. I cookie di terze parti possono tracciare i visitatori attraverso più siti web, ed è per questo che sono l'obiettivo principale delle normative sulla privacy. Browser importanti come Safari e Firefox bloccano già i cookie di terze parti per impostazione predefinita, e Chrome sta anche eliminandoli gradualmente.

Cookie di sessione vs. cookie persistenti

I cookie differiscono anche per durata:

• Cookie di sessione: questi cookie non hanno una data di scadenza esplicita. Esistono solo nella memoria del browser e vengono eliminati quando il browser viene chiuso. WordPress utilizza i cookie di sessione per stati temporanei che non devono persistere.
• Cookie persistenti: questi cookie hanno una data di scadenza definita e rimangono memorizzati sul dispositivo del visitatore fino a quella data (o fino a quando l'utente li cancella manualmente). Il cookie di login WordPress wordpress_logged_in_* è un cookie persistente che dura tipicamente 48 ore, o 14 giorni se l'utente seleziona "Ricordami". I cookie Google Analytics come _ga persistono per 2 anni per impostazione predefinita.

Cookie WordPress standard spiegati

Un'installazione WordPress standard imposta diversi cookie, ognuno dei quali serve a uno scopo specifico:

• wordpress_test_cookie: impostato sulla pagina di login per verificare se il browser accetta i cookie. Se questo cookie è bloccato, WordPress mostra un errore che i cookie devono essere abilitati per accedere.
• wordpress_logged_in_[hash]: il principale cookie di autenticazione per gli utenti che hanno effettuato l'accesso. Contiene il nome utente, un timestamp di scadenza e un hash che verifica che il cookie non sia stato manomesso. Questo cookie viene utilizzato per identificare l'utente sul frontend.
• wordpress_[hash]: un cookie di autenticazione separato utilizzato solo nell'area di amministrazione (/wp-admin/). Fornisce un ulteriore livello di sicurezza limitando l'accesso alle funzioni di amministrazione.
• wp-settings-[uid]: memorizza le preferenze dell'interfaccia di amministrazione specifiche dell'utente come la modalità editor (visiva vs. codice), il numero di elementi per pagina negli elenchi di amministrazione e gli stati dei pannelli.
• wp-settings-time-[uid]: registra quando il cookie wp-settings è stato aggiornato l'ultima volta.
• comment_author_[hash]: ricorda il nome, l'indirizzo email e l'URL che un visitatore ha inserito in un modulo di commento, in modo che non debbano reinserirli alla loro prossima visita. Impostato solo quando un visitatore invia un commento.

Questi cookie WordPress standard sono tutti cookie di prima parte e sono generalmente considerati essenziali (necessari per il funzionamento del sito). I cookie di commento, tuttavia, sono talvolta classificati come non essenziali perché commentare è facoltativo.

Requisiti GDPR, ePrivacy e di consenso ai cookie

Il GDPR europeo e la direttiva ePrivacy stabiliscono regole rigorose sui cookie. Per i proprietari di siti WordPress che si rivolgono a visitatori europei, queste regole si applicano indipendentemente da dove si trovi il tuo server:

• Cookie essenziali: i cookie strettamente necessari per il funzionamento del sito (sessioni di login, token di sicurezza, stato del carrello) non richiedono il consenso. Devi comunque divulgarli nella tua informativa sulla privacy.
• Cookie non essenziali: cookie di analisi, cookie di marketing, cookie di personalizzazione e cookie di tracciamento di terze parti richiedono un consenso informato ed esplicito prima di essere impostati. Il visitatore deve fornire attivamente l'opt-in; caselle pre-spuntate o banner "continuando a navigare" non sono consensi validi.
• Diritto di revoca: i visitatori devono poter revocare il loro consenso con la stessa facilità con cui lo hanno dato. Il tuo banner cookie deve includere un modo per modificare le preferenze in qualsiasi momento.
• Requisiti di informazione: devi spiegare chiaramente cosa fa ciascun cookie, chi lo imposta e quanto dura. Queste informazioni sono tipicamente fornite su una pagina di informativa sui cookie o di informativa sulla privacy.

Gestione del consenso ai cookie per WordPress

WordPress non include un meccanismo di consenso ai cookie per impostazione predefinita. Hai bisogno di un plugin di gestione del consenso. Le opzioni popolari includono:

• Complianz: un plugin completo di consenso ai cookie GDPR/CCPA che rileva automaticamente i cookie sul tuo sito e genera pagine di informativa sui cookie.
• CookieYes: una piattaforma di gestione del consenso ampiamente utilizzata con un plugin WordPress e scansione cookie basata su cloud.
• Real Cookie Banner: un plugin di consenso specifico per WordPress con un forte focus sulla legislazione tedesca/europea sulla privacy.
• Borlabs Cookie: un plugin premium di fattura tedesca popolare nella regione DACH. Supporta categorie di cookie granulari e si integra con molti servizi di terze parti.

Una buona configurazione di gestione del consenso blocca i cookie e gli script non essenziali finché il visitatore non dà il consenso. Ciò significa che Google Analytics, Facebook Pixel e servizi simili non dovrebbero caricarsi o impostare cookie finché il visitatore non fa clic su "Accetta" nel banner di consenso.

Flag di sicurezza dei cookie: SameSite, Secure e HttpOnly

I cookie moderni possono includere flag di sicurezza che controllano come vengono inviati e accessibili:

• Secure: il cookie viene inviato solo su connessioni HTTPS. Senza questo flag, i cookie possono essere intercettati su connessioni HTTP non crittografate.
• HttpOnly: il cookie non può essere accessibile da JavaScript tramite document.cookie. Questo impedisce agli attacchi cross-site scripting (XSS) di rubare i cookie di sessione.
• SameSite: controlla se il cookie viene inviato su richieste cross-site. Il valore Strict significa che il cookie non viene mai inviato cross-site. Lax consente al cookie sulle navigazioni di primo livello (come fare clic su un link) ma lo blocca sulle richieste POST cross-site e negli iframe. None (combinato con Secure) consente l'invio del cookie in tutti i contesti, il che è necessario per i cookie di terze parti che devono funzionare attraverso i domini.

WordPress imposta il flag HttpOnly sui cookie di autenticazione per impostazione predefinita. Puoi saperne di più su questi flag nel nostro articolo sugli header di sicurezza HTTP.

Quanti cookie sono troppi

Ogni cookie viene inviato con ogni richiesta HTTP al dominio corrispondente. Ciò significa che se il tuo sito WordPress imposta 20 cookie per un totale di 4 KB, quei 4 KB di dati dei cookie sono inclusi in ogni singola richiesta per pagine, immagini, fogli di stile, script e chiamate AJAX. Su una pagina con 80 richieste, sono 320 KB di dati aggiuntivi che viaggiano avanti e indietro.

I browser applicano limiti sui cookie:

• Per dominio: la maggior parte dei browser consente circa 50 cookie per dominio, con un limite di dimensione totale di circa 4 KB per cookie.
• Totale per cookie: il nome e il valore combinati di un singolo cookie non possono superare i 4.096 byte.

Se il tuo sito WordPress imposta molti cookie (specialmente quelli di grandi dimensioni da script di analisi e pubblicità), può rallentare visibilmente le visualizzazioni di pagina. Per evitarlo, considera di servire asset statici da un dominio o sottodominio senza cookie, e minimizza il numero di script di terze parti che carichi.

Cosa controlla InspectWP

InspectWP elenca tutti i cookie impostati dal tuo sito WordPress durante la scansione, inclusi i loro nomi, valori, domini, percorsi e attributi di sicurezza (Secure, HttpOnly, SameSite). Questo ti aiuta a identificare i cookie di terze parti che potrebbero richiedere il consenso GDPR, individuare i cookie dei servizi che non hai aggiunto consapevolmente e verificare che i tuoi cookie di autenticazione abbiano i flag di sicurezza corretti impostati. L'elenco dei cookie nel tuo report InspectWP è un utile punto di partenza per costruire o aggiornare la tua informativa sui cookie.