InspectWP Logo
Oplossingsgids

Hoe u Gravatar uitschakelt in WordPress (GDPR)

8 februari 2026

Gravatar (Globally Recognized Avatar) is een dienst van Automattic die profielafbeeldingen voor gebruikers levert op basis van e-mailadressen. WordPress gebruikt Gravatar standaard om avatars weer te geven in reacties, auteursprofielen en gebruikersprofielen. Hoewel handig, brengt deze integratie aanzienlijke privacyproblemen met zich mee waar elke site-eigenaar zich bewust van zou moeten zijn.

Waarom Gravatar een GDPR-probleem is

Wanneer een bezoeker een reactie achterlaat op uw WordPress-site, wordt zijn of haar e-mailadres gehasht met MD5 en naar de servers van Gravatar op gravatar.com gestuurd om de avatar op te halen. Dit proces creëert verschillende GDPR-problemen:

  • Verzending van IP-adressen: elk Gravatar-verzoek stuurt het IP-adres van de bezoeker naar de servers van Automattic, die zich in de Verenigde Staten bevinden. Onder GDPR worden IP-adressen als persoonsgegevens beschouwd, en het overdragen ervan naar een derde land zonder passende waarborgen vereist expliciete toestemming.
  • Blootstelling van e-mailhash: de MD5-hash van het e-mailadres wordt opgenomen in de Gravatar-URL (bijv. gravatar.com/avatar/ab12cd34...). MD5 is geen veilig hash-algoritme. Rainbow tables en brute-force-aanvallen kunnen veelvoorkomende e-mailhashes terugdraaien en zo mogelijk de e-mailadressen van uw bezoekers blootstellen.
  • Tracking-mogelijkheid: omdat dezelfde hash op alle sites met Gravatar wordt gebruikt, zou Automattic theoretisch het surfgedrag van een gebruiker kunnen volgen op elke WordPress-site die hij of zij bezoekt of waar wordt gereageerd.
  • Geen toestemmingsmechanisme: WordPress laadt Gravatar-afbeeldingen automatisch zonder toestemming aan de bezoeker te vragen. Onder GDPR vereist het laden van externe bronnen die persoonsgegevens versturen voorafgaande geïnformeerde toestemming.

Verschillende Europese gegevensbeschermingsautoriteiten hebben Gravatar als problematisch aangemerkt, en sites die Gravatar zonder toestemming laden zijn technisch gezien in strijd met de GDPR-vereisten.

Avatars uitschakelen via WordPress-instellingen

De eenvoudigste manier om Gravatar-verzoeken te stoppen is via het WordPress-beheerpaneel:

  1. Navigeer in uw WordPress-beheergedeelte naar Instellingen en vervolgens Reacties.
  2. Scroll omlaag naar de sectie Avatars.
  3. Vink de optie "Avatars tonen" uit.
  4. Klik op Wijzigingen opslaan.

Dit schakelt avatarweergave volledig uit op uw site. Er worden geen verzoeken meer naar gravatar.com gedaan. Het nadeel is dat u alle avatarfunctionaliteit verliest, waardoor reactiesecties en auteursprofielen minder persoonlijk kunnen aanvoelen.

Gravatar vervangen door lokale avatars met code

Wilt u avatars blijven tonen maar zonder externe verzoeken, dan kunt u de Gravatar-URL overschrijven en naar een lokale standaardafbeelding laten verwijzen. Voeg dit toe aan de functions.php van uw thema of aan een aangepaste plug-in:

// Replace Gravatar with a local default avatar
add_filter('get_avatar_url', function($url, $id_or_email, $args) {
    // Return a local default avatar image
    return get_template_directory_uri() . '/images/default-avatar.png';
}, 10, 3);

// Prevent DNS prefetch to gravatar.com
remove_action('wp_head', 'wp_resource_hints', 2);

Zorg ervoor dat u een standaard avatarafbeelding aanmaakt en op het in de code opgegeven pad plaatst. Een eenvoudig generiek silhouet of het logo van uw site werkt goed. Het verwijderen van wp_resource_hints voorkomt dat WordPress een DNS-prefetch-hint voor gravatar.com aan de HTML-head toevoegt, wat anders alsnog een verbinding met de servers van Gravatar zou opzetten, zelfs zonder feitelijke afbeeldingen te laden.

Een plug-in gebruiken voor lokaal avatarbeheer

Verschillende plug-ins maken het eenvoudig om Gravatar te vervangen door lokaal gehoste avatars en geven gebruikers de mogelijkheid hun eigen profielafbeelding te uploaden zonder externe dienst:

  • One User Avatar (WP User Avatar): laat elke gebruiker een aangepaste profielafbeelding uploaden die op uw server wordt opgeslagen. Bevat een standaard avataroptie voor gebruikers die geen afbeelding hebben geüpload. Eenvoudig in te stellen en werkt met de meeste thema's.
  • Simple Local Avatars: een lichtgewicht plug-in die een avatar-uploadveld toevoegt aan gebruikersprofielen. Alle afbeeldingen worden lokaal opgeslagen en het omzeilt Gravatar volledig. Het ondersteunt ook het importeren van bestaande Gravatar-afbeeldingen naar lokale opslag voor een eenmalige migratie.
  • Avatar Privacy: de meest uitgebreide optie. Het blokkeert Gravatar standaard, laat gebruikers desgewenst opt-in voor Gravatar, genereert unieke standaardavatars (zoals GitHub-achtige identicons) en handelt toestemmingsbeheer voor avatarweergave af.

Gegenereerde avatars als privacyvriendelijk alternatief

Wilt u dat elke reageerder een unieke avatar heeft zonder een externe dienst te gebruiken, dan zijn gegenereerde avatars een uitstekende oplossing. WordPress bevat enkele ingebouwde opties (Identicons, Wavatars, MonsterID), maar deze worden standaard door de servers van Gravatar gegenereerd. Om ze lokaal te genereren kan de Avatar Privacy-plug-in identicons en andere gegenereerde avatars volledig op uw server creëren, zonder enig extern verzoek.

Een andere benadering is het gebruik van CSS-gebaseerde avatars die de eerste letter van de naam van de reageerder in een gekleurde cirkel tonen. Dit vereist geen afbeeldingen, geen externe verzoeken en biedt een schone, moderne uitstraling. Voor deze aanpak zijn diverse lichtgewicht plug-ins en codefragmenten beschikbaar.

Prestatievoordelen van het uitschakelen van Gravatar

Naast privacy verbetert het verwijderen van Gravatar ook de prestaties van uw site. Elke Gravatar-afbeelding is een extern HTTP-verzoek aan gravatar.com. Op een blogartikel met 20 reacties betekent dit 20 extra DNS-lookups en afbeeldingdownloads van een externe server. Door avatars lokaal te serveren (of helemaal niet), elimineert u deze externe verzoeken, verkort u de laadtijd van pagina's en verbetert u uw Core Web Vitals-scores. Dit is met name merkbaar op mobiele verbindingen waar de latentie naar externe servers snel oploopt.

Overwegingen rond cookietoestemming

Besluit u Gravatar ingeschakeld te laten (bijvoorbeeld achter een cookietoestemmingsbanner), wees u er dan van bewust dat u dit correct moet integreren met uw toestemmingsbeheerplatform. Gravatar-afbeeldingen mogen pas laden nadat de bezoeker expliciete toestemming heeft gegeven voor externe media of diensten van derden. De meeste cookietoestemming-plug-ins zoals Complianz, GDPR Cookie Compliance of Borlabs Cookie kunnen worden geconfigureerd om Gravatar te blokkeren totdat toestemming is verleend, maar dit vereist handmatige instelling en testen.

Verifieer met InspectWP

Voer na het uitschakelen van Gravatar een nieuwe InspectWP-scan uit op uw site. De GDPR-sectie van uw rapport toont of Gravatar nog steeds als externe dienst wordt geladen. Heeft u het succesvol verwijderd, dan zou de Gravatar-controle niet langer als probleem moeten verschijnen. Controleer ook de sectie externe bronnen van het rapport om te bevestigen dat geen verzoeken aan gravatar.com of secure.gravatar.com overblijven.

Vorig artikel

Hoe u de WordPress REST API uitschakelt

Volgend artikel

Google Fonts lokaal hosten in WordPress

Gerelateerde artikelen

De maximale uploadgrootte voor bestanden in WordPress verhogen

readme.html en license.txt blokkeren in WordPress

Directory listing uitschakelen in WordPress (Apache en nginx)

Alle artikelen bekijken

Controleer nu uw WordPress-site

InspectWP analyseert uw WordPress-site op beveiligingsproblemen, SEO-problemen, GDPR-naleving en prestaties — gratis.

Analyseer uw site gratis