InspectWP Logo
Słowniczek

Czym są cookies?

8 lutego 2026

Cookies to małe pliki tekstowe, które witryny internetowe zapisują w przeglądarce odwiedzającego. Technicznie każde cookie to para klucz-wartość z dodatkowymi metadanymi (data wygaśnięcia, domena, ścieżka, flagi bezpieczeństwa). Przeglądarka wysyła wszystkie pasujące cookies z każdym żądaniem HTTP z powrotem do serwera, i w ten sposób witryny "pamiętają" rzeczy między wywołaniami stron. WordPress używa cookies do sesji logowania, preferencji administratora, formularzy komentarzy i różnych celów śledzenia.

Jak cookies działają na poziomie technicznym

Gdy Twoja witryna WordPress wysyła odpowiedź do przeglądarki, może zawierać jeden lub więcej nagłówków Set-Cookie. Każdy nagłówek definiuje cookie z nazwą, wartością i opcjonalnymi atrybutami takimi jak czas wygaśnięcia i zakres. Przy każdym kolejnym żądaniu do tej samej domeny (i pasującej ścieżki) przeglądarka automatycznie dołącza te cookies w nagłówku Cookie. Serwer je czyta i używa zapisanych danych do identyfikacji użytkownika, przywrócenia stanu sesji lub śledzenia zachowania.

Ten mechanizm umożliwia sesje logowania. Bez cookies serwer nie miałby sposobu, aby wiedzieć, że osoba żądająca dashboardu to ta sama osoba, która właśnie wprowadziła hasło na stronie logowania.

First-party cookies vs. third-party cookies

Rozróżnienie między first-party a third-party cookies jest centralne dla regulacji dotyczących prywatności i ważne dla każdego właściciela witryny WordPress:

  • First-party cookies: Ustawiane przez Twoją własną domenę. Obejmują cookies sesji logowania WordPress, preferencje zgody GDPR zapisane przez wtyczkę baner cookie, zawartość koszyka WooCommerce i wszelkie cookies tworzone przez Twój motyw lub niestandardowy kod. First-party cookies są ogólnie uważane za mniej inwazyjne dla prywatności, ponieważ działają tylko w obrębie Twojej własnej witryny.
  • Third-party cookies: Ustawiane przez zewnętrzne domeny przez zasoby ładowane na Twojej stronie. Gdy Twoja witryna WordPress ładuje Google Analytics, Facebook Pixel, osadzenie YouTube lub skrypt reklamowy, te usługi ustawiają własne cookies na różnych domenach. Third-party cookies mogą śledzić odwiedzających przez wiele witryn, i dlatego są głównym celem regulacji prywatności. Główne przeglądarki takie jak Safari i Firefox już domyślnie blokują third-party cookies, a Chrome również je wycofuje.

Cookies sesji vs. cookies trwałe

Cookies różnią się również tym, jak długo trwają:

  • Cookies sesji: Te cookies nie mają wyraźnej daty wygaśnięcia. Istnieją tylko w pamięci przeglądarki i są usuwane po jej zamknięciu. WordPress używa cookies sesji dla tymczasowych stanów, które nie muszą trwać.
  • Cookies trwałe: Te cookies mają zdefiniowaną datę wygaśnięcia i pozostają zapisane na urządzeniu odwiedzającego do tej daty (lub dopóki użytkownik nie wyczyści ich ręcznie). Cookie logowania WordPress wordpress_logged_in_* to trwałe cookie, które zazwyczaj trwa 48 godzin, lub 14 dni, jeśli użytkownik zaznaczy "Zapamiętaj mnie". Cookies Google Analytics takie jak _ga trwają domyślnie 2 lata.

Standardowe cookies WordPress wyjaśnione

Standardowa instalacja WordPress ustawia kilka cookies, z których każde służy określonemu celowi:

  • wordpress_test_cookie: Ustawiane na stronie logowania, aby sprawdzić, czy przeglądarka w ogóle akceptuje cookies. Jeśli to cookie jest blokowane, WordPress wyświetla błąd, że cookies muszą być włączone, aby się zalogować.
  • wordpress_logged_in_[hash]: Główne cookie uwierzytelniania dla zalogowanych użytkowników. Zawiera nazwę użytkownika, znacznik czasu wygaśnięcia i hash, który weryfikuje, czy cookie nie zostało zmanipulowane. To cookie jest używane do identyfikacji użytkownika na frontendzie.
  • wordpress_[hash]: Oddzielne cookie uwierzytelniania używane tylko w obszarze administracyjnym (/wp-admin/). Zapewnia dodatkową warstwę bezpieczeństwa, ograniczając dostęp do funkcji administracyjnych.
  • wp-settings-[uid]: Przechowuje preferencje interfejsu administracyjnego specyficzne dla użytkownika, takie jak tryb edytora (wizualny vs. kod), liczba elementów na stronę w listach administracyjnych i stany paneli.
  • wp-settings-time-[uid]: Rejestruje, kiedy cookie wp-settings zostało ostatnio zaktualizowane.
  • comment_author_[hash]: Pamięta imię, adres e-mail i URL, które odwiedzający wprowadził w formularzu komentarza, dzięki czemu nie musi ich ponownie wpisywać przy następnej wizycie. Ustawiane tylko, gdy odwiedzający przesyła komentarz.

Te standardowe cookies WordPress są wszystkie first-party cookies i są ogólnie uważane za niezbędne (konieczne do funkcjonowania witryny). Jednak cookies komentarzy są czasami klasyfikowane jako nieistotne, ponieważ komentowanie jest opcjonalne.

Wymagania GDPR, ePrivacy i zgody na cookies

Europejskie GDPR i dyrektywa ePrivacy ustalają ścisłe zasady dotyczące cookies. Dla właścicieli witryn WordPress kierujących się do europejskich odwiedzających te zasady obowiązują niezależnie od lokalizacji Twojego serwera:

  • Niezbędne cookies: Cookies, które są ściśle konieczne do funkcjonowania witryny (sesje logowania, tokeny bezpieczeństwa, stan koszyka), nie wymagają zgody. Nadal musisz ujawniać je w polityce prywatności.
  • Cookies nieistotne: Cookies analityczne, cookies marketingowe, cookies personalizacji i third-party cookies śledzące wymagają świadomej, wyraźnej zgody przed ich ustawieniem. Odwiedzający musi aktywnie wyrazić zgodę; wstępnie zaznaczone pola lub banery "kontynuując przeglądanie" nie są ważną zgodą.
  • Prawo do wycofania: Odwiedzający muszą móc wycofać zgodę tak samo łatwo, jak ją wyrazili. Twój baner cookie musi zawierać sposób na zmianę preferencji w dowolnym momencie.
  • Wymagania informacyjne: Musisz jasno wyjaśnić, co robi każde cookie, kto je ustawia i jak długo trwa. Te informacje są zazwyczaj dostarczane na stronie polityki cookies lub polityki prywatności.

Zarządzanie zgodą na cookies dla WordPress

WordPress nie zawiera mechanizmu zgody na cookies out-of-the-box. Potrzebujesz wtyczki zarządzania zgodą. Popularne opcje obejmują:

  • Complianz: Kompletna wtyczka zgody na cookies GDPR/CCPA, która automatycznie wykrywa cookies na Twojej witrynie i generuje strony polityki cookies.
  • CookieYes: Szeroko używana platforma zarządzania zgodą z wtyczką WordPress i skanowaniem cookies w chmurze.
  • Real Cookie Banner: Wtyczka zgody specyficzna dla WordPress z silnym naciskiem na niemieckie/europejskie prawo prywatności.
  • Borlabs Cookie: Wtyczka premium niemieckiej produkcji popularna w regionie DACH. Wspiera szczegółowe kategorie cookies i integruje się z wieloma usługami third-party.

Dobra konfiguracja zarządzania zgodą blokuje nieistotne cookies i skrypty, dopóki odwiedzający nie wyrazi zgody. Oznacza to, że Google Analytics, Facebook Pixel i podobne usługi nie powinny się ładować ani ustawiać cookies, dopóki odwiedzający nie kliknie "Akceptuj" w banerze zgody.

Flagi bezpieczeństwa cookies: SameSite, Secure i HttpOnly

Nowoczesne cookies mogą zawierać flagi bezpieczeństwa, które kontrolują, jak są wysyłane i dostępne:

  • Secure: Cookie jest wysyłane tylko przez połączenia HTTPS. Bez tej flagi cookies mogą być przechwycone na niezaszyfrowanych połączeniach HTTP.
  • HttpOnly: Cookie nie może być dostępne przez JavaScript przez document.cookie. Zapobiega to kradzieży cookies sesji przez ataki cross-site scripting (XSS).
  • SameSite: Kontroluje, czy cookie jest wysyłane przy żądaniach cross-site. Wartość Strict oznacza, że cookie nigdy nie jest wysyłane cross-site. Lax pozwala na cookie przy nawigacjach top-level (takich jak klikanie linku), ale blokuje je przy cross-site żądaniach POST i iframach. None (połączone z Secure) pozwala wysyłać cookie we wszystkich kontekstach, co jest konieczne dla third-party cookies, które muszą działać między domenami.

WordPress domyślnie ustawia flagę HttpOnly na cookies uwierzytelniania. Możesz dowiedzieć się więcej o tych flagach w naszym artykule o nagłówkach bezpieczeństwa HTTP.

Ile cookies to za dużo

Każde cookie jest wysyłane z każdym żądaniem HTTP do pasującej domeny. Oznacza to, że jeśli Twoja witryna WordPress ustawia 20 cookies o łącznej wielkości 4KB, te 4KB danych cookies są dołączane do każdego pojedynczego żądania dla stron, obrazów, arkuszy stylów, skryptów i wywołań AJAX. Na stronie z 80 żądaniami to dodatkowe 320KB danych podróżujących w obie strony.

Przeglądarki egzekwują limity na cookies:

  • Na domenę: Większość przeglądarek pozwala na około 50 cookies na domenę, z całkowitym limitem rozmiaru około 4KB na cookie.
  • Łącznie na cookie: Połączona nazwa i wartość pojedynczego cookie nie może przekraczać 4096 bajtów.

Jeśli Twoja witryna WordPress ustawia wiele cookies (zwłaszcza dużych z skryptów analitycznych i reklamowych), może to znacząco spowolnić wywołania stron. Aby tego uniknąć, rozważ serwowanie statycznych zasobów z domeny lub subdomeny wolnej od cookies i minimalizuj liczbę third-party skryptów, które ładujesz.

Co sprawdza InspectWP

InspectWP wymienia wszystkie cookies ustawiane przez Twoją witrynę WordPress podczas skanowania, w tym ich nazwy, wartości, domeny, ścieżki i atrybuty bezpieczeństwa (Secure, HttpOnly, SameSite). Pomaga to zidentyfikować third-party cookies, które mogą wymagać zgody GDPR, wykryć cookies z usług, których świadomie nie dodałeś, i zweryfikować, że Twoje cookies uwierzytelniania mają ustawione odpowiednie flagi bezpieczeństwa. Lista cookies w Twoim raporcie InspectWP to użyteczny punkt wyjścia do budowy lub aktualizacji polityki cookies.

Poprzedni artykuł

Czym jest PHP?

Następny artykuł

Czym jest cache w WordPress?

Powiązane artykuły

Czym jest meta description?

Czym jest mixed content?

Czym jest lazy loading?

Zobacz wszystkie artykuły

Sprawdź teraz swoją stronę WordPress

InspectWP analizuje Twoją stronę WordPress pod kątem bezpieczeństwa, problemów SEO, zgodności z RODO i wydajności — za darmo.

Przeanalizuj stronę za darmo