InspectWP Logo
Guia de correção

Como desabilitar o Gravatar no WordPress (GDPR)

8 de fevereiro de 2026

O Gravatar (Globally Recognized Avatar) é um serviço da Automattic que fornece imagens de perfil de usuário com base em endereços de e-mail. O WordPress usa o Gravatar por padrão para exibir avatares em comentários, bios de autor e perfis de usuário. Embora conveniente, essa integração cria preocupações significativas de privacidade que todo proprietário de site deve entender.

Por que o Gravatar é um problema do GDPR

Quando um visitante deixa um comentário no seu site WordPress, o endereço de e-mail é hasheado com MD5 e enviado aos servidores do Gravatar em gravatar.com para buscar a imagem do avatar. Esse processo cria várias questões de GDPR:

  • Transmissão de endereço IP: cada requisição do Gravatar envia o IP do visitante aos servidores da Automattic, localizados nos Estados Unidos. Sob o GDPR, endereços IP são considerados dados pessoais, e transferi-los para um país terceiro sem salvaguardas adequadas requer consentimento explícito.
  • Exposição de hash de e-mail: o hash MD5 do endereço de e-mail é incluído na URL do Gravatar (por exemplo, gravatar.com/avatar/ab12cd34...). MD5 não é um algoritmo de hashing seguro. Tabelas rainbow e ataques de força bruta podem reverter hashes de e-mails comuns, potencialmente expondo os endereços de e-mail dos seus visitantes.
  • Potencial de rastreamento: como o mesmo hash é usado em todos os sites com Gravatar habilitado, a Automattic poderia teoricamente rastrear a atividade de navegação de um usuário em todo site WordPress que ele visita ou comenta.
  • Sem mecanismo de consentimento: o WordPress carrega imagens do Gravatar automaticamente sem pedir consentimento ao visitante. Sob o GDPR, carregar recursos externos que transmitem dados pessoais requer consentimento informado prévio.

Várias autoridades europeias de proteção de dados sinalizaram o Gravatar como problemático, e sites que carregam Gravatar sem consentimento estão tecnicamente em violação aos requisitos do GDPR.

Desabilitar avatares pelas configurações do WordPress

A forma mais simples de parar as requisições ao Gravatar é pelo painel administrativo do WordPress:

  1. Vá para Configurações e então Discussão no admin do WordPress.
  2. Role até a seção Avatares.
  3. Desmarque a opção "Mostrar avatares".
  4. Clique em Salvar alterações.

Isso desabilita completamente a exibição de avatares no seu site. Nenhuma requisição será mais feita a gravatar.com. A desvantagem é que você perde toda a funcionalidade de avatar, o que pode tornar seções de comentários e perfis de autor menos pessoais.

Substitua o Gravatar por avatares locais via código

Se você quer continuar mostrando avatares, mas sem nenhuma requisição externa, pode sobrescrever a URL do Gravatar para apontar para uma imagem padrão local. Adicione isto ao functions.php do seu tema ou a um plugin personalizado:

// Replace Gravatar with a local default avatar
add_filter('get_avatar_url', function($url, $id_or_email, $args) {
    // Return a local default avatar image
    return get_template_directory_uri() . '/images/default-avatar.png';
}, 10, 3);

// Prevent DNS prefetch to gravatar.com
remove_action('wp_head', 'wp_resource_hints', 2);

Certifique-se de criar uma imagem de avatar padrão e colocá-la no caminho especificado no código. Uma silhueta genérica simples ou o logo do seu site funciona bem. A remoção de wp_resource_hints impede que o WordPress adicione uma dica de DNS prefetch para gravatar.com no head do HTML, o que de outra forma ainda criaria uma conexão com os servidores do Gravatar mesmo sem carregar imagens reais.

Use um plugin para gerenciamento de avatar local

Vários plugins facilitam substituir o Gravatar por avatares hospedados localmente, dando aos usuários a capacidade de enviar suas próprias fotos de perfil sem nenhum serviço externo:

  • One User Avatar (WP User Avatar): permite que cada usuário envie uma foto de perfil personalizada, armazenada no seu servidor. Inclui uma opção de avatar padrão para usuários que não enviaram uma foto. Simples de configurar e funciona com a maioria dos temas.
  • Simple Local Avatars: um plugin leve que adiciona um campo de upload de avatar nos perfis de usuário. Todas as imagens são armazenadas localmente, e ele dispensa completamente o Gravatar. Também suporta a importação de imagens existentes do Gravatar para armazenamento local em uma migração única.
  • Avatar Privacy: a opção mais abrangente. Bloqueia o Gravatar por padrão, permite que os usuários optem por usá-lo se quiserem, gera avatares padrão únicos (como identicons no estilo do GitHub) e cuida do gerenciamento de consentimento para a exibição de avatares.

Avatares gerados como uma alternativa amigável à privacidade

Se você quer que cada comentarista tenha um avatar único sem depender de nenhum serviço externo, avatares gerados são uma excelente solução. O WordPress inclui algumas opções nativas (Identicons, Wavatars, MonsterID), mas elas são geradas pelos servidores do Gravatar por padrão. Para gerá-las localmente, o plugin Avatar Privacy consegue criar identicons e outros avatares gerados inteiramente no seu servidor, sem nenhuma requisição externa.

Outra abordagem é usar avatares baseados em CSS que exibem a primeira letra do nome do comentarista em um círculo colorido. Isso não requer imagens nem requisições externas e oferece uma aparência limpa e moderna. Vários plugins leves e snippets de código estão disponíveis para essa abordagem.

Benefícios de desempenho ao desabilitar o Gravatar

Além da privacidade, remover o Gravatar também melhora o desempenho do seu site. Cada imagem do Gravatar é uma requisição HTTP externa a gravatar.com. Em um post de blog com 20 comentários, isso significa 20 consultas DNS adicionais e downloads de imagem de um servidor externo. Ao servir avatares localmente (ou não os servir), você elimina essas requisições externas, reduz o tempo de carregamento da página e melhora suas pontuações de Core Web Vitals. Isso é especialmente perceptível em conexões móveis, onde a latência para servidores externos soma rapidamente.

Considerações sobre consentimento de cookies

Se você decidir manter o Gravatar habilitado (por exemplo, atrás de um banner de consentimento de cookies), saiba que precisa integrá-lo corretamente à sua plataforma de gerenciamento de consentimento. Imagens do Gravatar devem ser carregadas apenas depois que o visitante tiver dado consentimento explícito para mídia externa ou serviços de terceiros. A maioria dos plugins de consentimento de cookies como Complianz, GDPR Cookie Compliance ou Borlabs Cookie pode ser configurada para bloquear o Gravatar até que o consentimento seja dado, mas isso requer configuração e testes manuais.

Verifique com o InspectWP

Após desabilitar o Gravatar, execute uma nova varredura do InspectWP no seu site. A seção de GDPR do seu relatório mostrará se o Gravatar ainda está sendo carregado como um serviço externo. Se você o removeu com sucesso, a verificação do Gravatar não deve mais aparecer como um problema. Garanta também conferir a seção de recursos externos do relatório para confirmar que não restam requisições a gravatar.com ou secure.gravatar.com.

Artigo anterior

Como desabilitar a REST API do WordPress

Próximo artigo

Como hospedar o Google Fonts localmente no WordPress

Artigos relacionados

Como Aumentar o Tamanho Máximo de Upload de Arquivo no WordPress

Como Bloquear readme.html e license.txt no WordPress

Como Desabilitar a Listagem de Diretórios no WordPress (Apache e nginx)

Ver todos os artigos

Verifique seu site WordPress agora

O InspectWP analisa seu site WordPress em busca de problemas de segurança, problemas de SEO, conformidade com GDPR e desempenho — gratuitamente.

Analise seu site grátis