InspectWP Logo
Glossário

O que é o Gravatar?

8 de fevereiro de 2026 Atualizado em 19 de abr. de 2026

Gravatar, abreviação de Globally Recognized Avatar, é um serviço gratuito operado pela Automattic (a empresa por trás do WordPress.com) que associa imagens de perfil a endereços de e-mail. O conceito é simples: você envia um avatar uma vez para gravatar.com e ele te acompanha pela web. Qualquer site que suporte Gravatar pode exibir sua foto de perfil ao lado do seu nome, sem que você precise enviá-la novamente.

O WordPress inclui suporte a Gravatar desde a versão 2.5 (2008) e ele é habilitado por padrão em toda instalação WordPress. Isso significa que, a menos que você o desabilite ativamente, seu site WordPress envia dados aos servidores do Gravatar toda vez que uma página com avatares carrega. Para muitos proprietários de sites, especialmente os da União Europeia, isso cria um problema significativo de privacidade.

Como o Gravatar funciona por baixo dos panos

O processo técnico por trás do Gravatar é direto, mas tem implicações importantes de privacidade. Quando o WordPress precisa exibir um avatar para um usuário ou comentarista, ele pega o endereço de e-mail, converte para minúsculas, remove espaços em branco e gera um hash MD5. Por exemplo, o e-mail user@example.com vira algo como b58996c504c5638798eb6b511e6f49af.

O WordPress então constrói uma URL de imagem assim:

https://secure.gravatar.com/avatar/b58996c504c5638798eb6b511e6f49af?s=96&d=mm

O parâmetro s define o tamanho da imagem (96 pixels neste caso), e o parâmetro d especifica uma imagem padrão a exibir caso não exista Gravatar para aquele hash. Quando o navegador de um visitante carrega a página, ele faz uma requisição HTTP para secure.gravatar.com a fim de buscar cada imagem de avatar. Essa requisição inclui o endereço IP do visitante (como qualquer requisição HTTP), e a própria URL contém o hash MD5 do e-mail do comentarista.

Hashes MD5 são teoricamente unidirecionais, mas, na prática, são facilmente reversíveis para endereços de e-mail comuns. Tabelas rainbow e serviços de consulta de hash conseguem frequentemente converter um MD5 de volta ao e-mail original. Isso significa que URLs de Gravatar não são realmente anonimizadas.

Onde o WordPress usa Gravatar por padrão

Imagens do Gravatar aparecem em vários lugares de um site WordPress, nem todos óbvios:

  • Seções de comentários: cada comentário exibe o Gravatar do comentarista ao lado do nome. Em um post com 50 comentários, são 50 requisições separadas aos servidores do Gravatar.
  • Painel administrativo: a área administrativa do WordPress mostra Gravatares para o usuário logado, em listas de usuários e no widget "De relance".
  • Caixas de bio do autor: muitos temas exibem o Gravatar do autor na seção de bio abaixo dos posts.
  • Páginas de perfil de usuário: na administração do WordPress, perfis de usuário usam Gravatar como fonte padrão de avatar.
  • BuddyPress e bbPress: se você usa esses plugins de comunidade, Gravatares aparecem em fóruns, diretórios de membros e fluxos de atividade.
  • Avaliações do WooCommerce: avaliações de produto exibem Gravatares dos avaliadores assim como comentários de blog.

O problema do GDPR e DSGVO em detalhes

O General Data Protection Regulation (GDPR, ou DSGVO em alemão) exige que dados pessoais sejam processados apenas com base legal, tipicamente consentimento informado. O comportamento padrão do Gravatar no WordPress cria várias questões de conformidade com o GDPR:

Transmissão de endereço IP: quando o navegador de um visitante busca uma imagem do Gravatar, o IP é enviado aos servidores da Automattic (localizados nos Estados Unidos). Endereços IP são considerados dados pessoais sob o GDPR. Essa transferência de dados acontece sem o conhecimento ou consentimento do visitante, e não há mecanismo no WordPress para pedir permissão antes de carregar Gravatares.

Exposição de hash de e-mail: o hash MD5 do endereço de e-mail de cada comentarista é embutido na URL do Gravatar, visível no código-fonte HTML da página. Embora seja um hash em vez do e-mail puro, ainda é considerado dado pessoal porque pode ser revertido ou usado para rastrear a mesma pessoa em múltiplos sites. A Automattic recebe esses hashes como parte de cada requisição de imagem.

Potencial de rastreamento entre sites: como o Gravatar usa o mesmo hash de e-mail em todos os sites, a Automattic pode, teoricamente, construir um perfil de em quais sites uma pessoa comenta. Mesmo que não façam isso ativamente, a capacidade técnica existe, e é nisso que a conformidade com o GDPR foca.

Transferência de dados a um país terceiro: a Automattic é uma empresa sediada nos EUA. Após a decisão Schrems II do Tribunal de Justiça Europeu em 2020, transferir dados pessoais para os EUA requer salvaguardas adicionais. Muitos especialistas jurídicos consideram que o uso padrão do Gravatar em sites europeus é não conforme, porque não há um Acordo de Processamento de Dados em vigor e não há forma de obter o consentimento adequado antes que a transferência de dados ocorra.

As autoridades alemãs de proteção de dados têm sido particularmente rigorosas sobre essa questão. Várias decisões judiciais e pareceres regulatórios concluíram que carregar imagens do Gravatar sem consentimento viola o GDPR. A situação jurídica é muito parecida com a conhecida decisão sobre o Google Fonts, em que um tribunal de Munique ordenou indenização por carregar Google Fonts de servidores externos sem consentimento.

Impacto de desempenho no seu site WordPress

Além da privacidade, o Gravatar também afeta o desempenho de carregamento do seu site. Cada imagem do Gravatar exige uma requisição HTTP separada a um servidor externo. Em um post de blog com muitos comentários, isso pode somar rapidamente:

  • Cada avatar exige uma consulta DNS para secure.gravatar.com (ao menos na primeira requisição).
  • Cada imagem é uma requisição HTTP separada com sua própria sobrecarga de latência.
  • Se os servidores do Gravatar estiverem lentos ou inacessíveis, a renderização da sua página trava enquanto o navegador espera as imagens.
  • Imagens do Gravatar não podem ser otimizadas pelos seus plugins locais de cache ou de otimização de imagem.
  • Limites de conexão do navegador significam que muitas requisições simultâneas ao Gravatar podem bloquear o carregamento dos seus próprios recursos.

Em uma página com 30 comentários, você pode estar adicionando 30 requisições HTTP externas que os navegadores dos seus visitantes precisam fazer antes que a página esteja totalmente carregada. Para visitantes em conexões móveis lentas, esse é um atraso perceptível.

Alternativas ao Gravatar no WordPress

Existem várias abordagens para substituir o Gravatar mantendo a exibição de avatares no seu site WordPress:

  • Desabilitar avatares por completo: em Configurações > Discussão, desmarque "Mostrar avatares". É a solução mais simples, mas remove a identidade visual dos comentários.
  • Usar avatares gerados localmente: plugins como "Simple Local Avatars" ou "WP User Avatar" permitem que usuários enviem fotos de perfil armazenadas no seu próprio servidor. Sem requisições externas, sem preocupações de privacidade.
  • Avatares padrão gerados: o WordPress pode gerar avatares geométricos simples (como identicons ou padrões retrô) baseados no hash do e-mail, sem contatar os servidores do Gravatar. Alguns plugins implementam isso localmente.
  • Cache local do Gravatar: plugins como "Avatar Privacy" ou "Cache Gravatar" baixam imagens do Gravatar uma vez e as servem do seu servidor local. Isso preserva a experiência do Gravatar enquanto elimina requisições externas a cada carregamento de página. Entretanto, o download inicial ainda envia dados ao Gravatar, então só resolve parcialmente a questão do GDPR.
  • Carregamento baseado em consentimento: alguns plugins de consentimento de cookies do GDPR podem bloquear o carregamento do Gravatar até que o visitante dê consentimento. Essa é a abordagem mais conforme se você quiser continuar usando Gravatar, mas significa que os avatares ficam invisíveis até o consentimento ser dado.

O que o InspectWP verifica

O InspectWP examina o código-fonte HTML do seu site WordPress e as requisições de rede em busca de conexões com gravatar.com ou secure.gravatar.com. Se qualquer imagem do Gravatar for detectada, o relatório a sinaliza como uma preocupação de GDPR na seção de privacidade. Esse alerta indica que seu site está transferindo dados pessoais (endereços IP de visitantes e hashes de e-mail) para os servidores da Automattic nos EUA sem um mecanismo explícito de consentimento. O relatório recomenda desabilitar o Gravatar por completo, migrar para avatares hospedados localmente ou implementar uma solução de carregamento baseada em consentimento.

Artigo anterior

O que é a REST API do WordPress?

Próximo artigo

O que é HTTP/2?

Artigos relacionados

O que é uma meta description?

O que é conteúdo misto?

O que é lazy loading?

Ver todos os artigos

Verifique seu site WordPress agora

O InspectWP analisa seu site WordPress em busca de problemas de segurança, problemas de SEO, conformidade com GDPR e desempenho — gratuitamente.

Analise seu site grátis