O que são Cookies?

Cookies são pequenos arquivos de texto que sites armazenam no navegador do visitante. Tecnicamente, cada cookie é um par chave-valor com metadados adicionais (data de expiração, domínio, caminho, flags de segurança). O navegador envia todos os cookies correspondentes de volta ao servidor a cada requisição HTTP, que é como sites "lembram" coisas entre carregamentos de página. O WordPress usa cookies para sessões de login, preferências do administrador, formulários de comentário e diversos propósitos de rastreamento.

Como cookies funcionam em nível técnico

Quando seu site WordPress envia uma resposta a um navegador, ela pode incluir um ou mais cabeçalhos Set-Cookie. Cada cabeçalho define um cookie com um nome, um valor e atributos opcionais como tempo de expiração e escopo. Em cada requisição subsequente ao mesmo domínio (e caminho correspondente), o navegador inclui automaticamente esses cookies no cabeçalho de requisição Cookie. O servidor os lê e usa os dados armazenados para identificar o usuário, restaurar o estado da sessão ou rastrear o comportamento.

Esse mecanismo é o que torna sessões de login possíveis. Sem cookies, o servidor não teria como saber que a pessoa solicitando o painel é a mesma pessoa que acabou de digitar uma senha na página de login.

Cookies de primeira parte vs. cookies de terceiros

A distinção entre cookies de primeira parte e cookies de terceiros é central para regulamentações de privacidade e importa para todo dono de site WordPress:

• Cookies de primeira parte: Definidos pelo seu próprio domínio. Eles incluem cookies de sessão de login do WordPress, preferências de consentimento GDPR armazenadas pelo plugin de banner de cookies, conteúdos do carrinho do WooCommerce e quaisquer cookies que seu tema ou código personalizado crie. Cookies de primeira parte são geralmente considerados menos invasivos à privacidade porque operam apenas dentro do seu próprio site.
• Cookies de terceiros: Definidos por domínios externos por meio de recursos carregados em sua página. Quando seu site WordPress carrega o Google Analytics, o Pixel do Facebook, um embed do YouTube ou um script de publicidade, esses serviços definem seus próprios cookies em domínios diferentes. Cookies de terceiros podem rastrear visitantes em vários sites, e é por isso que são o principal alvo das regulamentações de privacidade. Os principais navegadores como Safari e Firefox já bloqueiam cookies de terceiros por padrão, e o Chrome também está eliminando-os gradualmente.

Cookies de sessão vs. cookies persistentes

Cookies também diferem em quanto tempo duram:

• Cookies de sessão: Esses cookies não têm data de expiração explícita. Existem apenas na memória do navegador e são excluídos quando o navegador é fechado. O WordPress usa cookies de sessão para estado temporário que não precisa persistir.
• Cookies persistentes: Esses cookies têm uma data de expiração definida e permanecem armazenados no dispositivo do visitante até que essa data chegue (ou o usuário os limpe manualmente). O cookie de login do WordPress wordpress_logged_in_* é um cookie persistente que tipicamente dura 48 horas, ou 14 dias se o usuário marcar "Lembrar de mim". Cookies do Google Analytics como _ga persistem por 2 anos por padrão.

Cookies padrão do WordPress explicados

Uma instalação padrão do WordPress define vários cookies, todos com propósitos específicos:

• wordpress_test_cookie: Definido na página de login para verificar se o navegador aceita cookies. Se esse cookie for bloqueado, o WordPress exibe um erro dizendo que cookies devem estar habilitados para fazer login.
• wordpress_logged_in_[hash]: O principal cookie de autenticação para usuários logados. Contém o nome de usuário, um carimbo de tempo de expiração e um hash que verifica se o cookie não foi adulterado. Esse cookie é usado para identificar o usuário no frontend.
• wordpress_[hash]: Um cookie de autenticação separado usado apenas na área administrativa (/wp-admin/). Fornece uma camada adicional de segurança ao limitar o acesso a funções de administração.
• wp-settings-[uid]: Armazena preferências da interface administrativa específicas do usuário, como o modo do editor (visual vs. código), o número de itens por página em listas administrativas e estados de painel.
• wp-settings-time-[uid]: Registra quando o cookie wp-settings foi atualizado pela última vez.
• comment_author_[hash]: Lembra o nome, e-mail e URL que um visitante inseriu em um formulário de comentário, para que não tenha que digitá-los novamente em sua próxima visita. Definido apenas quando um visitante envia um comentário.

Esses cookies padrão do WordPress são todos cookies de primeira parte e geralmente são considerados essenciais (necessários para o funcionamento do site). No entanto, os cookies de comentário às vezes são classificados como não essenciais porque comentar é opcional.

GDPR, ePrivacy e requisitos de consentimento de cookies

O GDPR europeu e a Diretiva ePrivacy estabelecem regras rigorosas sobre cookies. Para donos de site WordPress que têm como alvo visitantes europeus, essas regras se aplicam independentemente de onde seu servidor esteja localizado:

• Cookies essenciais: Cookies estritamente necessários para o funcionamento do site (sessões de login, tokens de segurança, estado do carrinho de compras) não exigem consentimento. Você ainda deve divulgá-los em sua política de privacidade.
• Cookies não essenciais: Cookies de análise, cookies de marketing, cookies de personalização e cookies de rastreamento de terceiros exigem consentimento informado e explícito antes de serem definidos. O visitante deve ativamente optar por participar; caixas pré-marcadas ou banners de "ao continuar a navegar" não são consentimento válido.
• Direito de retirar: Os visitantes devem poder retirar seu consentimento tão facilmente quanto o deram. Seu banner de cookies deve incluir uma forma de alterar preferências a qualquer momento.
• Requisitos de informação: Você deve explicar claramente o que cada cookie faz, quem o define e quanto tempo dura. Essa informação tipicamente é fornecida em uma página de política de cookies ou política de privacidade.

Gestão de consentimento de cookies para o WordPress

O WordPress não inclui um mecanismo de consentimento de cookies por padrão. Você precisa de um plugin de gestão de consentimento. Opções populares incluem:

• Complianz: Um plugin abrangente de consentimento de cookies GDPR/CCPA que detecta automaticamente cookies em seu site e gera políticas de cookies.
• CookieYes: Uma plataforma de gestão de consentimento amplamente usada com plugin WordPress e varredura de cookies baseada em nuvem.
• Real Cookie Banner: Um plugin de consentimento específico para WordPress com forte foco na lei de privacidade alemã/europeia.
• Borlabs Cookie: Um plugin premium de fabricação alemã popular na região DACH. Suporta categorias granulares de cookies e integra-se com muitos serviços de terceiros.

Uma configuração adequada de gestão de consentimento bloqueia cookies e scripts não essenciais até que o visitante dê consentimento. Isso significa que Google Analytics, Pixel do Facebook e serviços similares não devem carregar ou definir cookies até que o visitante clique em "Aceitar" no banner de consentimento.

Flags de segurança de cookies: SameSite, Secure e HttpOnly

Cookies modernos podem incluir flags de segurança que controlam como são transmitidos e acessados:

• Secure: O cookie é enviado apenas em conexões HTTPS. Sem essa flag, cookies poderiam ser interceptados em conexões HTTP não criptografadas.
• HttpOnly: O cookie não pode ser acessado por JavaScript via document.cookie. Isso impede que ataques de cross-site scripting (XSS) roubem cookies de sessão.
• SameSite: Controla se o cookie é enviado com requisições entre sites. O valor Strict significa que o cookie nunca é enviado entre sites. Lax permite o cookie em navegações de nível superior (como clicar em um link), mas o bloqueia em requisições POST entre sites e iframes. None (combinado com Secure) permite que o cookie seja enviado em todos os contextos, o que é necessário para cookies de terceiros que precisam funcionar entre domínios.

O WordPress define a flag HttpOnly em cookies de autenticação por padrão. Você pode aprender mais sobre essas flags em nosso artigo sobre cabeçalhos HTTP de segurança.

Quantos cookies é demais

Cada cookie é enviado com cada requisição HTTP ao domínio correspondente. Isso significa que se seu site WordPress define 20 cookies totalizando 4KB, esses 4KB de dados de cookie são incluídos em cada requisição de páginas, imagens, folhas de estilo, scripts e chamadas AJAX. Em uma página com 80 requisições, isso é 320KB de dados extras viajando para frente e para trás.

Navegadores impõem limites em cookies:

• Por domínio: A maioria dos navegadores permite cerca de 50 cookies por domínio, com um limite total de tamanho de aproximadamente 4KB por cookie.
• Total por cookie: O nome e valor combinados de um único cookie não devem exceder 4.096 bytes.

Se seu site WordPress define muitos cookies (especialmente grandes, vindos de scripts de análise e publicidade), pode tornar os carregamentos de página visivelmente mais lentos. Para evitar isso, considere servir assets estáticos a partir de um domínio ou subdomínio sem cookies e minimize o número de scripts de terceiros que você carrega.

O que o InspectWP verifica

O InspectWP lista todos os cookies definidos pelo seu site WordPress durante a varredura, incluindo seus nomes, valores, domínios, caminhos e atributos de segurança (Secure, HttpOnly, SameSite). Isso ajuda você a identificar cookies de terceiros que podem exigir consentimento GDPR, detectar cookies de serviços que você não adicionou conscientemente e verificar se seus cookies de autenticação têm as flags de segurança apropriadas definidas. A lista de cookies em seu relatório do InspectWP é um ponto de partida útil para construir ou atualizar sua política de cookies.