Cookies no WordPress

Cookies WordPress são pequenos arquivos de texto que o servidor pede ao navegador para armazenar e devolver em requisições futuras. Servem para manter sessões logadas, salvar preferências do usuário, rastrear comportamento para análise e personalizar experiência. Em sites WordPress, cookies são usados desde 2003 para login do administrador, comentários e carrinho do WooCommerce. Desde a entrada em vigor da LGPD em 2020 e do GDPR europeu em 2018, gerenciar cookies virou obrigação legal e exige consent banner explícito em qualquer site brasileiro com tráfego comercial.

O que são cookies

Tecnicamente, cookies são pares chave-valor armazenados pelo navegador a pedido do servidor via header Set-Cookie. Cada cookie tem nome, valor, domínio que pode ler, caminho válido, tempo de expiração e flags como Secure (só HTTPS), HttpOnly (inacessível para JavaScript), SameSite (controle de envio cross-site).

Em WordPress, o core seta dois cookies essenciais. Quando você loga, o WordPress cria wordpress_logged_in_xxx (autenticação) e wp-settings-xxx (preferências do painel). Esses cookies viram o passe que valida cada requisição admin. Apagá-los desloga o usuário; alterá-los corrompe a sessão. Eles ficam armazenados por tempo definido em wp-config.php.

O que são cookies em sites com WooCommerce vai além. O plugin seta woocommerce_cart_hash, wp_woocommerce_session_xxx e woocommerce_items_in_cart, todos relacionados ao carrinho. Sem cookies, carrinho de compras não funciona porque o servidor não consegue manter contexto entre cliques.

Plugins de marketing setam centenas de cookies adicionais. Google Analytics seta _ga, _gid, _gat. Facebook Pixel seta _fbp. Hotjar, Clarity, Mixpanel, ActiveCampaign, todos contribuem com cookies próprios. Em um site WordPress típico com 5-10 plugins de marketing, é normal ter mais de 30 cookies ativos por visita.

Tipos de cookies: sessão, persistente, terceiros

A taxonomia oficial de cookies se divide em três grandes eixos: duração, origem e finalidade. Conhecer essa taxonomia é o que permite configurar consent banner corretamente.

Por duração, cookies se dividem em sessão e persistente. Cookies de sessão expiram quando o navegador é fechado. São usados para manter contexto temporário (carrinho de compras, formulário em preenchimento). Cookies persistentes têm expiração definida (1 dia, 30 dias, 1 ano) e ficam armazenados mesmo após fechar o navegador. São usados para login persistente, preferências, tracking.

Por origem, cookies se dividem em primários (first-party) e terceiros (third-party). Cookies primários são setados pelo próprio domínio que o usuário visita. Cookies de terceiros são setados por domínios externos carregados na página, como Google Analytics, Facebook Pixel, Hotjar. Os terceiros são o foco principal das leis de privacidade porque rastreiam usuário através de múltiplos sites.

Por finalidade, cookies se dividem em quatro categorias usadas em consent banners. Necessários (login, carrinho, preferência de idioma) são essenciais para o site funcionar e isentos de consentimento. Funcionais (lembrar nome, exibir banner uma vez só) melhoram a experiência mas não são essenciais. Analíticos (Google Analytics, Hotjar) coletam dados de uso. Marketing (Pixel Meta, ads remarketing) rastreiam para anúncios.

A LGPD e o GDPR exigem consentimento explícito apenas para cookies não-essenciais (funcionais, analíticos, marketing). Cookies necessários podem rodar sem consent. Bons plugins de consent banner fazem essa separação automaticamente.

Cookies e LGPD/GDPR

Cookies lgpd é tópico que virou obrigação operacional para qualquer site WordPress brasileiro com tráfego comercial desde 2020. A Lei Geral de Proteção de Dados (LGPD) brasileira é praticamente espelho do GDPR europeu, com pequenas diferenças de aplicação.

O que a LGPD exige na prática: o usuário deve receber informação clara sobre quais cookies o site usa antes de eles serem ativados, deve consentir explicitamente (opt-in) para cookies não-essenciais, deve poder retirar consentimento a qualquer momento e deve poder acessar a política de cookies completa em uma página dedicada.

Banner que carrega o Google Analytics antes do clique no “Aceitar” descumpre a lei. Banner com botão “Aceitar” verde gigante e “Recusar” cinza pequeno descumpre o princípio de paridade de escolha. Banner que aceita por scroll também descumpre, segundo orientação da ANPD (Autoridade Nacional de Proteção de Dados) atualizada em 2023.

O modelo correto é: banner aparece no primeiro acesso, oferece três botões com peso visual equivalente (“Aceitar todos”, “Recusar todos”, “Personalizar”), e os cookies não-essenciais só são carregados após clique em Aceitar ou após escolha personalizada. Se o usuário fechar o banner sem clicar, o padrão é não consentir.

Multas por descumprimento podem chegar a 2% do faturamento da empresa, com teto de R$ 50 milhões por infração. A ANPD vem aplicando fiscalização desde 2023, com casos públicos de empresas brasileiras autuadas. Para sites comerciais, descumprir é risco financeiro e reputacional. Combine com LGPD WordPress bem implementada.

Documentação interna

Além do consent banner, a empresa precisa manter um registro interno de tratamento de dados, indicando quais cookies coletam quais dados, com qual finalidade, por quanto tempo armazenam e quem é o controlador. Esse registro é exigido em fiscalizações e pode evitar multas em caso de questionamento.

Plugins de consent banner

O mercado brasileiro tem opções consent banner wordpress maduras e gratuitas para a maioria dos casos. Cinco plugins dominam.

Complianz é o mais completo no mercado. Detecta automaticamente quais cookies o site usa, sugere a categorização correta, gera política de cookies em português, suporta LGPD, GDPR, CCPA e dezenas de outras leis. Versão gratuita resolve sites pequenos e médios; versão Pro custa €69/ano e adiciona analytics integrado, A/B test e geo-targeting.

CookieYes é alternativa gratuita popular, com interface mais simples e setup em 10 minutos. Suporta LGPD nativamente em português. Banner funciona bem em sites WordPress padrão sem customização extra.

Iubenda é serviço pago focado em compliance. Gera política de cookies, política de privacidade, termos de uso e consent banner em conjunto, em mais de 10 idiomas. Para empresas que querem solução completa de privacidade sem montar do zero.

O Cookie Notice & Compliance é o plugin mais leve do mercado. Banner simples, sem categorização avançada, ideal para sites institucionais que apenas precisam mostrar aviso legal sem implementar bloqueio real de scripts. Não recomendado para sites comerciais com Google Analytics e Pixel ativos.

Para sites com múltiplos pixels e ferramentas de tracking, integrar consent banner com Google Tag Manager é o caminho profissional. O banner controla variáveis no GTM, e o GTM bloqueia ou libera disparos conforme o consentimento. Isso permite gerenciar Google Analytics, Pixel Meta, TikTok Pixel e outros via uma camada única, sem hardcode no tema.

Implementar mal o consent banner pode quebrar o tracking de Google Analytics ou exibir banner duplicado. Vale testar em ambientes de homologação antes de subir para produção.

Para sites WordPress que precisam de consent banner profissional, integração com Google Tag Manager, segurança ajustada e LGPD na régua, a FULL Services entrega o AIOS (All In One Security) já licenciado dentro da stack profissional, junto com a curadoria de plugins de privacidade e proteção. Em vez de testar plugin por plugin, você roda em base validada com privacidade e segurança configuradas desde o início.