WordPress cookie compliance — komplet guide 2026
WordPress driver næsten halvdelen af alle websites på internettet. Det er platformen bag alt fra personlige blogs til store e-commerce butikker og virksomhedssites. Og det er præcis dét, der gør WordPress til et særligt compliance-problem.
Fordi WordPress er så fleksibelt og plugin-drevet, er det langt sværere at have styr på, hvilke cookies dit site faktisk sætter. Et nyt plugin kan tilføje tre nye tracking-cookies. En opdatering af et eksisterende plugin kan ændre cookie-adfærden. Et tema kan have hardkodet Google Analytics i sin header.php. Et embeds fra YouTube eller Vimeo sætter cookies, inden brugeren har set en eneste video.
Resultatet er, at mange WordPress-sites tror de er compliant — men faktisk ikke er det.
Denne guide giver dig det komplette overblik over WordPress cookie compliance i 2026: hvad WordPress sætter som standard, hvilke plugins der er bedst, og hvordan du implementerer en løsning der faktisk virker.
WordPress og cookies — et særligt problem
Det fundamentale problem med WordPress og cookies er kombinationen af to ting: WordPress’ plugin-arkitektur og JavaScripts natur.
WordPress core sætter kun et lille antal cookies ud af boksen. Men de fleste WordPress-installationer kører med 10-30 aktive plugins. Hvert plugin kan sætte egne cookies. Mange plugins indlæser tredjeparts scripts — og de tredjeparts scripts kan sætte cookies fra deres egne domæner, uden at du som site-ejer nødvendigvis er klar over det.
Dertil kommer, at mange WordPress-temaer indlæser Google Fonts, Google Maps eller sociale medie-widgets som standard. Disse skaber forbindelser til tredjeparts servere, som kan registrere besøgendes IP-adresser og sætte cookies — selv om du aldrig bevidst har tilføjet tracking til dit site.
Under GDPR er du som dataansvarlig ansvarlig for alt dette. Uvidenheden fritager dig ikke.
Hvad WordPress sætter af cookies som standard
WordPress core cookies
En frisk WordPress-installation uden plugins sætter kun følgende cookies:
wordpress_test_cookie
En test-cookie der bruges til at verificere, at browseren accepterer cookies. Slettes igen med det samme. Sættes ved login.
wordpress_[hash]
Session-cookie der bruges til autentificering i admin-panelet. Sættes kun for indloggede brugere.
wordpress_logged_in_[hash]
Fortæller WordPress, om du er logget ind og hvem du er. Sættes kun for indloggede brugere.
wp-settings-[userid] og wp-settings-time-[userid]
Gemmer UI-præferencer i WordPress admin. Sættes kun for indloggede brugere.
comment_author_[hash], comment_author_email_[hash], comment_author_url_[hash]
Husker navn og email for brugere der kommenterer. Sættes efter en kommentar er indsendt. Udløber efter 347 dage som standard.
Alle WordPress core cookies er enten strengt nødvendige (login/session) eller funktionelle (kommentar-huskning). De kræver normalt ikke aktivt samtykke, men kommentar-cookies er et gråzoneområde i visse fortolkninger af ePrivacy-direktivet.
WooCommerce cookies
WooCommerce tilføjer et betydeligt antal cookies, de fleste er nødvendige for at en webshop kan fungere:
woocommerce_cart_hash
En hash af indkøbskurvens indhold. Bruges til at afgøre om indkøbskurven har ændret sig. Sættes som session-cookie.
woocommerce_items_in_cart
Angiver om der er varer i kurven. Bruges til at vise/skjule kurv-ikonet.
wp_woocommerce_session_[hash]
Indeholder session-data for den aktuelle besøgende, herunder kurvindhold. Udløber efter to dage som standard.
woocommerce_recently_viewed
Husker senest viste produkter til “Senest viste produkter”-widgetten. Sættes kun ved produktvisning.
store_notice[id]
Husker om brugeren har lukket en butiksmeddelelse.
Disse WooCommerce-cookies er strengt nødvendige eller funktionelle og kræver ikke samtykke. Men WooCommerce-butikker har ofte tilkoblet Google Analytics, Facebook Pixel, Klaviyo, og diverse andre marketing-værktøjer — og det er dem, der kræver samtykke.
Populære plugins der sætter cookies
Her er en oversigt over de mest udbredte cookies fra populære WordPress-plugins og integrationer:
Google Analytics 4 (via Site Kit, GA4 snippet eller GTM)
_ga— Unikt browser-ID, 2 år_ga_[ID]— Session-status, 2 år_gid— Session-cookie, 24 timer Kategori: Analytisk. Kræver samtykke.
Meta Pixel (Facebook)
_fbp— Browser-identifikator for Meta, 3 måneder_fbc— Click-ID fra Facebook-annoncer, 3 måneder Kategori: Marketing. Kræver samtykke.
Google Ads (Remarketing)
_gcl_au— Konverteringssporing, 3 måneder Kategori: Marketing. Kræver samtykke.
Hotjar
_hjSessionUser_[id]— Unikt bruger-ID, 1 år_hjSession_[id]— Session-data, 30 minutter Kategori: Analytisk. Kræver samtykke.
Jetpack
jetpack_comments_subscribe_[hash]— Kommentarabonnement Kategori: Funktionel.
Contact Form 7, WPForms og lignende
Disse sætter normalt ikke egne cookies, men kan indlæse reCAPTCHA (Google), som sætter _GRECAPTCHA.
WordPress cookie compliance krav
De primære lovkrav, der gælder for europæiske WordPress-sites i 2026:
GDPR (General Data Protection Regulation)
- Gælder for alle sites der behandler data fra EU-borgere — uanset hvor sitet er hostet
- Kræver eksplicit, forudgående samtykke til ikke-nødvendige cookies
- Samtykke skal være frivilligt, specifikt, informeret og utvetydigt
- Afvisning skal være lige så let som accept
- Samtykke skal dokumenteres og kunne bevises
ePrivacy-direktivet (Cookie Law)
- Supplerer GDPR med specifikke regler for elektronisk kommunikation og cookies
- Kræver forudgående samtykke til ikke-nødvendige cookies
- Gælder på tværs af hele EU
Google EU User Consent Policy
- Kræver at du bruger Google Consent Mode v2, hvis du anvender Google Analytics 4, Google Ads eller Floodlight med EU-trafik
- Håndhæves aktivt siden marts 2024
Praktiske konsekvenser for dit WordPress-site:
- Du skal have en consent-banner der blokerer ikke-nødvendige scripts, inden samtykke er givet
- Du skal tilbyde en ægte “Afvis alle”-mulighed
- Din cookie policy skal liste alle cookies med formål og leverandør
- Du skal kunne dokumentere consent (logning)
- Brugere skal nemt kunne ændre eller trække samtykke tilbage
De bedste WordPress cookie plugins 2026
Markedet for WordPress cookie-plugins er stort og uoverskueligt. Her er en gennemgang af de plugins, der i 2026 er bedst dokumenterede og mest udbredte.
Complianz
Hjemmeside: complianz.io Installationer: 1.000.000+ aktive installationer Rating: 4.8/5 (1.500+ anmeldelser) Pris: Gratis grundversion / Premium fra ca. €59/år per site
Complianz er et hollandsk plugin med mere end en million aktive installationer. Det er bygget specifikt til WordPress og fokuserer på regelbaseret, geo-baseret consent management.
Fordele:
- Detaljeret opsætningsguide der leder dig igennem processen trin for trin
- Geo-baseret adfærd — viser kun banneret der, hvor det er juridisk påkrævet
- Understøtter GDPR, CCPA, LGPD, PIPEDA og en lang række andre regelsæt
- Automatisk cookie-scanning ved opsætning
- Genererer tilpasset cookie policy baseret på scanningsresultaterne
- Script-blokering der automatisk identificerer og blokerer kendte tracking-scripts
- Google Consent Mode v2 understøttelse (via GTM-integration)
- IAB TCF 2.2-understøttelse
- Understøtter Google Tag Manager
Ulemper:
- GTM + Consent Mode v2-integrationen har historisk vist sig at have edge cases med tagging på undersider (problemer rapporteret fra brugergrupper i 2025-2026)
- Konfigurationen kan være kompleks for begyndere trods guiden
- Premium er nødvendigt for en del avancerede funktioner (statistik, whitelabel osv.)
Passer bedst til: Sites med international trafik der har brug for geo-specifik compliance. Teknisk erfarne WordPress-brugere.
CookieYes
Hjemmeside: cookieyes.com Installationer: 1.000.000+ aktive installationer Rating: 4.9/5 på WordPress.org Pris: Gratis plan (op til 5.000 pageviews/måned) / Betalte planer fra ca. €9-50/måned
CookieYes er et britisk SaaS-baseret consent management-produkt med stærk WordPress-integration. Det er konsistent rangeret som et af de bedste alternativer og har en meget høj brugerrating.
Fordele:
- Meget brugervenlig opsætning med tydelig guide
- Automatisk cookie-scanning og kategorisering
- Script-autoblock der virker out-of-the-box
- Google Consent Mode v2 understøttelse inkl. alle fire signaler
- Understøtter GDPR, CCPA, LGPD og andre regelsæt
- Geo-targeting (betalte planer)
- Detaljerede consent-logs
- Flot og moderne banner-design med mange tilpasningsmuligheder
- CSS-tilpasning (betalte planer)
Ulemper:
- SaaS-baseret — dine consent-data behandles på CookieYes’ servere
- Den gratis plan er begrænset til 5.000 pageviews om måneden
- Prisen stiger hurtigt for sites med meget trafik
Passer bedst til: Små og mellemstore WordPress-sites der ønsker en nem, moderne løsning uden teknisk kompleksitet.
Cookiebot (by Usercentrics)
Hjemmeside: cookiebot.com Installationer: 700.000+ aktive installationer Rating: 4.4/5 på WordPress.org Pris: Gratis op til 50 sider / Betalte planer fra ca. €9-10/måned
Cookiebot er en af de mest kendte consent management-løsninger globalt. Den er nu ejet af Usercentrics og er en SaaS-løsning med en WordPress-plugin til integration.
Fordele:
- Automatisk månedlig cookie-scanning (registrerer nye cookies automatisk)
- Meget stærk Google Ads og Analytics-integration
- Google Consent Mode v2-understøttelse
- IAB TCF-understøttelse
- Velkendt brand med juridisk stærkt dokumenteret compliance
- Stærk integration med Google Tag Manager
Ulemper:
- Gratis plan er begrænset til sites med maksimalt 50 sider — meget restriktivt
- Prisen stiger markant med antallet af domæner
- Begrænset tilpasning på gratis-planen (kun ét sprog)
- Ingen subdomain-consent-deling på gratis-planen
Passer bedst til: Virksomheder der primært kører Google Ads og prioriterer tæt Google-integration. Sites med betalingsbudget til en solid enterprise-løsning.
Cookie Notice by dFactory
Hjemmeside: cookie-notice.com / hu-manity.co Installationer: 1.000.000+ aktive installationer Rating: 4.8/5 på WordPress.org Pris: Gratis grundfunktionalitet / Pro fra $14.95/måned
Cookie Notice er et af de ældste og mest udbredte cookie-plugins for WordPress. Det tilbyder en enkel, letvægts-tilgang til cookie-consent.
Fordele:
- Meget nem opsætning
- Letvægt og hurtig
- Stor udbredelse og velafprøvet
Ulemper:
- Den gratis version er grundlæggende og mangler avanceret script-blokering
- Fuld GDPR-compliance med detaljeret kategorisering og logging kræver Premium (Cookie Compliance Pro)
- Mindre aktivt vedligeholdt end de andre alternativer i denne liste
Passer bedst til: Simple sites med minimale cookie-krav og lav trafik.
GDPR Cookie Compliance by Moove
Hjemmeside: mooveagency.com Installationer: 100.000+ aktive installationer Rating: 5/5 (og har ligget stabilt højtfor nylig) Pris: Gratis version tilgængelig / Premium fra ca. £59/år
GDPR Cookie Compliance fra Moove Agency er et velholdt plugin med stærk funktionalitet og en god gratis version.
Fordele:
- Gratis version inkluderer script-blokering
- God GDPR-compliance uden for meget kompleksitet
- Understøtter Google Consent Mode v2
- Tilpasningsvenlig banner-design
Ulemper:
- Mindre udbredt end Complianz og CookieYes — fællesskabet er mindre
- Færre integrationer end de store alternativer
Passer bedst til: WordPress-sites der ønsker en solid gratis løsning med mulighed for at opgradere.
Sammenligningstabel: WordPress cookie plugins 2026
| Plugin | Rating | Gratis plan | Betalt fra | Auto-scan | Script-blokering | Consent Mode v2 | IAB TCF |
|---|---|---|---|---|---|---|---|
| CookieYes | 4.9/5 | Ja (5k PV/md) | ~€9/md | Ja | Ja | Ja | Ja |
| Complianz | 4.8/5 | Ja | €59/år | Ja | Ja | Ja | Ja |
| Cookiebot | 4.4/5 | Ja (max 50 sider) | ~€10/md | Ja (månedlig) | Ja | Ja | Ja |
| Cookie Notice | 4.8/5 | Begrænset | $14.95/md | Nej (gratis) | Begrænset (gratis) | Ja (Pro) | Nej |
| GDPR Cookie Compliance | 5/5 | Ja | £59/år | Delvist | Ja | Ja | Nej |
Privaci.io by bon.do og WordPress
Privaci.io er ikke et WordPress-plugin i traditionel forstand — det er en dedikeret cookie scanner og audit-platform der arbejder i lag med din eksisterende consent management-løsning.
Problemet med WordPress-plugins, selv de bedste, er at de scanner og blokerer baseret på kendte mønstre. De ved ikke nødvendigvis, hvad der præcis sker på dit specifikke site — de bygger på databaser af kendte cookies. Privaci.io udfører faktisk crawling af dit website som en rigtig browser ville, og opdager alle cookies der sættes i praksis.
Hvad Privaci.io tilbyder WordPress-sites
- Automatiseret crawling af alle sider på dit website, ikke kun forsiden
- Kontinuerlig overvågning der opdager nye cookies, når de tilføjes
- Dokumentation klar til brug i din cookie policy med korrekte kategorier og leverandøroplysninger
- Alerting når nye cookies opdages, så du kan reagere hurtigt
- Historisk sammenligning der viser hvad der har ændret sig siden sidst
Integration guide: Privaci.io med WordPress
Privaci.io fungerer som et overliggende lag der dokumenterer din cookie-situation, mens dit WordPress-plugin (Complianz, CookieYes osv.) håndterer den tekniske blokering og consent-håndtering.
Trin 1: Opret en konto på Privaci.io Gå til privaci.io og opret en konto. Indtast dit WordPress-sites URL.
Trin 2: Verificer dit domæne Følg verifikationsprocessen for at bekræfte, at du er ejer af domænet.
Trin 3: Kør den første scanning Privaci.io crawler dit website og genererer en komplet liste over alle cookies og tracking-scripts. Dette tager typisk få minutter.
Trin 4: Gennemgå scanningsresultaterne Gennemgå de identificerede cookies. Verificer at kategoriseringen er korrekt (Privaci.io bruger en løbende opdateret cookies-database).
Trin 5: Brug dokumentationen i dit cookie-plugin Eksporter cookie-listen og brug den til at opdatere din cookie policy og konfigurere dine blokerings-regler i Complianz, CookieYes eller dit foretrukne plugin.
Trin 6: Opsæt løbende overvågning Konfigurer Privaci.io til at scanne dit site regelmæssigt og sende dig alerts, når nye cookies opdages.
Google Consent Mode v2 på WordPress
Google Consent Mode v2 er obligatorisk for alle WordPress-sites der anvender Google Analytics 4, Google Ads, Google Tag Manager eller andre Google Marketing Platform-produkter med trafik fra EEA (European Economic Area) og UK.
Siden håndhævelsen startede i marts 2024, risikerer sites uden korrekt implementering at miste konverteringssporing og funktionalitet i Google Ads.
De fire consent-signaler du skal implementere
Google Consent Mode v2 kræver at du sender fire specifikke signaler:
analytics_storage
Styrer om Google Analytics-cookies må sættes. Ved denied sender Google Analytics stadig pings (i Advanced mode), men uden cookies — disse bruges til modellering.
ad_storage
Styrer om reklame-relaterede cookies fra Google må sættes.
ad_user_data (ny i v2)
Styrer om brugerdata (f.eks. email-hashes) må sendes til Google’s annonceringsplatform.
ad_personalization (ny i v2)
Styrer om data må bruges til personaliserede annoncer og remarketing.
Alle fire skal som standard sættes til denied for EEA-brugere, med mindre brugeren aktivt har samtykket.
Advanced vs. Basic Consent Mode
Der er to implementeringsmåder:
Basic Consent Mode: Ingen data sendes til Google, inden samtykke er givet. Tags afventes. Dette er den simpleste implementering, men den mister muligheden for konverteringsmodellering.
Advanced Consent Mode: Cookieless pings sendes til Google selv uden samtykke. Google bruger disse til at modellere konverteringer du ellers ville miste. Dette kræver at koden initialiseres med denied status, inden siden indlæses — og at den opdateres til granted efter samtykke.
Alle de store WordPress-plugins (Complianz, CookieYes, Cookiebot) understøtter Advanced Consent Mode. Det anbefales for sites der bruger Google Ads aktivt.
Praktisk implementering på WordPress
Opsætning med Complianz:
- Installer Complianz og konfigurer den via setup-guiden
- Under Integrations > Google Tag Manager: tilføj dit GTM-container-ID
- Complianz indsætter automatisk consent defaults i
<head> - Verificer implementeringen med Google Tag Assistant
Opsætning med CookieYes:
- I CookieYes dashboard under Integrations: aktiver Google Consent Mode v2
- Vælg Advanced mode
- CookieYes indsætter automatisk de korrekte
gtag('consent', 'default', {...})kald - Verificer med Tag Assistant at alle fire signaler vises
Manuel implementering (hvis dit plugin ikke understøtter det):
Tilføj følgende kode tidligst muligt i <head>, inden GTM eller GA4:
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('consent', 'default', {
'ad_storage': 'denied',
'ad_user_data': 'denied',
'ad_personalization': 'denied',
'analytics_storage': 'denied',
'wait_for_update': 2000
});
</script>Herefter skal dit CMP sørge for at opdatere disse værdier med gtag('consent', 'update', {...}) når brugeren giver eller afviser samtykke.
WooCommerce specifikt: e-commerce cookies og compliance
WooCommerce-sites har et særligt compliance-behov, fordi de kombinerer strengt nødvendige funktions-cookies (kurv, session, checkout) med marketing-cookies (konverteringssporing, remarketing).
Cookies der er nødvendige for WooCommerce funktionalitet
Disse cookies kræver ikke samtykke og må ikke blokeres af din consent-løsning:
woocommerce_cart_hash— kurvens indholdwp_woocommerce_session_*— session-datawoocommerce_items_in_cart— kurvindikator
Hvis disse blokeres, holder kurven og checkout op med at fungere.
Cookies der kræver samtykke i en WooCommerce-butik
Ud over de standard tracking-cookies har WooCommerce-butikker typisk:
Google Enhanced Conversions
Hvis du bruger Google Ads med enhanced conversions, sender du hashed-brugerdata til Google ved et køb. Dette kræver ad_user_data: granted.
Facebook Conversions API + Pixel
_fbp og _fbc til remarketing og konverteringssporing. Kræver samtykke.
Klaviyo, Mailchimp og lignende Email-marketing integrationer kan sætte egne cookies og/eller sende brugerdata til tredjeparts servere. Kræver samtykke.
Affiliate-tracking (f.eks. AffiliateWP) Cookies der sporer hvilken affiliate der har henvist kunden. Disse er typisk funktionelle men bør dokumenteres.
WooCommerce-specifikke overvejelser ved consent-implementering
Betalings-gateways: Stripe, PayPal, Klarna og andre betalingsudbydere sætter egne cookies ved checkout. De fleste er strengt nødvendige for betalingsprocessen, men verificer dette for din specifikke gateway.
Checkout-flow test: Test ALTID hele checkout-flowet med cookies blokeret. En dårlig implementering kan resultere i, at kunder ikke kan gennemføre køb.
Session-cookies og GDPR: WooCommerce’s session-cookies (wp_woocommerce_session_*) gemmer session-data i WordPress-databasen og bruger en cookie som nøgle. De er nødvendige og undtaget fra samtykkekravet — men de bør stadig dokumenteres i din cookie policy.
WordPress multisite og compliance
Kører du et WordPress Multisite-netværk, er der yderligere overvejelser:
Delte cookies på tværs af sub-sider: WordPress Multisite kan dele authentication-cookies på tværs af subdomæner. Hvis dit netværk har sites rettet mod forskellige jurisdiktioner (f.eks. et .dk-site og et .de-site), skal du sikre, at compliance-indstillingerne er konfigureret per site.
Plugin-netværksaktivering: Visse cookie-plugins understøtter netværksaktivering, men kræver individuel konfiguration per sub-site. Complianz understøtter multisite, men konfiguration er per-site. Det samme gælder CookieYes.
Domæne vs. subdomæne: Cookie-compliance for en multisite der bruger forskellige domæner (ikke subdomæner under ét domæne) kræver separate plugin-instanser og separate consent-logs per domæne.
Anbefaling: Konfigurer cookie-compliance individuelt for hvert sub-site i dit netværk. Brug et plugin der eksplicit understøtter multisite-konfiguration, og verificer at consent-logs er adskilt per site.
Konklusion: Sådan kommer du i gang
WordPress cookie compliance i 2026 kræver tre ting: viden om hvad der sker på dit site, det rette plugin til at håndtere consent, og en løbende proces der holder din compliance opdateret.
Din handlingsplan:
-
Start med en audit. Brug Chrome DevTools (se vores DIY cookie audit guide) eller Privaci.io til at kortlægge alle cookies på dit site.
-
Vælg det rette plugin. Til de fleste WordPress-sites i 2026 er CookieYes eller Complianz de stærkeste valg med den bedste kombination af funktionalitet, brugervenlighed og compliance-dybde. Cookiebot er stærkt for sites der er tæt integreret med Google.
-
Implementer korrekt. Verificer at script-blokering faktisk virker, og at Google Consent Mode v2 er konfigureret med alle fire signaler.
-
Dokumenter din cookie policy. Opdater din cookie policy til at matche de cookies, din audit har identificeret. Brug Privaci.io til at holde dokumentationen opdateret.
-
Hold dig opdateret. Kør en ny audit minimum hvert kvartal, og konfigurer automatisk overvågning der advarer dig, når nye cookies tilføjes.
Cookie compliance er ikke en engangsopgave. Det er en løbende forpligtelse. Men med de rette værktøjer og en fast procedure er det helt overkommeligt.
Vil du vide præcis hvilke cookies dit WordPress-site sætter lige nu? Kør en gratis scan med Privaci.io og få et komplet overblik på under 5 minutter.
FAQ
Hvad er de mest almindelige cookie-problemer på WordPress-hjemmesider?
De hyppigste problemer er: cookies sat af plugins inden samtykke (særligt statistik-plugins), Google Fonts der indlæses eksternt og sender IP-adresser, kontaktformularer der indlæser Google reCAPTCHA automatisk, og WooCommerce-cookies der ikke er korrekt kategoriseret.
Hvilke WordPress CMP-plugins er bedst til GDPR-compliance?
De mest anvendte er Cookiebot (nu Usercentrics), CookieYes og Complianz. Alle understøtter IAB TCF og automatisk cookie-blokering. Valget afhænger af dit behov for IAB TCF, integrationer og pris.
Sætter WordPress i sig selv cookies, der kræver samtykke?
WordPress sætter som standard session-cookies til logged-in brugere og kommentarformularen, samt wordpress_test_cookie. Disse anses typisk som strengt nødvendige og kræver ikke samtykke. Men mange plugins tilføjer sporings-cookies der kræver samtykke.
Hvordan blokerer jeg Google Fonts fra at sende IP-adresser?
Instaler en plugin som OMGF (Optimize My Google Fonts) der downloader og server Google Fonts lokalt. Alternativt kan du manuelt downloade skrifttyperne og tilføje dem til dit tema som lokale filer.
Kan Yoast SEO eller Rank Math introducere cookie-problemer?
Primært er disse plugins ikke cookie-intensive. Men de kan indlæse externe ressourcer i visse konfigurationer. Brug en aktiv browser-scanner til at verificere, at dine SEO-plugins ikke introducerer uventede tredjeparts-cookies.
Hvad sker der, hvis jeg opdaterer et plugin og det introducerer nye cookies?
Plugin-opdateringer kan introducere nye scripts og cookies uden varsel. Det er en primær årsag til at løbende cookie-scanning er nødvendig. Privaci kan overvåge din hjemmeside og notificere ved nye cookies.