Guia de auditoria do CookieYes para agências (2026)

TL;DR - O CookieYes é uma das CMP mais largamente implementadas no ecossistema WordPress, com um banner certificado pela Google, um plano gratuito generoso e suporte para IAB TCF nos planos Pro e Ultimate. Uma autoavaliação a partir de qualquer CMP é um inventário operacional útil, mas não é a mesma evidência que uma prova independente de um verificador externo. Este guia explica como auditar uma instalação do CookieYes na prática - e quando a autoavaliação por si só é suficiente.

Lista de verificação de auditoria CookieYes (versão resumida)

Verifique se o carregador do GTM aparece acima do snippet do CookieYes - essa ordenação significa que o GTM ganha a corrida na primeira renderização.
Confirme que o estado por predefinição do Consent Mode v2 é denied para os quatro parâmetros: analytics_storage, ad_storage, ad_user_data e ad_personalization.
Num perfil de navegador limpo com as ferramentas de desenvolvimento abertas, capture todos os pedidos de terceiros que disparam antes de qualquer clique no banner.
Clique em Rejeitar tudo, recarregue e volte a capturar a rede - nada de não-essencial deve aparecer após a rejeição.
Compare o comportamento de rede pós-rejeição com a declaração de cookies do CookieYes; a divergência entre os dois é um defeito comum.
Exporte um ficheiro .har com carimbos temporais como registo de auditoria duradouro - prova mais robusta do que uma captura de ecrã do painel.

A versão completa, com o que procurar em cada passo, encontra-se abaixo.

O que o CookieYes faz bem

O CookieYes tem uma forte presença em WordPress: é uma CMP certificada pela Google, o seu plugin para WordPress conta com mais de 1 milhão de instalações ativas e a empresa reporta mais de 1,5 milhões de empresas na plataforma. Para um site WordPress de qualquer dimensão, o plugin está a poucos cliques de um banner funcional, e a integração com WordPress é uma das mais completas da categoria (custom post types, plugins multilingues, page builders).

O plano gratuito é invulgarmente generoso. €0 / $0 / £0 por mês permitem 5.000 visualizações mensais e 100 páginas analisadas num domínio - suficiente para uma instalação operacional num site pequeno sem nunca pagar. O plano pago mais baixo (Basic, $10/mês com apresentação em USD) sobe esse limite para 100.000 visualizações mensais e 600 páginas analisadas. O Google Consent Mode v2 está disponível em todos os níveis, incluindo o nível gratuito. O plano Pro ($25/mês com apresentação em USD) acrescenta IAB TCF, GPC, segmentação geográfica e análise mensal agendada. O plano Ultimate ($55/mês) elimina por completo o limite de visualizações.

Para um operador cuja necessidade principal é "mostrar um banner claro num site WordPress, registar consentimento, bloquear as tags óbvias", o CookieYes faz o serviço, e essa é uma força real do produto. Onde se torna mais difícil é na pergunta seguinte: como saber se está realmente a funcionar em sessões de utilizadores reais, sobretudo em sites que não são WordPress?

Problemas comuns de implementação do CookieYes que as autoavaliações podem não detetar

Como qualquer análise automatizada, uma análise do CookieYes segue um caminho de análise e janela de observação delimitados. O script que dispara quando o crawler visita o seu site não é necessariamente o mesmo script que dispara quando um utilizador real chega a partir de um IP alemão numa terça-feira à tarde. Quatro padrões que vemos repetidamente em sites protegidos pelo CookieYes e que aparecem em auditorias de utilizadores reais:

1. Condições de corrida entre o gestor de tags e o Consent Mode. O problema mais frequente, partilhado com qualquer outra CMP no mercado. O snippet do Google Tag Manager está hardcoded inline acima do carregador do CookieYes, pelo que o GTM inicializa (e qualquer tag com consentimento por predefinição em granted dispara) antes de o auto-blocker ter oportunidade de intervir. Ou o Consent Mode v2 está configurado com um ou mais dos quatro parâmetros em 'granted' em vez de 'denied', produzindo o mesmo resultado sem o problema de ordenação do carregador. A auditoria é simples: verificar a ordem dos scripts, verificar as predefinições do Consent Mode e depois validar o trace de rede no primeiro carregamento.

2. Limites do âmbito do plugin de WordPress. O CookieYes consegue bloquear scripts e cookies não essenciais nos fluxos típicos do plugin de WordPress, mas a própria orientação do fornecedor refere que scripts ou cookies criados fora do controlo do CookieYes podem ainda assim necessitar de tratamento manual. Vemos isto sobretudo com widgets de marketing colados diretamente em footer.php, com widgets de chat instalados via instruções "cole este snippet" e com formulários incorporados que carregam a sua própria analítica. É aí que uma auditoria ao nível do navegador ajuda: verifica a rede em produção no primeiro carregamento, não apenas a configuração do plugin.

3. Instalações fora do WordPress não dispõem das conveniências de integração do plugin de WordPress. O CookieYes funciona em qualquer site onde se possa colocar uma tag de script, e o painel SaaS trata Shopify, Wix, stack personalizado e sites headless de forma idêntica. O auto-blocking de cookies e o bloqueio de iframes estão disponíveis em todos os planos, mas a integração específica do tema WordPress, a UX administrativa nativa e as conveniências exclusivas do plugin são exclusivas do WordPress. Num site Shopify ou Next.js obtém o banner, o armazenamento de consentimento e o auto-blocking, mas implementações em stacks personalizados devem ainda assim ser verificadas script a script, porque tags coladas diretamente em ficheiros de tema ou injetadas por outras aplicações podem ficar fora do caminho do consentimento.

4. Scripts de marketing condicionais e acionados por comportamento. Um gravador acionado por scroll, um widget de chat com atraso, um ramo de teste A/B ou uma tag injetada dinamicamente podem não ser exercitados por um caminho fixo de crawler. Trate-os como alvos de verificação manual: reproduza a ação do utilizador, rejeite o consentimento, recarregue e verifique se a tag continua a disparar.

Lista de verificação de auditoria passo a passo

Cada passo é algo que pode fazer num navegador; um scanner externo encurta o trabalho manual.

Abra o site num perfil de navegador limpo, ferramentas de desenvolvimento abertas, filtro de rede em "third-party". Recarregue. Tudo o que dispare antes de clicar num botão do banner é candidato.
Verifique a posição do snippet do GTM. Se o carregador do GTM estiver acima do carregador do CookieYes no código-fonte da página, o auto-blocker está em corrida com o gestor de tags. No WordPress, confirme que a opção "carregar antes de outros scripts" do plugin está ativa.
Verifique o estado por predefinição do Consent Mode v2. Pesquise na página renderizada por gtag('consent', 'default'. O argumento deve definir os quatro parâmetros - analytics_storage, ad_storage, ad_user_data, ad_personalization - como 'denied'. Se algum estiver 'granted', esta é a má configuração.
Clique em rejeitar. Recarregue. Verifique a mesma captura de rede. Uma instalação correctamente configurada do CookieYes não deve apresentar trackers de terceiros na rede pós-rejeição. Se Meta Pixel, LinkedIn Insight ou Google Analytics continuarem a disparar após a rejeição, o estado de consentimento não está a ser propagado.
Teste a persistência do consentimento entre páginas. Clique em rejeitar, navegue para uma segunda página. O banner não deve reaparecer. Se reaparece - o padrão consent_respawn - o âmbito ou o tempo de vida do cookie está errado, independentemente do que o painel reporta.
No WordPress, audite injeções de tema e page builder. Procure em header.php, footer.php e em quaisquer blocos "HTML personalizado" de page builder por tags de script hardcoded. Estas contornam o auto-blocking do plugin.
Mude a página para cada um dos seus idiomas em produção. Verifique que a declaração de cookies traduz e que os trackers listados correspondem à análise atual, e não à do trimestre anterior.
Teste a partir de um IP fora da UE. Algumas configurações do CookieYes direcionam geograficamente o banner apenas para visitantes da UE. Se serve utilizadores na Suíça, no Reino Unido ou no Brasil, confirme que o banner aparece como esperado.
Compare a captura de rede com a declaração do CookieYes. Cada serviço não-essencial que cria cookies ou domínio de rastreio que dispara antes do consentimento deve aparecer, classificado, na declaração. Divergências entre o comportamento real e os trackers declarados são um defeito comum.
Guarde a captura de rede como evidência. Um ficheiro .har com carimbos temporais é um registo de auditoria duradouro - prova mais robusta do que uma captura de ecrã do painel.

Quando o CookieYes por si só é suficiente

Não recomendamos acrescentar auditoria externa a todas as instalações do CookieYes. Para o seguinte perfil, o scanner integrado do CookieYes é suficiente e uma segunda ferramenta é sobrecarga:

Um único site WordPress, um ou dois idiomas, um domínio.
O plugin de WordPress do CookieYes (não apenas o embed exclusivamente SaaS) para que tenha o auto-blocking e a injeção sensível ao tema.
Sem Google Tag Manager ou apenas uma instalação simples do Google Analytics 4 através da injeção bloqueada pelo plugin.
Sem requisitos de relatórios para clientes.
Sem perfil de maior escrutínio (baixo tráfego, conteúdo B2C não sensível, sem queixas anteriores).

Para este perfil, o plano gratuito ou Basic do CookieYes faz o serviço e qualquer ferramenta adicional é uma taxa. O plano gratuito em particular (5.000 visualizações mensais, 100 páginas analisadas) é um ponto de entrada funcional para muitos sites pequenos reais.

Quando acrescentar auditoria independente

A justificação para verificação externa cresce com três fatores, e um deles é mais agudo para utilizadores do CookieYes do que para a maioria das CMP:

Portefólio multi-CMS. Esta é a cunha mais aguda. O plugin de WordPress do CookieYes é particularmente profundo no lado WordPress; em Shopify, Wix, Next.js personalizado ou comércio headless o mesmo produto corre sem a integração específica do tema WordPress e a UX administrativa. Agências que mantêm uma carteira de clientes em stacks heterogéneas beneficiam de uma camada uniforme de auditoria que não dependa do CMS sob o qual o site corre. Um scanner externo produz o mesmo pacote de evidências para o site WordPress, para a montra Shopify e para a landing page de stack personalizado.

Complexidade das tags de marketing. GTM, Meta Pixel, conversões do Google Ads, LinkedIn Insight, TikTok Pixel, server-side tagging - cada tag adicional multiplica a superfície onde um deslize default-granted pode disparar trackers antes do consentimento.

Perfil de maior escrutínio. A implementação do consentimento de cookies é um tema recorrente de escrutínio das DPA, pelo que para operadores que atrairiam atenção do regulador caso surgisse uma queixa - publishers de elevado tráfego, media suportada por publicidade, serviços financeiros, saúde - uma trilha de evidências duradoura e não-fornecedora é materialmente diferente de uma captura de ecrã do painel do fornecedor.

Pacotes de evidências para procurement. Clientes empresariais em indústrias reguladas pedem frequentemente evidência técnica independente como parte do onboarding de fornecedores. Um relatório de análise externo responde a esse pedido de uma forma que uma captura de ecrã do painel do CookieYes não responde.

CookieYes vs. auditoria independente

Feature	CookieYes Plano gratuito + planos pagos consoante visualizações	GDPR Privacy Monitor Plano gratuito + planos pagos
Cookie scanner (self-scan)	✓	✕
Banner UI generator	✓	✕
WordPress plugin (1M+ installs)	✓	✕
Google-certified CMP	✓	✕
IAB TCF signaling	Pro tier+	✕
Geo-targeting	Pro tier+	✕
Free tier with real pageview budget	✓	Plano gratuito + planos pagos
Independent technical verification	✕	✓
Multi-CMS portfolio reports	✕	✓
Evidence pack for client deck / audit file	✕	✓

O CookieYes e o GDPR Privacy Monitor são produtos diferentes ao serviço de necessidades distintas. O CookieYes gera e gere a sua experiência de consentimento, especialmente bem em WordPress; o GDPR Privacy Monitor verifica que o resultado se comporta corretamente no terreno, independentemente do CMS subjacente.

Risk score: 43 / 100

Uma instalação limpa do CookieYes num único site WordPress deve normalmente situar-se na faixa de risco baixo. Uma pontuação na casa dos 40 significa tipicamente que existe um problema prático - por exemplo, um tracker a disparar antes do consentimento, um problema de persistência pós-rejeição ou uma configuração do banner que necessita de revisão.

Sample scan

45 / 100

Medium Risk · 8 trackers · pre-consent tracking: yes

See sample report →

Realize uma análise independente no site que está a auditar

Iniciar uma análise gratuita ou ver um relatório de exemplo para ver como uma captura externa se compara com o painel do CookieYes.

Perguntas frequentes

O plano gratuito do CookieYes é suficiente para o meu pequeno site WordPress?

Para um único site WordPress pequeno com menos de 5.000 visualizações mensais, com um ou dois idiomas, sem GTM, sem píxeis de marketing além do Google Analytics 4 e sem requisito de relatórios de agência - sim, o plano gratuito é genuinamente suficiente. O plano gratuito do CookieYes é dos mais generosos do mercado e é um ponto de entrada funcional significativo para sites pequenos. Se o ultrapassar, o plano pago Basic ($10/mês com apresentação em USD) eleva o orçamento de visualizações para 100.000.

Como se compara o CookieYes ao Cookiebot?

São produtos distintos com públicos por predefinição diferentes. O CookieYes é centrado no plugin e particularmente forte em WordPress; o Cookiebot é centrado no painel e igualmente forte em integrações com vários CMS. Ambos estão alinhados com a Google e ambos têm scanners credíveis. O Cookiebot suporta IAB TCF nos planos pagos; o CookieYes suporta IAB TCF nos planos Pro e Ultimate. O plano gratuito do CookieYes é mais generoso para sites de baixo tráfego; o plano Premium Lite do Cookiebot custa €7/mês quando EUR é selecionado, enquanto o Basic do CookieYes custa $10/mês com apresentação em USD, mas o preço do Cookiebot depende do número de domínios e subpáginas, pelo que o uso por agências com vários domínios pode ultrapassar rapidamente o plano de entrada. Escolha consoante a sua stack principal: agências centradas em WordPress preferem frequentemente o CookieYes; lojas multi-CMS e equipas SaaS-first preferem frequentemente o Cookiebot.

O CookieYes é certificado pela Google. Significa isso que está conforme por predefinição?

Não, e a certificação não afirma o contrário. A certificação Google significa que a integração da CMP com o Consent Mode v2 cumpre os requisitos da Google - não certifica que qualquer instalação dada respeite as escolhas de consentimento do utilizador em sessões reais. A certificação é um sinal ao nível do fornecedor; a sua implementação específica pode continuar a disparar trackers antes do consentimento se o gestor de tags estiver mal configurado ou se os scripts contornarem o âmbito do plugin. A verificação independente apanha a lacuna entre "a CMP é certificada" e "esta instalação específica está a funcionar".

O CookieYes funciona fora do WordPress?

Sim. O painel SaaS gera uma tag de script que se coloca em qualquer página HTML e o armazenamento de consentimento funciona da mesma forma em sites Shopify, Wix, headless ou de stack personalizada. A página de preços do CookieYes indica o auto-blocking de cookies e o bloqueio de iframes como funcionalidades disponíveis em todos os planos, incluindo fora do WordPress. O que é genuinamente exclusivo do WordPress é a camada do plugin de WordPress: integração com o tema, UX administrativa nativa do WordPress e conveniências específicas do plugin. Em sites Shopify ou de stack personalizada continua a obter o banner, o armazenamento de consentimento e o auto-blocking, mas operadores devem ainda assim verificar o gating script a script, porque tags coladas em ficheiros de tema ou injetadas por outras aplicações podem ficar fora do caminho do consentimento. Agências que gerem portefólios multi-CMS pareiam frequentemente o CookieYes com uma camada de auditoria independente para confirmar que o comportamento real corresponde ao painel em todas as stacks.

Por que pode o CookieYes parecer limpo enquanto uma auditoria de agência continua a encontrar trackers pré-consentimento?

Geralmente porque uma tag se encontra fora do caminho controlado pelo plugin, o GTM não é consent-aware, ou um script corre antes de o estado de consentimento ser aplicado. Um trace de navegador em produção apanha essa lacuna. Um painel de autoavaliação pode não reproduzir todas as condições de corrida do primeiro carregamento ou os caminhos despoletados pelo utilizador, enquanto um trace de rede num navegador limpo mostra o que realmente dispara antes de o utilizador interagir com o banner.

Faça uma análise gratuita de verificação CookieYes

Antes de redigir um plano de remediação, veja o que uma captura independente mostra no site que está a auditar. A análise gratuita do GDPR Privacy Monitor devolve um detalhe ao nível da rede do que dispara antes do consentimento, do que sobrevive à rejeição e do que a declaração de cookies indica face ao que a rede realmente faz. Não é necessária conta para a primeira análise.

Iniciar uma análise gratuita ou ver um relatório de exemplo para ver o formato antes de se comprometer.

Outros guias de auditoria: Cookiebot · OneTrust · Iubenda · Complianz Contexto: Rastreio pré-consentimento explicado

Informações de preços e funcionalidades verificadas em 06/05/2026 com base em cookieyes.com/pricing. A página de preços do CookieYes é a versão oficial sempre que os valores forem alterados. Defina um lembrete trimestral para reverificar.