WordPress и 152‑ФЗ: плагины и настройка конфиденциальности

WordPress и 152‑ФЗ: плагины и настройка конфиденциальности

Зачем WordPress‑сайту соответствие 152‑ФЗ

Если вы обрабатываете заявки, комментарии, подписки или принимаете оплаты на WordPress, вы — «оператор персональных данных» по 152‑ФЗ. Закон требует правовую основу, безопасность и прозрачность обработки ПДн. Основа — статьи ст. 5, ст. 18.1, ст. 22 и др., а практические требования к сайтам сжаты в нашем путеводителе: требования к сайту 152‑ФЗ.

Запрос «wordpress 152 фз» чаще всего означает: какие плагины и настройки помогут соответствовать требованиям, как организовать сбор согласий, где хранить данные и как проходить проверки. Ниже — полный разбор.

Актуальные изменения законодательства смотрите в разделе изменения 2025 и общем обзоре о законе 152‑ФЗ.

Что должно быть на сайте (чек‑лист)

Ключевой вопрос: «что должно быть на сайте 152 фз?» — вот краткий чек‑лист:

• Публичная Политика обработки ПДн и страница с документами для сайта.
• Корректный cookie‑баннер с управлением согласием и блокировкой скриптов до согласия.
• Формы с явным чекбоксом согласия на обработку ПДн и ссылкой на Политику.
• HTTPS и корректная настройка SSL/HTTPS.
• Хранение первичных ПДн в РФ (локализация), см. серверы/хостинг и облака (Яндекс Cloud).
• Учет прав субъектов: формы/контакты для обращений, порядок отзыва согласия и удалений.
• Процедуры и меры безопасности: см. меры безопасности.
• Проверка необходимости уведомления в Роскомнадзор и ведение записи в реестре операторов — по результатам оценки обработки.

Расширенный чек‑лист — в спецразделе: чек‑лист 152‑ФЗ.

Карта данных WordPress: где появляются ПДн

Чтобы настроить конфиденциальность, начните с карты потоков данных.

Типичные источники ПДн на WordPress:

• Формы: Contact Form 7, WPForms, Gravity Forms, Ninja Forms.
• Комментарии (и Gravatar), регистрация пользователей, WooCommerce.
• Логи сервера, плагины безопасности, бэкапы.
• Аналитика и пиксели: Яндекс.Метрика, рекламные системы.

Для каждого источника определите: цели, минимум собираемых данных, законность (согласие/договор, см. принципы и цели), сроки хранения, трансграничность, подрядчиков (поручение обработки ПДн).

Cookie‑баннер и управление скриптами

Задача: не загружать необязательные скрипты (метрика, пиксели, чаты) до согласия. Подойдут:

• Complianz, CookieYes, Cookie Notice & Compliance. Включайте режим предварительной блокировки (prior consent) и создавайте категории cookie.
• Для Яндекс.Метрики используйте событие запуска по согласию и параметры из раздела Яндекс.Метрика и 152‑ФЗ.

Настройки, на которые стоит обратить внимание:

• Согласие в разрезе целей (аналитика/маркетинг) и журналирование фактов согласия.
• Понятный текст баннера на русском, ссылка на Политику и страницу управления предпочтениями.
• Включение анонимизации/маскирования IP, отключение вебвизора или четкое информирование о нем.

Подробнее — в материале cookie и баннеры и сравнении с GDPR и 152‑ФЗ.

Формы и согласия: Contact Form 7, WPForms, Gravity Forms

Сердце соответствия для WordPress — формы. Рекомендации:

• Добавляйте обязательный чекбокс согласия с текстом: «Я даю согласие на обработку моих персональных данных в целях …, на условиях Политики…» и ссылкой на Политику.
• Хранение заявок: локально (Flamingo для CF7) с ограничением сроков хранения и автоматическим удалением старых записей.
• E‑mail: настройте отправку через локальный SMTP или корпоративную почту в РФ (WP Mail SMTP). Избегайте пересылки ПДн на зарубежные сервисы без правовой базы.
• reCAPTCHA от Google = трансграничная передача. Рассмотрите альтернативы (например, Яндекс SmartCaptcha) или опишите передачу и получите согласие, см. трансграничная передача ПДн.

Подсказки по плагинам:

• Contact Form 7: модуль Flamingo (журналы заявок), чекбокс согласия, интеграция с cookie‑баннером для условной загрузки CAPTCHA.
• WPForms/Gravity Forms: встроенные поля consent, логи событий и экспорта ПДн.

Тексты согласий и шаблоны документов: согласие на обработку ПДн, согласие на распространение, наборы — в пакете документов и нашем генераторе политики и согласий. Подробнее о формах — в разделе формы на сайте и согласие.

Локализация данных и трансграничная передача

Первичный сбор ПДн граждан РФ должен осуществляться на территории РФ (локализация). Практика для WordPress:

• Размещайте сайт и базу данных на серверах в РФ: раздел серверы/хостинг/ЦОД или облака (Yandex Cloud).
• Проверьте, не утекают ли ПДн во внешние сервисы: антиспам, CDN, шрифты, CAPTCHA, почтовые шлюзы. Для таких передач требуется правовое основание и уведомление, подробнее — передача третьим лицам и трансграничная передача.
• Оцените необходимость уведомления в Роскомнадзор — см. уведомление.

Безопасность ИСПДн на WordPress

Безопасность — это не только плагины, но и процессы. Основные меры (см. меры безопасности ПДн):

• HTTPS повсюду, HSTS, корректные шифры (см. SSL/HTTPS и криптография/шифрование).
• Обновления ядра/тем/плагинов, минимум плагинов, роли и права, 2FA, ограничение /wp-admin.
• Плагин безопасности (например, Wordfence, iThemes Security) с локальным логированием. Проверьте, отправляются ли IP/логи на зарубежные сервера и при необходимости отключите.
• Бэкапы: храните в РФ, шифруйте. UpdraftPlus → локальное хранилище или S3‑совместимый сторедж в РФ.
• Оценка класса ИСПДн, уровни защищенности ИСПДн и модель угроз. При использовании СКЗИ — требования ФСТЭК и ФСБ.

Таблица: 152‑ФЗ → действия в WordPress → инструменты

Требование 152‑ФЗ	Что сделать в WordPress	Инструменты/разделы
Законность и информирование	Политика, уведомления, страницы прав субъектов	Политика ПДн, права субъектов
Согласие	Чекбокс в формах, журнал согласий	CF7/WPForms/Gravity + Flamingo; согласие
Минимизация	Исключить лишние поля из форм	Аудит форм; принципы обработки
Cookie и скрипты	Предварительная блокировка, категории	Complianz/CookieYes; cookie
Безопасность	HTTPS, 2FA, бэкапы, логи	Really Simple SSL, Wordfence/iThemes, UpdraftPlus
Локализация	Хостинг в РФ, хранение БД в РФ	серверы/ЦОД, облака
Трансграничная передача	Оценка и фиксация правовой базы	трансграничная передача
Сроки хранения и удаление	Автоочистка заявок, регламенты	сроки хранения, уничтожение/блокировка
Проверки	Подготовить пакет документов	пакет документов, проверки Роскомнадзор

Проверка и аудит сайта на соответствие 152‑ФЗ

Чтобы пройти «проверка сайта на соответствие 152 фз», действуйте так:

1. Технический скан: какие домены вызываются до согласия, что пишется в cookie, защищены ли формы. Запустите нашу онлайн‑проверку сайта.
2. Юридический аудит: основания обработки, тексты политики и согласий, поручения подрядчикам — закажите аудит сайта 152 фз.
3. Процедуры на случай инцидента и обращения субъекта — см. инциденты и утечки и действия при нарушении.

Готовитесь к визиту надзора? Посмотрите раздел подготовка к проверке и штрафы: ответственность и штрафы, КоАП 13.11.

Документы и процессы оператора

Помимо WordPress‑настроек у оператора должны быть:

• Политика и положения, реестр операций, назначенный ответственный за обработку ПДн и внутренний контроль/обучение.
• Порядок обработки обращений субъектов: доступ, исправление, удаление — см. заявления и отзыв согласия, прекращение обработки.
• Поручения и договоры с подрядчиками (хостинг, почта, аналитика) — см. поручение обработки ПДн.

Готовые пакеты и шаблоны: пакет документов 152‑ФЗ, шаблоны и формы.

Метрики и рекламные пиксели

• Яндекс.Метрика: включайте маскировку IP, настраивайте загрузку по согласию, документируйте цели. Подробно — Метрика и 152‑ФЗ.
• Вебвизор: это повышенный риск. Используйте только при необходимости и с информированием.
• Рекламные пиксели (VK, myTarget, др.) — грузите после согласия «маркетинг» и отражайте в политике. Подробнее — реклама и ПДн.
• Google/Meta‑инструменты = трансграничная передача; проверьте правовую основу и укажите в политике — см. трансграничная передача.

Частые ошибки и как их исправить

• Баннер есть, но скрипты грузятся до согласия. Решение: режим предварительной блокировки в Complianz/CookieYes.
• Нет чекбокса согласия в формах. Добавьте обязательное поле consent и ссылку на Политику.
• Использование Google reCAPTCHA без уведомления о трансграничной передаче. Либо альтернативы в РФ, либо информирование и явное согласие.
• Отправка заявок на Gmail/国外 почту. Переведите на корпоративный домен/SMTP в РФ.
• Комментарии с Gravatar (зарубежный хостинг аватаров). Отключите внешние аватары или включите их только после согласия.
• Бэкапы на зарубежные облака. Перенесите в РФ и включите шифрование.
• Отсутствуют документы. Используйте генератор политики и согласий и пакет документов.

Итоги и что сделать сегодня

Комплаенс WordPress с 152‑ФЗ — это сочетание: корректных плагинов (cookie‑баннер, формы, безопасность), локализации и юридических документов. Начните с мини‑плана:

• Установите cookie‑баннер с блокировкой скриптов.
• Добавьте чекбоксы согласия во все формы и ограничьте сбор полей.
• Проверьте размещение БД/бэкапов в РФ и включите HTTPS/2FA.
• Обновите Политику и проработайте процедуры прав субъектов.
• Пройдите экспресс‑скан: онлайн‑проверка сайта 152‑ФЗ, а затем полный аудит соответствия.

Нужна помощь «под ключ» — от настройки плагинов до пакета документов и обучения команды? Обратитесь в наш консалтинг: консалтинг и документы под ключ. Мы сделаем ваш WordPress‑сайт соответствующим 152‑ФЗ без потери маркетинговых метрик.