Project-Pro/szkoleniauryzaj.pl
2
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

feat(01-rodo-cookie-consent): RODO compliance — Consent Mode v2 + Facebook Pixel blokada

Browse Source 
Phase 1 complete:
- fbq noop na wp_head priority 1 — blokuje Facebook Pixel ze wszystkich źródeł (HFCM, PYS, woo-product-feed-pro) gdy brak zgody marketingowej
- Early gtag consent update PHP-side dla powracających użytkowników — eliminuje race condition z GTM
- Granularne filtry pys_disable_*_by_gdpr — PixelYourSite honoruje kategorie marketing/analytics
- Fix: wp_unslash() przy odczycie $_COOKIE (WP wp_magic_quotes addslashes)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
This commit is contained in:
Jacek Pyziak
2026-04-27 00:46:41 +02:00
parent b073e009d8
commit 100689450b
10 changed files with 658 additions and 32 deletions
Download Patch File Download Diff File Expand all files Collapse all files

40
.paul/PROJECT.md
View File

@@ -12,27 +12,41 @@ Strona internetowa na WordPress ze szkoleniami — użytkownicy mogą przegląda
| Attribute | Value |
|-----------|-------|
| Version | 0.0.0 |
| Status | Prototype |
| Last Updated | 2026-04-26 |
| Version | 0.1.0 |
| Status | In Progress |
| Last Updated | 2026-04-27 |
## Requirements
### Must Have
- [To be defined during planning]
### Validated ✓
- ✓ Consent Mode v2 defaults (all denied) przed GTM — Phase 1
- ✓ Facebook Pixel nie odpala bez zgody marketingowej — Phase 1
- ✓ PixelYourSite honoruje kategorie zgody (marketing/analytics) — Phase 1
- ✓ Early consent update dla powracających użytkowników (eliminacja race condition) — Phase 1
### Should Have
- [To be defined during planning]
### Active
- [ ] Konfiguracja GTM kontenera — tagi/triggery consent-aware (deferred z Phase 1)
### Nice to Have
- [To be defined during planning]
### Out of Scope
- Natywna integracja PYS z Cookie Notice Pro — Cookie Notice Pro to niestandardowy plugin Flerosoft, nie standardowy `cookie-notice`
## Constraints
- [To be identified during planning]
- WordPress 6.0.2, PHP (shared hosting FTP deployment)
- Motyw Divi (parent) + body-relax (child) — customizacje w Divi/functions.php (deployowany przez FTP)
- Cookie Notice Pro (Flerosoft) — custom jQuery plugin, nie WP plugin
## Key Decisions
| Decision | Rationale | Phase |
|----------|-----------|-------|
| Kod RODO w Divi/functions.php (nie child theme) | Pliki deployowane przez FTP — Divi jest aktywnym zestawem deploywanych plików | Phase 1 |
| fbq noop zamiast remove_action | remove_action zawodny dla HFCM static method; noop universalnie blokuje wszystkie źródła pixela | Phase 1 |
| wp_unslash() przy odczycie $_COOKIE | wp_magic_quotes() w WP stosuje addslashes na cookies; bez wp_unslash() json_decode zwraca null | Phase 1 |
| PHP filtry pys_disable_*_by_gdpr zamiast natywnej integracji PYS | Cookie Notice Pro nie jest wspierany przez PYS free | Phase 1 |
## Success Criteria
- Użytkownicy mogą przeglądać katalog szkoleń, rezerwować miejsca i płacić online
- [To be refined during planning]
- Użytkownicy mogą przeglądać katalog szkoleń, rezerwować miejsca i płacić online
- ✓ GTM i Facebook Pixel nie uruchamiają się przed wyrażeniem zgody (RODO compliance)
---
*Created: 2026-04-26*
*Last updated: 2026-04-27 after Phase 1*

17
.paul/ROADMAP.md
View File

@@ -7,18 +7,25 @@ Serwis edukacyjny na WordPressie z katalogiem szkoleń, systemem rezerwacji i p
## Current Milestone
**v0.1 Initial Release** (v0.1.0)
Status: Not started
Phases: 0 of TBD complete
Status: In progress
Phases: 1 of 1+ complete
## Phases
| Phase | Name | Plans | Status | Completed |
|-------|------|-------|--------|-----------|
| 1 | TBD | TBD | Not started | - |
| 1 | RODO / Cookie Consent Compliance | 1 | ✅ Complete | 2026-04-27 |
## Phase Details
Phases will be defined during `/paul:plan`.
### Phase 1: RODO / Cookie Consent Compliance ✅
**Goal:** Zapewnić zgodność z RODO — GTM i Facebook Pixel nie uruchamiają się przed wyrażeniem zgody.
**Plans:**
- `01-01`: Google Consent Mode v2 + PixelYourSite GDPR filter + fbq noop ✅
**Result:** Facebook Pixel zablokowany bez zgody marketingowej (fbq noop), Consent Mode v2 early update dla powracających użytkowników, PYS filtry per-kategoria.
---
*Roadmap created: 2026-04-26*
*Roadmap updated: 2026-04-27 — Phase 1 complete*

36
.paul/STATE.md
View File

@@ -5,44 +5,52 @@
See: .paul/PROJECT.md (updated 2026-04-26)
**Core value:** Strona internetowa na WordPress ze szkoleniami
**Current focus:** Project initialized — ready for planning
**Current focus:** RODO compliance — zakończone
## Current Position
Milestone: v0.1 Initial Release
Phase: Not yet defined
Plan: None yet
Status: Ready to create roadmap and first PLAN
Last activity: 2026-04-26 — Project initialized
Phase: 1 of 1 (RODO / Cookie Consent Compliance) — COMPLETE
Plan: 01-01 DONE
Status: APPLY complete, SUMMARY created
Last activity: 2026-04-27 — Plan 01-01 wykonany i przetestowany
Progress:
- Milestone: [░░░░░░░░░░] 0%
- Milestone: [██████████] 100%
- Phase 1: [██████████] 100%
## Loop Position
Current loop state:
```
PLAN ──▶ APPLY ──▶ UNIFY
○ [Ready for first PLAN]
○ [Gotowe do /paul:unify]
```
## Accumulated Context
### Decisions
None yet.
- Cookie Notice Pro = custom jQuery plugin Flerosoft, w `Divi/libs/CookieNoticePro/` — nie standardowy WP plugin
- Cookies: `cnp_consent` (true/false), `cnp_prefs` (JSON URL-encoded array kategorii)
- `cookies.php` includowany w `header.php` linia 4 (przed wp_head linia 28) — Consent Mode v2 defaults już OK
- PYS natywna integracja z `cookie-notice` nie ma zastosowania (to inny plugin)
- Rozwiązanie: PHP fbq noop (priority 1) + early consent update + granularne filtry pys_disable_*_by_gdpr
- **wp_magic_quotes()** w WP stosuje addslashes na $_COOKIE — wymagane wp_unslash() przed json_decode()
- **Źródło fbq**: HFCM (Header Footer Code Manager) — snippet w DB, nie PYS/woosea bezpośrednio
- **Podejście fbq noop**: definicja window.fbq jako no-op przed wszystkimi skryptami — universalna blokada
### Deferred Issues
None yet.
- Konfiguracja GTM kontenera (tagi/triggery consent-aware) — poza scope planu 01-01
### Blockers/Concerns
None yet.
- Brak
## Session Continuity
Last session: 2026-04-26
Stopped at: Project initialization complete
Next action: Run /paul:plan to define phases and first plan
Resume file: .paul/PROJECT.md
Last session: 2026-04-27
Stopped at: Plan 01-01 complete, SUMMARY created
Next action: /paul:unify
Resume file: .paul/phases/01-rodo-cookie-consent/01-01-SUMMARY.md
---
*STATE.md — Updated after every significant action*

53
.paul/STATE.md.bak Normal file
View File

@@ -0,0 +1,53 @@
# Project State
## Project Reference
See: .paul/PROJECT.md (updated 2026-04-26)
**Core value:** Strona internetowa na WordPress ze szkoleniami
**Current focus:** RODO compliance — early consent update + PYS granular filter
## Current Position
Milestone: v0.1 Initial Release
Phase: 1 of 1+ (RODO / Cookie Consent Compliance) — Planning
Plan: 01-01 created, awaiting approval
Status: PLAN created, ready for APPLY
Last activity: 2026-04-26 — Created .paul/phases/01-rodo-cookie-consent/01-01-PLAN.md
Progress:
- Milestone: [░░░░░░░░░░] 0%
- Phase 1: [░░░░░░░░░░] 0%
## Loop Position
Current loop state:
```
PLAN ──▶ APPLY ──▶ UNIFY
✓ ○ ○ [Plan created, awaiting approval]
```
## Accumulated Context
### Decisions
- Cookie Notice Pro = custom jQuery plugin Flerosoft, w `Divi/libs/CookieNoticePro/` — nie standardowy WP plugin
- Cookies: `cnp_consent` (true/false), `cnp_prefs` (JSON URL-encoded array kategorii)
- `cookies.php` includowany w `header.php` linia 4 (przed wp_head linia 28) — Consent Mode v2 defaults już OK
- PYS natywna integracja z `cookie-notice` nie ma zastosowania (to inny plugin)
- Rozwiązanie: PHP early update (priority 1 wp_head) + granularne filtry pys_disable_*_by_gdpr
### Deferred Issues
- Konfiguracja GTM kontenera (tagi/triggery consent-aware) — poza scope planu 01-01
### Blockers/Concerns
- Brak znanych blokerów
## Session Continuity
Last session: 2026-04-26
Stopped at: Plan 01-01 created (zaktualizowany po informacji o Cookie Notice Pro)
Next action: Review and approve plan, then run /paul:apply .paul/phases/01-rodo-cookie-consent/01-01-PLAN.md
Resume file: .paul/phases/01-rodo-cookie-consent/01-01-PLAN.md
---
*STATE.md — Updated after every significant action*

15
.paul/changelog/2026-04-27.md Normal file
View File

@@ -0,0 +1,15 @@
# 2026-04-27
## Co zrobiono
- [Phase 1, Plan 01] RODO: Google Consent Mode v2 + blokada Facebook Pixel bez zgody
- Dodano fbq noop (wp_head priority 1) — blokuje pixel ze wszystkich źródeł gdy brak zgody marketingowej
- Dodano early gtag consent update dla powracających użytkowników — eliminuje race condition z GTM
- Dodano granularne filtry PixelYourSite: pys_disable_facebook/analytics/bing/google_ads_by_gdpr
- Dodano blokadę woo-product-feed-pro (AdTribes) własnego pixela Facebook
- Odkryto i naprawiono: WordPress wp_magic_quotes() łamie json_decode($_COOKIE) — fix: wp_unslash()
- Odkryto źródło fbq: HFCM (Header Footer Code Manager) snippet w bazie danych
## Zmienione pliki
- `wp-content/themes/Divi/functions.php`

6
.paul/governance/governance_2026-04-26.jsonl
View File

@@ -74,3 +74,9 @@
{"ts":"2026-04-26T21:46:24Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\codebase\\\\testing.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T21:46:46Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\codebase\\\\concerns.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T21:47:03Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\codebase\\\\db_schema.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T21:52:06Z","tool":"Bash","cmd":"mkdir -p \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\phases\\\\01-rodo-cookie-consent\"\"},\"tool_response\":{\"stdout\":\"\",\"stderr\":\"\",\"interrupted\":false,\"isIma","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T21:53:14Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\phases\\\\01-rodo-cookie-consent\\\\01-01-PLAN.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T21:53:25Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\ROADMAP.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T21:53:42Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\STATE.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T21:57:35Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\phases\\\\01-rodo-cookie-consent\\\\01-01-PLAN.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T21:57:55Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\STATE.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}

28
.paul/governance/governance_2026-04-27.jsonl Normal file
View File

@@ -0,0 +1,28 @@
{"ts":"2026-04-26T22:01:09Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\phases\\\\01-rodo-cookie-consent\\\\01-01-PLAN.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:01:14Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\STATE.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:01:26Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\STATE.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:02:56Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\body-relax\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:03:01Z","tool":"Bash","cmd":"php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\body-relax\\\\functions.php\"\"},\"tool_response\":{\"stdout\":\"No syntax errors detected in C:\\\\visua","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:08:20Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\body-relax\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:08:30Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:08:35Z","tool":"Bash","cmd":"php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php\" && php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-cont","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:20:27Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:20:34Z","tool":"Bash","cmd":"php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php\" 2>&1\",\"description\":\"Check PHP syntax of Divi/functions.php\"},\"tool_respons","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:25:49Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:25:55Z","tool":"Bash","cmd":"php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php\" 2>&1\",\"description\":\"Check PHP syntax\"},\"tool_response\":{\"stdout\":\"No s","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:33:58Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:34:03Z","tool":"Bash","cmd":"php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php\" 2>&1\",\"description\":\"Check PHP syntax\"},\"tool_response\":{\"stdout\":\"No s","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:37:54Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:38:00Z","tool":"Bash","cmd":"php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php\" 2>&1\",\"description\":\"Check PHP syntax\"},\"tool_response\":{\"stdout\":\"No s","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:39:20Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:39:26Z","tool":"Bash","cmd":"php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php\" 2>&1\",\"description\":\"Check PHP syntax\"},\"tool_response\":{\"stdout\":\"No s","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:41:17Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:41:23Z","tool":"Edit","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:41:28Z","tool":"Bash","cmd":"php -l \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\wp-content\\\\themes\\\\Divi\\\\functions.php\" 2>&1\",\"description\":\"Check PHP syntax\"},\"tool_response\":{\"stdout\":\"No s","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:43:00Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\phases\\\\01-rodo-cookie-consent\\\\01-01-SUMMARY.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:44:24Z","tool":"Bash","cmd":"cd \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\" && git log --oneline -5 2>&1\",\"description\":\"Get recent git commits\"},\"tool_response\":{\"stdout\":\"b073e00 update\\n1b95f03 Sa","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:45:14Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\phases\\\\01-rodo-cookie-consent\\\\01-01-SUMMARY.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:45:26Z","tool":"Bash","cmd":"mkdir -p \"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\changelog\" 2>/dev/null; echo \"ok\"\",\"description\":\"Ensure changelog directory exists\"},\"tool_response\":{\"std","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:45:35Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\changelog\\\\2026-04-27.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:46:10Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\PROJECT.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}
{"ts":"2026-04-26T22:46:24Z","tool":"Write","file":"C:\\\\visual studio code\\\\projekty\\\\szkoleniauryzaj.pl\\\\.paul\\\\ROADMAP.md","cwd":"/c/visual studio code/projekty/szkoleniauryzaj.pl"}

269
.paul/phases/01-rodo-cookie-consent/01-01-PLAN.md Normal file
View File

@@ -0,0 +1,269 @@
---
phase: 01-rodo-cookie-consent
plan: 01
type: execute
wave: 1
depends_on: []
files_modified:
- wp-content/themes/body-relax/functions.php
autonomous: false
delegation: off
---
<objective>
## Goal
Dokończyć integrację RODO: zablokować PixelYourSite (Facebook Pixel) gdy brak zgody oraz naprawić scenariusz powracającego użytkownika w Consent Mode v2.
## Purpose
Audyt kodu wykazał:
- `cookies.php` (Divi `header.php` linia 4, przed `wp_head()`) już ustawia Consent Mode v2 defaults (all denied) — AC-4 jest spełnione ✅
- `googleConsentModeHandler()` w JS aktualizuje consent po `window.load` — działa dla nowych użytkowników ✅
- **Problem 1:** dla powracających użytkowników (mają cookie `cnp_consent=true`) GTM czeka maks. 500ms (`wait_for_update`), a consent update przychodzi z JS po załadowaniu strony — ryzyko race condition na wolnych połączeniach ⚠️
- **Problem 2:** PixelYourSite ładuje Facebook Pixel server-side (PHP), niezależnie od cookies zgody — nie honoruje `cnp_consent`
Cookies ustawiane przez Cookie Notice Pro (Flerosoft jQuery plugin w `Divi/libs/CookieNoticePro/`):
- `cnp_consent` = `"true"` (akceptacja) lub `"false"` (odmowa)
- `cnp_prefs` = JSON URL-encoded, np. `["necessary","marketing","analytics"]`
## Output
`wp-content/themes/body-relax/functions.php` — dodane dwie funkcje:
1. Early consent update (wp_head priority 1) — PHP odczytuje `cnp_consent`/`cnp_prefs`, wywołuje `gtag('consent', 'update', ...)` przed snippetem GTM — eliminuje race condition
2. PixelYourSite GDPR filter — granularnie blokuje pixele na podstawie kategorii zgody
</objective>
<context>
## Project Context
@.paul/PROJECT.md
## Source Files
@wp-content/themes/body-relax/functions.php
@wp-content/themes/Divi/libs/CookieNoticePro/cookies.php
@wp-content/themes/Divi/libs/CookieNoticePro/cookienoticepro.script.js
@wp-content/themes/Divi/header.php
@wp-content/plugins/pixelyoursite/includes/class-events-manager.php
@wp-content/plugins/pixelyoursite/includes/functions-gdpr.php
</context>
<acceptance_criteria>
## AC-1: Powracający użytkownik — brak race condition w Consent Mode
```gherkin
Given użytkownik ma cookie cnp_consent="true" i cnp_prefs zawierający "marketing","analytics"
When strona się ładuje
Then w <head> PRZED snippetem GTM pojawia się gtag('consent', 'update', {all: 'granted'})
And GTM tagi śledzące mogą się uruchomić od razu (nie czekają na JS po window.load)
```
## AC-2: Granularna blokada PixelYourSite
```gherkin
Given brak cookie cnp_consent lub cnp_consent="false"
When PHP renderuje stronę
Then PixelYourSite nie wstrzykuje kodu Facebook Pixel (fbq) na stronie
```
## AC-3: Kategorie zgody honorowane przez PixelYourSite
```gherkin
Given cnp_consent="true" ale cnp_prefs NIE zawiera "marketing"
When PHP renderuje stronę
Then Facebook Pixel jest zablokowany (brak kategorii marketing)
And jeśli cnp_prefs zawiera "analytics" pixele analityczne działają
```
## AC-4: Consent Mode v2 defaults — już działa, nie psuć
```gherkin
Given cookies.php jest includowany w header.php linia 4 (przed wp_head)
When strona się ładuje
Then gtag('consent', 'default', {all: 'denied'}) jest ustawione przed GTM NIE ZMIENIAJ tego mechanizmu
```
</acceptance_criteria>
<tasks>
<task type="auto">
<name>Task 1: Early consent update dla powracających użytkowników</name>
<files>wp-content/themes/body-relax/functions.php</files>
<action>
Dodaj na końcu pliku funkcję hookowaną do `wp_head` z priorytetem 1.
Cel: gdy użytkownik ma już cookie `cnp_consent=true`, PHP odczytuje je server-side
i wstrzykuje `gtag('consent', 'update', ...)` PRZED snippetem GTM (GTM enqueuje się
przez wp_head, który odpala hooki w kolejności priorytetów — nasz priority 1 jest pierwszy).
Dla nowych użytkowników (brak cookie) — funkcja nic nie robi, defaults z cookies.php wystarczą.
```php
add_action( 'wp_head', 'szkolenia_consent_early_update', 1 );
function szkolenia_consent_early_update() {
$consent = isset( $_COOKIE['cnp_consent'] ) ? $_COOKIE['cnp_consent'] : '';
if ( $consent !== 'true' ) {
return; // Nowy użytkownik lub odmowa — defaults z cookies.php wystarczą
}
$prefs = [];
if ( isset( $_COOKIE['cnp_prefs'] ) ) {
$decoded = json_decode( urldecode( $_COOKIE['cnp_prefs'] ), true );
if ( is_array( $decoded ) ) {
$prefs = $decoded;
}
}
$analytics = in_array( 'analytics', $prefs ) ? 'granted' : 'denied';
$marketing = in_array( 'marketing', $prefs ) ? 'granted' : 'denied';
?>
<script>
// Early consent update — powracający użytkownik (server-side cookie check)
window.dataLayer = window.dataLayer || [];
if (typeof gtag !== 'function') { function gtag(){dataLayer.push(arguments);} }
gtag('consent', 'update', {
'analytics_storage': '<?php echo esc_js( $analytics ); ?>',
'ad_storage': '<?php echo esc_js( $marketing ); ?>',
'ad_user_data': '<?php echo esc_js( $marketing ); ?>',
'ad_personalization': '<?php echo esc_js( $marketing ); ?>'
});
</script>
<?php
}
```
UWAGA: `cookies.php` (z Divi) już definiuje `dataLayer` i `gtag` — `if (typeof gtag !== 'function')` jest zabezpieczeniem na wypadek gdyby kolejność kiedyś się zmieniła. Nie usuwaj.
UWAGA: Nie modyfikuj `cookies.php` ani żadnego pliku w `wp-content/themes/Divi/` ani `wp-content/plugins/`.
UWAGA: Dodaj na końcu pliku, za istniejącym kodem.
</action>
<verify>
1. `php -l wp-content/themes/body-relax/functions.php` — brak błędów
2. W przeglądarce z cookie `cnp_consent=true` (ustaw ręcznie w DevTools): DevTools → Elements → `<head>` — szukaj `gtag('consent', 'update'` — powinno być PRZED skryptem GTM
3. W przeglądarce bez cookie: brak `gtag('consent', 'update'` w źródle — tylko `gtag('consent', 'default'` z cookies.php
</verify>
<done>AC-1 spełnione: early consent update dla powracających użytkowników</done>
</task>
<task type="auto">
<name>Task 2: PixelYourSite GDPR filter z granularnymi kategoriami</name>
<files>wp-content/themes/body-relax/functions.php</files>
<action>
Dodaj po Task 1 granularne filtry WordPress dla PixelYourSite.
PixelYourSite używa filtrów:
- `pys_disable_by_gdpr` — blokuje WSZYSTKIE pixele (zwróć true = zablokuj)
- `pys_disable_facebook_by_gdpr` — tylko Facebook Pixel
- `pys_disable_analytics_by_gdpr` — tylko Google Analytics
- `pys_disable_bing_by_gdpr` — tylko Microsoft/Bing Ads
Mapowanie kategorii Cookie Notice Pro → typy pikseli:
- "marketing" → Facebook Pixel, Bing Ads
- "analytics" → Google Analytics
```php
add_filter( 'pys_disable_facebook_by_gdpr', 'szkolenia_pys_marketing_consent' );
add_filter( 'pys_disable_bing_by_gdpr', 'szkolenia_pys_marketing_consent' );
function szkolenia_pys_marketing_consent( $disabled ) {
if ( $disabled ) return true;
return ! szkolenia_cnp_has_preference( 'marketing' );
}
add_filter( 'pys_disable_analytics_by_gdpr', 'szkolenia_pys_analytics_consent' );
add_filter( 'pys_disable_google_ads_by_gdpr', 'szkolenia_pys_marketing_consent' );
function szkolenia_pys_analytics_consent( $disabled ) {
if ( $disabled ) return true;
return ! szkolenia_cnp_has_preference( 'analytics' );
}
function szkolenia_cnp_has_preference( $type ) {
if ( ! isset( $_COOKIE['cnp_consent'] ) || $_COOKIE['cnp_consent'] !== 'true' ) {
return false;
}
if ( ! isset( $_COOKIE['cnp_prefs'] ) ) {
return false;
}
$prefs = json_decode( urldecode( $_COOKIE['cnp_prefs'] ), true );
return is_array( $prefs ) && in_array( $type, $prefs, true );
}
```
UWAGA: Filtry `pys_disable_*_by_gdpr` zwracają `true` = zablokuj, `false` = pozwól.
UWAGA: `szkolenia_cnp_has_preference` jest funkcją pomocniczą — zdefiniuj ją tylko raz.
UWAGA: Nie dodawaj `pys_disable_by_gdpr` (globalnego) — granularne filtry są bardziej precyzyjne i nie zablokują Pinterest jeśli będzie potrzebny.
</action>
<verify>
1. `php -l wp-content/themes/body-relax/functions.php` — brak błędów
2. Tryb incognito (brak cookies): DevTools → Elements → Ctrl+F szukaj `fbq(` — NIE powinno być w źródle
3. Z cookie `cnp_consent=true` i `cnp_prefs=["necessary","marketing","analytics"]` (URL-encoded, ustaw w DevTools): `fbq(` powinno być widoczne w źródle
4. Z cookie `cnp_consent=true` i `cnp_prefs=["necessary","analytics"]` (bez marketing): `fbq(` NIE powinno być (marketing zablokowany)
</verify>
<done>AC-2 i AC-3 spełnione: PixelYourSite honoruje kategorię "marketing" i "analytics"</done>
</task>
<task type="checkpoint:human-verify" gate="blocking">
<what-built>
Dwie funkcje w `wp-content/themes/body-relax/functions.php`:
1. `szkolenia_consent_early_update()` — PHP early gtag update dla powracających użytkowników
2. `szkolenia_pys_*_consent` filtry — granularna blokada PixelYourSite
</what-built>
<how-to-verify>
**Test A — Nowy użytkownik (brak zgody):**
1. Otwórz stronę w trybie incognito
2. DevTools → Network: BRAK requestów do `facebook.com/tr`
3. DevTools → Elements → `<head>`: widoczny `gtag('consent', 'default', {...denied...})` z cookies.php, brak `gtag('consent', 'update', ...)`
4. DevTools → Elements: brak `fbq(` w kodzie strony
**Test B — Powracający użytkownik (pełna zgoda):**
1. DevTools → Application → Cookies → dodaj:
- `cnp_consent` = `true`
- `cnp_prefs` = `%5B%22necessary%22%2C%22preferences%22%2C%22marketing%22%2C%22analytics%22%5D`
2. Odśwież stronę (NIE incognito)
3. DevTools → Elements → `<head>`: widoczny `gtag('consent', 'update', {all: 'granted'})` PRZED snippetem GTM
4. DevTools → Elements: widoczny `fbq(` w kodzie strony
**Test C — Użytkownik zaakceptował tylko analitykę (bez marketingu):**
1. Ustaw cookies: `cnp_consent=true`, `cnp_prefs=%5B%22necessary%22%2C%22analytics%22%5D`
2. Odśwież
3. DevTools → Elements: BRAK `fbq(` (Facebook zablokowany bo brak "marketing")
4. `gtag('consent', 'update', {...})`: `analytics_storage: 'granted'`, `ad_storage: 'denied'`
**Test D — Kliknięcie "Akceptuj" w banerze:**
1. Wyczyść cookies, odśwież stronę incognito — baner powinien się pojawić
2. Kliknij "Akceptuj"
3. Odśwież stronę — cookie `cnp_consent=true` powinno być ustawione
4. Network tab: widoczne requesty Facebook Pixel
</how-to-verify>
<resume-signal>Wpisz "approved" jeśli wszystkie testy przeszły, lub opisz co nie działa</resume-signal>
</task>
</tasks>
<boundaries>
## DO NOT CHANGE
- wp-content/themes/Divi/* (w tym `libs/CookieNoticePro/cookies.php`, `header.php`) — Consent Mode v2 defaults już działają
- wp-content/plugins/* (żadne pliki wtyczek)
- wp-content/themes/body-relax/style.css
- wp-content/themes/body-relax/divi-children-engine/*
## SCOPE LIMITS
- Ten plan NIE konfiguruje GTM kontenera (tagi/triggery consent-aware) — osobna praca w GTM UI
- Ten plan NIE zmienia konfiguracji Cookie Notice Pro (config w cookienoticepro.script.js)
- Nie obsługuj Pinterest (`pys_disable_pinterest_by_gdpr`) — brak przesłanek że jest używany
- Nie dodawaj error handling dla scenariuszy niemożliwych
</boundaries>
<verification>
Przed oznaczeniem planu jako ukończony:
- [ ] `php -l wp-content/themes/body-relax/functions.php` — brak błędów
- [ ] Tryb incognito: brak `fbq(` i brak consent update w HTML
- [ ] Cookie cnp_consent=true + prefs z marketing: `fbq(` w HTML i gtag update granted
- [ ] Cookie cnp_consent=true + prefs BEZ marketing: brak `fbq(`
- [ ] Checkpoint human-verify zaakceptowany
</verification>
<success_criteria>
- Wszystkie 3 AC spełnione (AC-4 był już OK przed planem)
- Weryfikacja manualna przeszła (checkpoint approved)
- Brak błędów PHP
- Strona renderuje się normalnie, baner cookies działa
</success_criteria>
<output>
Po ukończeniu utwórz `.paul/phases/01-rodo-cookie-consent/01-01-SUMMARY.md`
</output>

135
.paul/phases/01-rodo-cookie-consent/01-01-SUMMARY.md Normal file
View File

@@ -0,0 +1,135 @@
---
phase: 01-rodo-cookie-consent
plan: 01
subsystem: tracking
tags: [gdpr, rodo, facebook-pixel, google-consent-mode, pixelyoursite, hfcm, wordpress]
requires: []
provides:
- Facebook Pixel zablokowany bez zgody marketingowej (fbq noop)
- Google Consent Mode v2 early update dla powracających użytkowników
- PixelYourSite granularne filtry GDPR (marketing/analytics)
affects: []
tech-stack:
added: []
patterns:
- "wp_unslash() przed json_decode($_COOKIE) w WordPress — wp_magic_quotes() stosuje addslashes na cookies"
- "fbq noop pattern — window.fbq = function(){} na wp_head priority 1 blokuje wszystkie źródła pixela"
key-files:
created: []
modified:
- wp-content/themes/Divi/functions.php
key-decisions:
- "fbq noop zamiast remove_action — universalne, niezależne od źródła pixela"
- "wp_unslash() wymagane przy odczycie $_COOKIE w WordPress 6.x"
- "Divi/functions.php zamiast body-relax/functions.php — motyw aktywnie deploywany"
patterns-established:
- "Odczyt cookie w WordPress: wp_unslash() + urldecode() + json_decode()"
duration: ~4h
started: 2026-04-26T20:00:00Z
completed: 2026-04-27T00:45:00Z
---
# Phase 1 Plan 01: Google Consent Mode v2 + Facebook Pixel GDPR — Summary
**fbq noop + PYS filtry + early consent update wdrożone w Divi/functions.php; Facebook Pixel nie odpala bez zgody marketingowej, Consent Mode v2 działa poprawnie dla nowych i powracających użytkowników.**
## Performance
| Metric | Value |
|--------|-------|
| Duration | ~4h |
| Started | 2026-04-26 |
| Completed | 2026-04-27 |
| Tasks | 2 auto + 1 checkpoint |
| Files modified | 1 |
## Acceptance Criteria Results
| Criterion | Status | Notes |
|-----------|--------|-------|
| AC-1: Powracający użytkownik — brak race condition | Pass | `szkolenia_consent_early_update` na wp_head priority 1, gtag update PRZED GTM |
| AC-2: Granularna blokada PixelYourSite | Pass | `pys_disable_facebook_by_gdpr``facebook_disabled_by_api: true` w pysOptions |
| AC-3: Kategorie zgody honorowane | Pass | fbq noop gdy brak "marketing", PYS filtry per-kategoria |
| AC-4: Consent Mode v2 defaults nie naruszone | Pass | cookies.php w header.php linia 4 bez zmian |
## Accomplishments
- Zablokowany Facebook Pixel we wszystkich 3 źródłach: HFCM (snippet w DB), PixelYourSite, woo-product-feed-pro
- `gtag('consent', 'update')` emitowany server-side przed GTM dla powracających użytkowników (eliminacja race condition)
- Odkryto i naprawiono: WordPress `wp_magic_quotes()` stosuje `addslashes()` na `$_COOKIE` — wymagane `wp_unslash()`
## Files Created/Modified
| File | Change | Purpose |
|------|--------|---------|
| `wp-content/themes/Divi/functions.php` | Modified (dodano ~70 linii po 8883) | RODO: fbq noop + consent update + PYS filtry + woosea blokada |
## Decisions Made
| Decision | Rationale | Impact |
|----------|-----------|--------|
| fbq noop zamiast remove_action | remove_action na HFCM statyczną metodę nie działał niezawodnie | Universalna blokada niezależna od źródła pixela |
| Divi/functions.php (nie body-relax) | Pliki są deployowane przez FTP — Divi jest aktywnym tematem deploywanych plików | Kod działa na serwerze produkcyjnym |
| wp_unslash() przy odczycie cookies | WP 6.x `wp_magic_quotes()` stosuje addslashes na $_COOKIE; json_decode na backslash-quoted JSON zwraca null | Poprawny odczyt kategorii zgody |
## Deviations from Plan
### Summary
| Type | Count | Impact |
|------|-------|--------|
| Auto-fixed | 3 | Istotne — bez nich pixel nadal by odpalał |
| Scope additions | 1 | Niezbędne odkrycie (wp_unslash) |
| Deferred | 0 | — |
### Auto-fixed Issues
**1. Zły plik docelowy**
- **Found during:** Task 1
- **Issue:** Kod dodany do `body-relax/functions.php` zamiast `Divi/functions.php`
- **Fix:** Przeniesienie kodu do `Divi/functions.php`
- **Verification:** Kod działa na serwerze
**2. Dodatkowe źródło fbq — woo-product-feed-pro**
- **Found during:** Checkpoint verify
- **Issue:** Plugin AdTribes ma własny pixel hooked do wp_footer bez consent check
- **Fix:** Dodano `szkolenia_block_woosea_facebook_pixel` na wp_footer priority 1
- **Verification:** remove_action działa prawidłowo dla tej funkcji
**3. Główne źródło fbq — HFCM (nie PYS)**
- **Found during:** Debugowanie
- **Issue:** Pixel w snippecie HFCM (DB) ignorował remove_action; WordPress addslashes na cookies łamał json_decode
- **Fix:** fbq noop na wp_head priority 1 + wp_unslash() w szkolenia_cnp_has_preference
- **Verification:** Playwright — fbqIsRealOrNoop=NOOP bez cookies, REAL z pełną zgodą
## Issues Encountered
| Issue | Resolution |
|-------|------------|
| PYS `cookie_notice_integration_enabled: false` — brak integracji z Cookie Notice Pro (niestandardowy plugin) | PHP filtry `pys_disable_*_by_gdpr` zamiast natywnej integracji |
| WordPress `wp_magic_quotes()``addslashes()` na `$_COOKIE` | `wp_unslash()` przed `json_decode()` |
| HFCM `remove_action` nieskuteczny dla statycznej metody podczas wp_head | fbq noop — definicja window.fbq = function(){} przed wszystkimi skryptami |
## Next Phase Readiness
**Ready:**
- RODO compliance dla Facebook Pixel, GA, Bing Ads — wdrożone
- Consent Mode v2 defaults + early update działają
- Wzorzec odczytu cookies z wp_unslash() udokumentowany
**Concerns:**
- GTM container (tagi/triggery consent-aware) — nie skonfigurowane, poza scope planu
- Testy na realnym urządzeniu z prawdziwym kliknięciem banera — niezrobione (plan zakłada checkpoint human-verify)
**Blockers:**
- Brak
---
*Phase: 01-rodo-cookie-consent, Plan: 01*
*Completed: 2026-04-27*

91
wp-content/themes/Divi/functions.php
View File

@@ -8881,3 +8881,94 @@ function podcasts_list_shortcode($atts = [], $content = null) {
}
add_shortcode('podcasts_list', 'podcasts_list_shortcode');
// RODO: Block fbq (Facebook Pixel) when no marketing consent — neutralizes HFCM/PYS/woosea scripts
add_action( 'wp_head', 'szkolenia_block_fbq_noop', 1 );
function szkolenia_block_fbq_noop() {
if ( ! szkolenia_cnp_has_preference( 'marketing' ) ) {
?>
<script>
// RODO: brak zgody marketingowej — fbq zablokowane
window.fbq = window.fbq || function() {};
window._fbq = window._fbq || window.fbq;
window.fbq.loaded = true;
window.fbq.version = '2.0';
window.fbq.queue = [];
</script>
<?php
}
}
// RODO: Early consent update for returning visitors (before GTM loads)
add_action( 'wp_head', 'szkolenia_consent_early_update', 1 );
function szkolenia_consent_early_update() {
$consent = isset( $_COOKIE['cnp_consent'] ) ? $_COOKIE['cnp_consent'] : '';
if ( $consent !== 'true' ) {
return;
}
$prefs = array();
if ( isset( $_COOKIE['cnp_prefs'] ) ) {
$decoded = json_decode( urldecode( wp_unslash( $_COOKIE['cnp_prefs'] ) ), true );
if ( is_array( $decoded ) ) {
$prefs = $decoded;
}
}
$analytics = in_array( 'analytics', $prefs ) ? 'granted' : 'denied';
$marketing = in_array( 'marketing', $prefs ) ? 'granted' : 'denied';
?>
<script>
window.dataLayer = window.dataLayer || [];
if (typeof gtag !== 'function') { function gtag(){dataLayer.push(arguments);} }
gtag('consent', 'update', {
'analytics_storage': '<?php echo esc_js( $analytics ); ?>',
'ad_storage': '<?php echo esc_js( $marketing ); ?>',
'ad_user_data': '<?php echo esc_js( $marketing ); ?>',
'ad_personalization': '<?php echo esc_js( $marketing ); ?>'
});
</script>
<?php
}
// RODO: PixelYourSite — blokada pixeli na podstawie kategorii zgody Cookie Notice Pro
add_filter( 'pys_disable_facebook_by_gdpr', 'szkolenia_pys_marketing_consent' );
add_filter( 'pys_disable_bing_by_gdpr', 'szkolenia_pys_marketing_consent' );
add_filter( 'pys_disable_google_ads_by_gdpr', 'szkolenia_pys_marketing_consent' );
function szkolenia_pys_marketing_consent( $disabled ) {
if ( $disabled ) return true;
return ! szkolenia_cnp_has_preference( 'marketing' );
}
add_filter( 'pys_disable_analytics_by_gdpr', 'szkolenia_pys_analytics_consent' );
function szkolenia_pys_analytics_consent( $disabled ) {
if ( $disabled ) return true;
return ! szkolenia_cnp_has_preference( 'analytics' );
}
function szkolenia_cnp_has_preference( $type ) {
if ( ! isset( $_COOKIE['cnp_consent'] ) || $_COOKIE['cnp_consent'] !== 'true' ) {
return false;
}
if ( ! isset( $_COOKIE['cnp_prefs'] ) ) {
return false;
}
$prefs = json_decode( urldecode( wp_unslash( $_COOKIE['cnp_prefs'] ) ), true );
return is_array( $prefs ) && in_array( $type, $prefs, true );
}
// RODO: woo-product-feed-pro (AdTribes) — blokada własnego pixela Facebook bez zgody marketingowej
add_action( 'wp_footer', 'szkolenia_block_woosea_facebook_pixel', 1 );
function szkolenia_block_woosea_facebook_pixel() {
if ( ! szkolenia_cnp_has_preference( 'marketing' ) ) {
remove_action( 'wp_footer', 'woosea_add_facebook_pixel' );
}
}
// RODO: HFCM (Header Footer Code Manager) — blokada snippetów marketingowych w <head> bez zgody
add_action( 'wp_head', 'szkolenia_block_hfcm_header', 9 );
function szkolenia_block_hfcm_header() {
if ( ! szkolenia_cnp_has_preference( 'marketing' ) ) {
remove_action( 'wp_head', array( 'NNR_HFCM', 'hfcm_header_scripts' ) );
}
}