DE EN
WordPress Consent Plugin WordPress Consent Plugin

Scripts blockiert
Consent erzwungen
Real consent
enforcement

COOKR unterbricht Script-Ausführung serverseitig — deterministisch, lokal, ohne externe Abhängigkeiten. COOKR blocks scripts before consent — server-side, deterministic, zero external dependencies.

0 externe Anfragen external requests
100% lokal gespeichert stored locally
GCM v2 Google Consent Mode v2 — Googles Standard, um Cookie-Zustimmung an Google-Tags (Analytics, Ads) zu signalisieren. Google Consent Mode v2 — Google's standard for signaling cookie consent to Google tags (Analytics, Ads). ready ready
CSP Content Security Policy — Browser-Mechanismus, der einschränkt, welche Skripte ausgeführt werden dürfen. COOKR hält wiederhergestellte Skripte CSP-konform (Nonce-fähig). Content Security Policy — a browser mechanism restricting which scripts may run. COOKR keeps restored scripts CSP-compatible (nonce-aware). kompatibel compatible
Das Problem The problem

Banner sind Kosmetik.
COOKR nicht.
Banners are cosmetic.
COOKR isn't.

Schicke Consent-Banner bringen keinen echten Datenschutz. Scripts laufen trotzdem — und meistens bevor der Nutzer überhaupt entscheiden konnte. COOKR unterbricht die Ausführung serverseitig, ohne dass der Browser sie jemals sieht. Cosmetic consent banners are not real privacy. Scripts still fire — before the user has made any decision. COOKR interrupts execution server-side, before they ever reach the browser.

Andere Plugins Other plugins
  • Scripts laufen vor der Einwilligung Scripts fire before consent
  • Externe SaaS-Abhängigkeit External SaaS dependency
  • Aufgeblähte SDKs, CLS-Probleme Bloated SDKs, CLS issues
  • Abo-Fallen, Daten beim Anbieter Subscription traps, data at vendor
  • Keine Einsicht, was tatsächlich läuft No visibility into what actually runs
  • Bricht bei Caching- & CDN-Setups Breaks under caching & CDN setups
COOKR
  • Echter Pre-Consent-Block via Output Buffer Real pre-consent block via output buffer
  • 100% lokal — kein externer Server 100% local — no external server
  • Kein Bloat, kein CLS, keine Subscription No bloat, no CLS, no subscription
  • GCM v2, CSP-aware, Developer API GCM v2, CSP-aware, Developer API
  • Runtime Inspector zeigt jedes Script & iFrame, bevor der Browser es sieht Runtime Inspector shows every script & iframe before the browser does
  • Getestet mit gängigen Caching- & Optimierungs-Stacks Tested against major caching & optimization stacks
Wie es funktioniert How it works

Die meisten Banner
fragen erst später!
Scripts fire
before you decide

Seitenaufruf Page request WordPress generiert die Seite über PHP WordPress generates page via PHP
Scripts erkannt Scripts detected Output Buffer abgefangen vor Browser-Ausgabe Output buffer captured before browser output
COOKR unterbricht Ausführung COOKR intercepts execution WP_HTML_Tag_Processor neutralisiert alle Tracker-Scripts serverseitig WP_HTML_Tag_Processor neutralises all tracker scripts server-side
Consent-Prüfung Consent check Cookie-Status ausgelesen — kein externer Aufruf Cookie state read locally — zero external calls
Kein Consent No consent Script bleibt blockiert Script stays blocked
Consent erteilt Consent granted Script wird freigegeben Script released
Abgefangene Scripts Intercepted scripts
gtag.js AnalyticsAnalytics
blockiertblocked freigegebenreleased
fbevents.js MarketingMarketing
blockiertblocked freigegebenreleased
youtube.com/embed Ext. MedienExt. media
blockiertblocked freigegebenreleased
googletagmanager.com AnalyticsAnalytics
blockiertblocked freigegebenreleased
Runtime Observability Runtime Observability

Die meisten Tools sagen dir,
was blockiert werden sollte.
COOKR zeigt dir,
was tatsächlich ausgeführt wird.
Most tools tell you
what should be blocked.
COOKR shows you
what actually executes.

Unbekannte Drittanbieter erkennen Unknown third-party detection

Erkennt externe Domains ohne Consent-Kategorie — auch durch Plugins oder Themes injiziert. Surfaces external domains without a consent category — including scripts injected by plugins or themes.

Echte Ausführungssichtbarkeit Real execution visibility

COOKR arbeitet im Output Buffer — es sieht jede Script- und Iframe-Quelle bevor der Browser sie erhält. COOKR operates in the output buffer — it sees every script and iframe source before the browser does.

Consent-bewusste Laufzeitprüfung Consent-aware runtime inspection

Unterscheidet blockierte Tracker, freigegebene Scripts und unbekannte Ausführungsquellen — in einer Ansicht. Distinguishes blocked trackers, released scripts, and unknown sources — all in one view.

RADR- Version RADR- Version Persistente Erkennungen mit Verlauf und deployment-weiter Inventarisierung. Persistent detections with history and deployment-wide domain inventory.

COOKR — Runtime Inspector Live Live
Log Timeline State GCM CSP Runtime
yoursite.com/blog Render: gerade eben Render: just now
Blockiert (bekannte Tracker) Blocked (known trackers)
googletagmanager.com blockiert blocked
connect.facebook.net blockiert blocked
youtube.com blockiert blocked
Unbekannte Ausführungsquelle Unknown execution source
analytics.examplecdn.com unbekannt unknown
Von COOKR nicht kategorisiert — manuell prüfen Not categorized by COOKR — review manually
COOKR — RADR
RADR ACTIVE
Monitoring 0 services across your site. Monitoring 0 services across your site.
2 services active before consent.
RADR can configure blocking automatically.
2 services active before consent.
RADR can configure blocking automatically.
Service Category Risk Status
Google Tag Manager googletagmanager.com
Analytics High
Meta Pixel connect.facebook.net
Marketing High
YouTube youtube.com
Ext. Medien Medium
Google Fonts fonts.googleapis.com
Fonts Medium
Stripe stripe.com
Zahlungen None Funktional
RADR RADR

Du weißt nicht,
was deine Website
tatsächlich lädt.
You don't know
what your website
actually loads.

RADR erkennt Tracker, externe Dienste und neue Skripte automatisch — und zeigt dir, was auf deiner Website wirklich läuft. RADR detects trackers, external services, and new scripts automatically — and shows you what really runs on your website.

  • Neue Tracker erkennen Detect new trackers
  • Consent-relevante Dienste identifizieren Identify consent-relevant services
  • Empfehlungen automatisch anwenden Apply recommendations automatically

Volle Kontrolle.
Keine Überraschungen.
Full control.
No surprises.

Philosophie Philosophy

Runtime-first.
By design.
Runtime-first.
By design.

„COOKR behandelt Consent als Teil des Charakters einer Website — nicht als rechtliche Unterbrechung, sondern als ruhigen Moment des Vertrauens. Ruhig, bewusst und absichtlich zurückhaltend gestaltet. Denn Vertrauen ist eine Produktentscheidung.“ “COOKR treats consent as part of the character of a website — not a legal interruption, but a quiet moment of trust. Calm, deliberate, and restrained by design. Because trust is a product decision.”

01 Runtime-first Runtime-first Consent steuert die Ausführung — nicht nur den UI-Zustand. Consent controls execution, not just UI state.
02 Self-hosted Self-hosted Kein externer CMP-Dienst. Keine Remote-Policy-Engine. No external CMP service or remote policy engine.
03 Deterministisch Deterministic Ausführung wird durch expliziten Consent-Status gesperrt. Execution is gated by explicit consent state.
04 Local-first Local-first Consent-Entscheidungen verbleiben auf dem Gerät des Nutzers. Consent decisions remain on the visitor's device.
01

Block first Block first

Scripts werden per PHP Output Buffer abgefangen — bevor der Browser sie je erhält. Kein JavaScript-Trick. Echte Server-seitige Unterbrechung. Scripts are intercepted via PHP output buffer — before the browser ever receives them. No JavaScript trick. Real server-side interruption.

02

Local first Local first

Keine externen Server. Keine SaaS-Schicht. Keine Abo-Falle. Consent-Daten bleiben in deiner WordPress-Datenbank — vollständig unter deiner Kontrolle. No external servers. No SaaS layer. No subscription trap. Consent data stays in your WordPress database — fully under your control.

03

Developer first Developer first

Vollständige JS API, CSP-Nonce-Propagation, GCM v2, Debug Inspector. Gebaut für Agenturen und Entwickler. Full JS API, CSP nonce propagation, GCM v2, debug inspector. Built for agencies and developers.

Features Features

Alles was du brauchst.
Nichts was du nicht brauchst.
Everything you need.
Nothing you don't.

Kernfunktionen Core features Entwickler-Tools Developer tools
Auto-Blocker Auto-Blocker

Automatisches Abfangen von <script> und <iframe> Tags via WP_HTML_Tag_Processor — kein Regex-Parsing des gesamten HTML. Automatic interception of <script> and <iframe> tags via WP_HTML_Tag_Processor — no full-HTML regex parsing.

Google Consent Mode v2 Zero Config

Default-State wird vor GTM gesetzt. wait_for_update korrekt konfiguriert. Alle 4 Signale: analytics_storage, ad_storage, ad_user_data, ad_personalization. Default state set before GTM loads. wait_for_update correctly configured. All 4 signals: analytics_storage, ad_storage, ad_user_data, ad_personalization.

Debug Inspector Debug Inspector

5-Tab-Panel: Log, Timeline, State, GCM, CSP. Zugänglich via ?cookr_debug=1 — nur für Admins. Kein Byte an Besucher. 5-tab panel: Log, Timeline, State, GCM, CSP. Accessible via ?cookr_debug=1 — admins only. Zero bytes to visitors.

Consent-Protokoll Consent log

Jede Consent-Entscheidung wird protokolliert. IP gehasht, nie roh gespeichert. Rate-limitiert. Lokal in deiner WordPress-Datenbank. Every consent decision logged. IP hashed, never stored raw. Rate-limited. Local in your WordPress database.

Custom CSS + Presets Custom CSS + Presets

Live-Vorschau im Admin. Stabile CSS-Selektoren. Preset-Bibliothek für Agentur-Workflows. Kein visueller Builder. Live preview in admin. Stable CSS selectors. Preset library for agency workflows. No visual builder.

Developer JS API Developer JS API

window.cookrConsent: has(), require(), whenConsented(), on(), off(), getConsent(), reset(). Vollständig dokumentiert. window.cookrConsent: has(), require(), whenConsented(), on(), off(), getConsent(), reset(). Fully documented.

CSP-aware CSP-aware

Nonce-Propagation bei Script-Wiederherstellung. Kompatibel mit strict-dynamic. Kein unsafe-inline erforderlich. Nonce propagation on script restoration. Compatible with strict-dynamic. No unsafe-inline required.

Self-Test Diagnostics Self-test diagnostics

10-Punkte-Gesundheitscheck direkt im Admin. PASS / WARN / FAIL. Kein externer Service. 10-point health check directly in admin. PASS / WARN / FAIL. No external service.

Kompatibilität Compatibility

Getestet.
Dokumentiert.
Tested.
Documented.

COOKR wurde gegen die häufigsten WordPress-Optimierungsschichten getestet. Echte Deployments, keine synthetischen Tests. COOKR has been tested against the most common WordPress optimisation stacks. Real deployments, not synthetic tests.

✓ Pass Autoptimize
✓ Pass LiteSpeed Cache
✓ Pass Google Tag Manager
✓ Pass Google Analytics 4
✓ Pass Facebook Pixel
✓ Pass Elementor 4
✓ Pass WordPress 6.9
⏸ Pending WP Rocket
Developer API Developer API
cookrConsent API
// Check consent state
cookrConsent.has('analytics'); // → bool

// Fire callback when consent granted
cookrConsent.whenConsented('marketing')
  .then(function(prefs) {
    // init marketing scripts
  });

// Listen for consent events
cookrConsent.on('consent', function(prefs) {
  console.log(prefs.analytics);
});

// PHP: wrap a script manually
cookr_wrap_script( $tag, 'analytics' );
Deployment Deployment

Self-hosted — immer Self-hosted — always

COOKR läuft vollständig in deiner WordPress-Installation. Keine Cloud. Keine Abhängigkeit. Keine laufenden Kosten für die CORE Version. COOKR runs entirely on your WordPress installation. No cloud. No dependency. No ongoing costs for CORE.

CORE Kostenlos Free
€0 / unbegrenzt unlimited
  • Self-hosted Runtime-Infrastruktur Self-hosted runtime infrastructure
  • Auto-Blocker
  • Runtime Inspector
  • CSP-aware
  • JS API
  • Google Consent Mode v2
  • Unbegrenzte CSS-Presets Unlimited CSS presets
CORE herunterladen Download CORE
RADR Früher Zugang Early access
€149 / Jahr year
  • Alles aus CORE Everything in CORE
  • Runtime-Erkennung von Drittanbieter-Diensten Runtime third-party service detection
  • Klassifizierung & Risikobewertung Classification & risk assessment
  • Automatische Blocking-Empfehlungen Automatic blocking recommendations
  • Kuratierte Signatur-Datenbank Curated signature database
  • Automatische Signatur-Updates Automatic signature updates
  • Runtime Intelligence Layer Runtime intelligence layer
Frühen Zugriff anfragen Request early access

Self-hosted. Local-first. Keine Besucherdaten verlassen deine Website. Self-hosted. Local-first. No visitor data leaves your server.

Präsentationsmodi Presentation modes

Zurückhaltend gestaltet.
Bewusst reduziert.
Calm by default.
Authored by design.

Keine zufällig generierten Presets — sondern sorgfältig erstellte Banner-Designs, die Vertrauen vermitteln und in ihrer Schlichheit zeitlos sind.
Für CORE und RADR.
These are not arbitrary themes. They are carefully authored presentation modes — starting points for a consent experience that feels intentional.
For CORE and RADR.

1. Quiet
Minimal. Ruhig. Unaufdringlich. Minimal. Subtle. Unobtrusive.
Best for: Publisher, Blogs, Minimal Sites.Publishers, blogs, minimal brands.
2. Glass
Subtil. Elegant. Gegenwärtig. Subtle. Elegant. Contemporary.
Best for: SaaS, Premium-Marken, Corporate.SaaS, premium brands, corporate sites.
3. Warm
Menschlich. Zugänglich. Sanft. Human. Approachable. Soft.
Best for: Lifestyle, Hospitality, Boutiques.Lifestyle, hospitality, boutiques.
4. Brutal
Direkt. Explizit. Ehrlich. Direct. Explicit. Honest.
Best for: Developer, Privacy, Security.Developers, privacy, security.
5. Terminal
Technisch. Retro. Diskret. Technical. Retro. Discreet.
Best for: Dev Tools, Security, Infrastruktur.Dev tools, security, infrastructure.
Kontakt Contact

Interesse?
Meld dich!
Interested?
Get in touch!

Ob für den Einsatz auf deiner Site, in Kundenprojekten oder für die Agentur-Lizenz — schreib uns einfach. Whether for your own site, client projects, or the agency tier — just reach out.

Wir antworten innerhalb von 24h. We respond within 24h.