Dokumentation · Technische Dokumentation

Bekannte Einschränkungen und offene Risiken

Dieses Dokument beschreibt Einschränkungen und offene betriebliche Risiken des ADP Car Market Hub-Plugins, die Kunden und Integratoren bei der Planung eines Live-Betriebs berücksichtigen sollten.

Wann Sie dieses Dokument verwenden sollten

Lesen Sie dieses Dokument, wenn Sie:

  • Entscheiden müssen, ob das Plugin für ein bestimmtes Einsatzszenario geeignet ist.
  • Betriebliche Schutzmassnahmen (Monitoring, Backups, externer Cron) rund um das Plugin planen.
  • Kompromisse an interne Stakeholder kommunizieren müssen.

Übersicht

Das ADP Car Market Hub-Plugin ist ein WordPress-Importer und eine Frontend-Ebene für AutoScout24-Fahrzeugdaten. Es basiert auf Standard-WordPress-Mechanismen (Custom Post Types, Taxonomien, benutzerdefinierte Tabellen, WP-Cron, REST und AJAX). Die folgenden Einschränkungen ergeben sich aus diesen Designentscheidungen und aus den optionalen Drittanbieter-Integrationen, die das Plugin unterstützt.

Die Informationen in diesem Dokument sind beschreibend, nicht vorschreibend. Nutzen Sie sie als Input für Ihre eigene Risikobewertung; überprüfen Sie jeden Punkt anhand der aktuellen Plugin-Version, bevor Sie kundenorientierte Texte veröffentlichen.

Betriebliche Einschränkungen

  • Abhängigkeit von WP-Cron: Geplante Importe, die Bildwarteschlange, die AI Assistant-Warteschlange und die Bereinigung der Analytics-Aufbewahrung hängen alle von der Ausführung von WP-Cron ab. WP-Cron erfordert regelmässigen Website-Traffic. Websites mit geringem Traffic sollten WP-Cron deaktivieren und wp-cron.php (oder den Cron-Import-REST-Endpunkt) über einen zuverlässigen System-Scheduler ausführen. Siehe Cron-Events und Scheduler.
  • Sperren für gleichzeitige Ausführung (Concurrent execution locks): Import- und Bildwarteschlangen-Läufe verwenden Transient-basierte Sperren. Wenn ein Worker abrupt abstürzt (z. B. PHP-Fatal-Error oder Hosting-Timeout), kann die Sperre den Prozess überdauern. Plugin-Updates und die Deinstallationsroutine löschen diese Transients explizit, aber Betreiber sollten bereit sein, as24ci_cron_import_running oder as24ci_image_queue_running manuell zu löschen, falls ein Job festzustecken scheint.
  • Der Importer ist die einzige Quelle der Wahrheit (Single Source of Truth): Fahrzeug-Beiträge spiegeln die importierten AutoScout24-Daten wider. Manuelle Bearbeitungen an vom Importer verwalteten Feldern können beim nächsten Import überschrieben werden. Verwenden Sie die an anderer Stelle dokumentierten manuellen Felder und manuellen Galeriebilder, wenn Sie stabile fahrzeugspezifische Inhalte benötigen.
  • Arbeitsspeicher- und Laufzeit-Budgets: Sehr grosse Importe (mehrere tausend Fahrzeuge pro Durchlauf oder Fahrzeuge mit vielen Bildern) können die PHP-Speicher- oder max_execution_time-Limits auf Shared-Hosting-Umgebungen überschreiten. Passen Sie den Cron-Modus und die Fahrzeug-/Bild-Obergrenzen pro Durchlauf entsprechend an.

Sicherheits- und Zugriffsrisiken

  • API-Zugangsdaten liegen in wp_options: Die AutoScout24-Client-Zugangsdaten, das Cron-Token und die gemeinsamen Webhook-Geheimnisse werden unverschlüsselt in der Datenbank gespeichert. Behandeln Sie Datenbank-Backups so, als ob sie Geheimnisse enthalten, beschränken Sie den Datenbankzugriff und rotieren Sie die Zugangsdaten nach jedem vermuteten Sicherheitsvorfall. Der vom AI Assistant verwendete verwaltete Gemini-API-Schlüssel wird von AD Promotion in AS24CI\Ai_Config konfiguriert und wird nicht als WordPress-Option gespeichert.
  • manage_as24_imports wird nur Administratoren gewährt: Jedes Benutzerverwaltungs-Plugin, das Administratoren diese Berechtigung entzieht, sperrt sie von den Admin-Oberflächen des Importers aus. Siehe Sicherheit und Berechtigungen.
  • Öffentliche REST-Endpunkte sind standardmässig deaktiviert und sollten nur aktiviert werden, wenn deren Konsumenten bekannt sind. Die Favoriten- und Analytics-Endpunkte sind standardmässig öffentlich und wenden eine Eingabevalidierung an, bleiben jedoch für anonymen Traffic zugänglich, wenn die entsprechenden Funktionen aktiviert sind.

Datenschutz- und Compliance-Erwägungen

  • Analytics ist Opt-in, zeichnet aber nach der Aktivierung Besucherinteraktionen in einer benutzerdefinierten Tabelle auf. Der Modus zur Einwilligungserklärung ist verfügbar, ist jedoch standardmässig auf "Zulassen" eingestellt, wenn keine Einwilligungs-Integration in den Filter as24ci_analytics_consent_check eingebunden ist. Überprüfen Sie die Handhabung der Einwilligung in Ihrer Gerichtsbarkeit, bevor Sie Analytics aktivieren.
  • Suchabo-Registrierungen speichern personenbezogene Daten (E-Mail und Suchkriterien). Die Tabelle wird bei der Deinstallation gelöscht, aber Kunden müssen im normalen Betrieb dennoch ihren eigenen Löschungspflichten auf Anfrage nachkommen.
  • AI Assistant überträgt Fahrzeugdaten an den verwalteten Gemini-Endpunkt: Wenn aktiviert, werden Prompts und Fahrzeugkontexte an die verwaltete Google Gemini-Konfiguration in ADP Car Market Hub gesendet. Überprüfen Sie die geltenden Datenverarbeitungs- und Vertragsbedingungen für das verwaltete AI-Setup, bevor Sie AI-Funktionen im Live-Betrieb aktivieren.
  • PDF-Datenblätter und QR-Codes: Der Standard-QR-Anbieter ist ein Drittanbieter-Dienst. Ersetzen Sie ihn durch einen selbstgehosteten Generator (über den Filter as24ci_pdf_qr_image_url), falls externe Anfragen in druckbaren Dokumenten für Ihre Datenschutzrichtlinie nicht akzeptabel sind.
  • E-Mail-Zustellung verwendet wp_mail(): Ob eine Benachrichtigung den Empfänger erreicht, hängt vom konfigurierten Mailer und von externen Zustellbarkeitsfaktoren ab. Das Plugin protokolliert ein Best-Effort-Flag _as24ci_lead_email_sent, garantiert jedoch keine Zustellung.

Externe Abhängigkeiten

  • Verfügbarkeit der AutoScout24-API ist für Importe erforderlich. Netzwerkfehler und Provider-Ausfälle werden als fehlgeschlagene Durchläufe in den Import-Logs angezeigt; ohne eingehende Daten gibt es keine neuen Fahrzeuge, selbst wenn WP-Cron planmässig ausgeführt wird.
  • Browsergestützte PDF-Generierung: Es gibt keine serverseitige PDF-Bibliothek. Die Layoutpräzision hängt von der Druck-Engine des Besucher-Browsers ab. Siehe Technische Hinweise zur PDF-Generierung.
  • Verwalteter Gemini-Endpunkt: Unterliegt Google-Rate-Limits, Modell-Abkündigungen und Preisänderungen ausserhalb der Kontrolle des Plugins.
  • Webhook-Empfänger: Das Plugin versucht fehlgeschlagene Zustellungen eine begrenzte Anzahl von Malen erneut. Dauerhafte Ausfälle des Empfängers können dazu führen, dass Ereignisse verloren gehen; konzipieren Sie Empfänger so, dass sie idempotent sind und schnell bestätigen.

Vorbehalte zur Dokumentation und Verifizierung

  • Diese Dokumentation beschreibt das im aktuellen Quellcode beobachtete Verhalten. Wo die Codebasis keine eindeutige Antwort zuliess, verwendet der Text vorsichtige Formulierungen wie "vor der Veröffentlichung anhand der aktuellen Plugin-Version überprüfen". Behandeln Sie solche Aussagen als Aufforderung, den Quellcode erneut zu prüfen, bevor Sie sie in Kundenverträgen zitieren.
  • Standard-Modellbezeichner, unterstützte Locales und Standardwerte von Optionen können sich zwischen den Releases ändern. Wenn Sie kundenorientiertes Material veröffentlichen, kopieren Sie die Werte aus dem aktuellen Plugin-Quellcode und nicht wortwörtlich aus diesem Dokument.

Massnahmen zur Risikominderung

  • Richten Sie einen externen Cron-Aufruf für wp-cron.php oder für den Cron-Import-REST-Endpunkt ein, um geplante Aufgaben von geringem Traffic zu entkoppeln.
  • Konfigurieren Sie externe Datenbank-Backups mit angemessener Verschlüsselung.
  • Kombinieren Sie das Plugin mit einer SMTP- / Transaktions-E-Mail-Integration für eine zuverlässige Lead-Benachrichtigung.
  • Nutzen Sie Staging-Umgebungen, um AI Assistant-Prompt-Vorlagen und PDF-Manager-Einstellungen zu validieren, bevor Sie Änderungen im Live-Betrieb übernehmen.
  • Dokumentieren und prüfen Sie, welche Rollen manage_as24_imports besitzen und welche Drittanbieter-Dienste angebunden sind.

Zugehörige Dokumente