Bekannte Einschränkungen und offene Risiken

Dieses Dokument beschreibt Einschränkungen und offene betriebliche Risiken des ADP Car Market Hub Plugins, die Kunden und Integratoren bei der Planung eines Produktiv-Deployments berücksichtigen sollten.

Wann Sie dieses Dokument verwenden sollten

Lesen Sie dieses Dokument, wenn Sie:

• Entscheiden müssen, ob das Plugin für ein bestimmtes Deployment-Szenario geeignet ist.
• Betriebliche Schutzmaßnahmen (Monitoring, Backups, externer Cron) rund um das Plugin planen.
• Kompromisse an interne Stakeholder kommunizieren müssen.

Übersicht

Das ADP Car Market Hub Plugin ist ein WordPress-Importer und ein Frontend-Layer für AutoScout24 Fahrzeugdaten. Es basiert auf Standard-WordPress-Mechanismen (Custom Post Types, Taxonomien, benutzerdefinierte Tabellen, WP-Cron, REST und AJAX). Die unten aufgeführten Einschränkungen ergeben sich aus diesen Designentscheidungen und den optionalen Drittanbieter-Integrationen, die das Plugin unterstützt.

Die Informationen in diesem Dokument sind beschreibend, nicht vorschreibend. Nutzen Sie sie als Input für Ihre eigene Risikobewertung; überprüfen Sie jeden Punkt anhand der aktuellen Plugin-Version, bevor Sie kundenorientierte Texte veröffentlichen.

Betriebliche Einschränkungen

• Abhängigkeit von WP-Cron: Geplante Importe, die Bildwarteschlange, die Warteschlange des KI-Assistenten und die Bereinigung der Analysedaten hängen alle von der Ausführung von WP-Cron ab. WP-Cron erfordert regelmäßigen Website-Traffic. Websites mit geringem Traffic sollten WP-Cron deaktivieren und wp-cron.php (oder den REST-Endpunkt für den Cron-Import) über einen zuverlässigen System-Scheduler ausführen. Siehe Cron-Events und Scheduler.
• Sperren bei gleichzeitiger Ausführung: Importe und Bildwarteschlangen-Durchläufe verwenden Transient-basierte Sperren. Wenn ein Worker unerwartet abbricht (z. B. PHP-Fatal-Error oder Hosting-Timeout), kann die Sperre den Prozess überdauern. Plugin-Updates und die Deinstallationsroutine löschen diese Transients explizit, aber Administratoren sollten darauf vorbereitet sein, as24ci_cron_import_running oder as24ci_image_queue_running manuell zu löschen, wenn ein Job festzustecken scheint.
• Einzige Quelle der Wahrheit ist der Importer: Fahrzeug-Beiträge spiegeln die importierten AutoScout24-Daten wider. Manuelle Bearbeitungen an vom Importer verwalteten Feldern können beim nächsten Import überschrieben werden. Verwenden Sie die an anderer Stelle dokumentierten manuellen Felder und manuellen Galeriebilder, wenn Sie stabile, fahrzeugspezifische Inhalte benötigen.
• Arbeitsspeicher- und Laufzeitbudgets: Sehr große Importe (mehrere tausend Fahrzeuge pro Durchlauf oder Fahrzeuge mit vielen Bildern) können die PHP-Speicher- oder max_execution_time-Limits auf Shared-Hosting-Umgebungen überschreiten. Passen Sie den Cron-Modus und die Limits für Fahrzeuge/Bilder pro Durchlauf entsprechend an.

Sicherheits- und Zugriffsrisiken

• API-Zugangsdaten liegen in wp_options: Die AutoScout24-Zugangsdaten, das Cron-Token und die gemeinsamen Webhook-Geheimnisse werden unverschlüsselt in der Datenbank gespeichert. Behandeln Sie Datenbank-Backups so, als ob sie Geheimnisse enthielten, beschränken Sie den Datenbankzugriff und rotieren Sie die Zugangsdaten nach jedem vermuteten Sicherheitsvorfall. Der vom KI-Assistenten verwendete verwaltete Gemini-API-Schlüssel wird von AD Promotion in AS24CI\Ai_Config konfiguriert und wird nicht als WordPress-Option gespeichert.
• manage_as24_imports wird nur Administratoren gewährt: Jedes Benutzerverwaltungs-Plugin, das Administratoren diese Berechtigung entzieht, sperrt sie von den Admin-Oberflächen des Importers aus. Siehe Sicherheit und Berechtigungen.
• Öffentliche REST-Endpunkte sind standardmäßig deaktiviert und sollten nur aktiviert werden, wenn deren Konsumenten bekannt sind. Die Favoriten- und Analyse-Endpunkte sind standardmäßig öffentlich und wenden eine Eingabevalidierung an, bleiben jedoch für anonymen Traffic zugänglich, wenn die entsprechenden Funktionen aktiviert sind.

Datenschutz- und Compliance-Erwägungen

• Analysen sind Opt-in, zeichnen jedoch nach der Aktivierung Besucherinteraktionen in einer benutzerdefinierten Tabelle auf. Der Modus zur Einwilligungserfassung ist verfügbar, lässt jedoch standardmäßig Interaktionen zu, wenn keine Einwilligungs-Integration in den Filter as24ci_analytics_consent_check eingebunden ist. Überprüfen Sie die Handhabung der Einwilligung in Ihrer Gerichtsbarkeit, bevor Sie Analysen aktivieren.
• Suchauftrag-Abonnements speichern personenbezogene Daten (E-Mail und Suchkriterien). Die Tabelle wird bei der Deinstallation gelöscht, aber Kunden müssen dennoch ihren eigenen Löschpflichten auf Anfrage im normalen Betrieb nachkommen.
• Der KI-Assistent überträgt Fahrzeugdaten an den verwalteten Gemini-Endpunkt: Wenn diese Option aktiviert ist, werden Prompts und der Kontext des Inserats an die verwaltete Google Gemini-Konfiguration in ADP Car Market Hub gesendet. Überprüfen Sie die geltenden Datenverarbeitungs- und Vertragsbedingungen für das verwaltete KI-Setup, bevor Sie KI-Funktionen in der Produktivumgebung aktivieren.
• PDF-Datenblätter und QR-Codes: Der Standard-QR-Anbieter ist ein Drittanbieter-Dienst. Ersetzen Sie ihn durch einen selbstgehosteten Generator (über den Filter as24ci_pdf_qr_image_url), wenn externe Anfragen in druckbaren Dokumenten für Ihre Datenschutzrichtlinie nicht akzeptabel sind.
• E-Mail-Zustellung nutzt wp_mail(): Ob eine Benachrichtigung den Empfänger erreicht, hängt vom konfigurierten Mailer und von externen Zustellbarkeitsfaktoren ab. Das Plugin protokolliert ein Best-Effort-Flag _as24ci_lead_email_sent, garantiert jedoch keine Zustellung.

Externe Abhängigkeiten

• Die Verfügbarkeit der AutoScout24-API ist für Importe erforderlich. Netzwerkfehler und Ausfälle des Anbieters werden als fehlgeschlagene Durchläufe in den Importprotokollen ausgewiesen; ohne eingehende Daten gibt es keine neuen Fahrzeuge, selbst wenn WP-Cron planmäßig ausgeführt wird.
• Browsergestützte PDF-Generierung: Es gibt keine serverseitige PDF-Bibliothek. Die Layoutpräzision hängt von der Druck-Engine des Besucher-Browsers ab. Siehe Technische Hinweise zur PDF-Generierung.
• Verwalteter Gemini-Endpunkt: Unterliegt Google-Rate-Limits, Modell-Abkündigungen und Preisänderungen außerhalb der Kontrolle des Plugins.
• Webhook-Empfänger: Das Plugin versucht fehlgeschlagene Zustellungen eine begrenzte Anzahl von Malen erneut. Dauerhafte Ausfälle des Empfängers können dazu führen, dass Ereignisse verloren gehen; konzipieren Sie Empfänger so, dass sie idempotent sind und schnell bestätigen.

Vorbehalte zur Dokumentation und Überprüfung

• Diese Dokumentation beschreibt das im aktuellen Quellcode beobachtete Verhalten. Wo die Codebasis keine eindeutige Antwort zuließ, verwendet der Text vorsichtige Formulierungen wie „überprüfen Sie dies anhand der aktuellen Plugin-Version vor der Veröffentlichung“. Betrachten Sie solche Aussagen als Aufforderung, den Quellcode erneut zu prüfen, bevor Sie sie in Kundenverträgen zitieren.
• Standard-Modellbezeichner, unterstützte Locales und Standardwerte für Optionen können sich zwischen den Versionen ändern. Wenn Sie kundenorientiertes Material veröffentlichen, kopieren Sie die Werte aus dem aktuellen Plugin-Quellcode und nicht wortwörtlich aus diesem Dokument.

Abhilfemaßnahmen

• Richten Sie einen externen Cron-Aufruf für wp-cron.php oder den REST-Endpunkt für den Cron-Import ein, um geplante Aufgaben von geringem Traffic zu entkoppeln.
• Konfigurieren Sie externe Datenbank-Backups mit angemessener Verschlüsselung.
• Kombinieren Sie das Plugin mit einer SMTP- / Transaktions-E-Mail-Integration für eine zuverlässige Zustellung von Lead-Benachrichtigungen.
• Nutzen Sie Staging-Umgebungen, um Prompt-Vorlagen des KI-Assistenten und Einstellungen des PDF-Managers zu validieren, bevor Sie Änderungen in der Produktivumgebung anwenden.
• Dokumentieren und prüfen Sie, welche Rollen die Berechtigung manage_as24_imports besitzen und welche Drittanbieter-Dienste angebunden sind.

Zugehörige Dokumente

• Architekturübersicht
• Cron-Events und Scheduler
• REST-API-Endpunkte
• Webhooks
• Sicherheit und Berechtigungen
• Analyse-Tracking
• Technische Hinweise zum KI-Assistenten
• Technische Hinweise zur PDF-Generierung
• Verhalten bei Deinstallation und Bereinigung