Limitaciones conocidas y riesgos abiertos

Este documento detalla las limitaciones y los riesgos operativos abiertos del plugin ADP Car Market Hub que los clientes y los integradores deben tener en cuenta al planificar un despliegue en producción.

Cuándo utilizar este documento

Lea este documento si necesita:

• Decidir si el plugin es adecuado para un escenario de despliegue específico.
• Planificar medidas de seguridad operativas (monitorización, copias de seguridad, cron externo) en torno al plugin.
• Comunicar las ventajas y desventajas a las partes interesadas internas.

Descripción general

El plugin ADP Car Market Hub es un importador WordPress y una capa de frontend para los datos de vehículos de AutoScout24. Está construido sobre los mecanismos estándar de WordPress (custom post types, taxonomías, tablas personalizadas, WP-Cron, REST y AJAX). Las limitaciones que se detallan a continuación se derivan de esas decisiones de diseño y de las integraciones opcionales de terceros que admite el plugin.

La información de este documento es descriptiva, no prescriptiva. Utilícela como aportación para su propia evaluación de riesgos; verifique cada elemento con la versión actual del plugin antes de publicar textos dirigidos al cliente.

Limitaciones operativas

• Dependencia de WP-Cron: las importaciones programadas, la cola de imágenes, la cola del AI Assistant y la limpieza de retención de analíticas dependen de la ejecución de WP-Cron. WP-Cron requiere tráfico regular en el sitio. Los sitios con poco tráfico deben desactivar WP-Cron y ejecutar wp-cron.php (o llamar al endpoint REST de importación por cron) desde un programador de sistemas fiable. Consulte Cron Events And Scheduler.
• Bloqueos de ejecución concurrente: las ejecuciones de importación y de la cola de imágenes utilizan bloqueos basados en transients. Si un proceso de ejecución falla de forma crítica (por ejemplo, un error fatal de PHP o un tiempo de espera de hosting), el bloqueo puede sobrevivir al proceso. Las actualizaciones del plugin y la rutina de desinstalación borran estos transients de forma explícita, pero los operadores deben estar preparados para eliminar as24ci_cron_import_running o as24ci_image_queue_running manualmente si una tarea parece atascada.
• La única fuente de verdad es el importador: las publicaciones de vehículos reflejan los datos importados de AutoScout24. Las ediciones manuales en los campos gestionados por el importador pueden sobrescribirse en la siguiente importación. Utilice los campos manuales y las imágenes de galería manuales documentados en otra sección si necesita contenido estable por vehículo.
• Presupuestos de memoria y tiempo de ejecución: las importaciones muy grandes (varios miles de vehículos por ejecución, o vehículos con muchas imágenes) pueden superar la memoria de PHP o los límites de max_execution_time en hostings compartidos. Ajuste el modo cron y los límites de vehículos/imágenes por ejecución en consecuencia.

Riesgos de seguridad y acceso

• Las credenciales de la API residen en wp_options: las credenciales de cliente de AutoScout24, el token de cron y los secretos compartidos de los webhooks se almacenan sin cifrar en la base de datos. Trate las copias de seguridad de la base de datos como contenedores de secretos, restrinja el acceso a la base de datos y rote las credenciales tras cualquier sospecha de compromiso de seguridad. La clave de API de Gemini gestionada que utiliza el AI Assistant la configura AD Promotion en AS24CI\Ai_Config y no se almacena como una opción de WordPress.
• manage_as24_imports se concede únicamente a los administradores: cualquier plugin de gestión de usuarios que elimine esta capacidad a los administradores les impedirá el acceso a las interfaces de administración del importador. Consulte Security And Capabilities.
• Los endpoints REST públicos están desactivados por defecto y solo deben activarse si se conocen sus consumidores. Los endpoints de favoritos y analíticas son públicos por diseño y aplican validación de entrada, pero permanecen expuestos al tráfico anónimo cuando las funciones correspondientes están activadas.

Consideraciones de privacidad y cumplimiento normativo

• Las analíticas son de inclusión voluntaria (opt-in) pero, una vez activadas, registran las interacciones de los visitantes en una tabla personalizada. El modo de requerir consentimiento está disponible, pero por defecto se permite cuando no hay ninguna integración de consentimiento conectada al filtro as24ci_analytics_consent_check. Verifique la gestión del consentimiento en su jurisdicción antes de activar las analíticas.
• Las suscripciones de agentes de búsqueda almacenan datos personales (correo electrónico y criterios de búsqueda). La tabla se elimina al desinstalar, pero los clientes deben cumplir con sus propias obligaciones de eliminación bajo petición durante el funcionamiento normal.
• El AI Assistant transmite datos del vehículo al endpoint gestionado de Gemini: cuando está activado, las instrucciones (prompts) y el contexto del anuncio se envían a la configuración gestionada de Google Gemini en ADP Car Market Hub. Revise el procesamiento de datos aplicable y los términos contractuales para la configuración gestionada de IA antes de activar las funciones de IA en producción.
• Fichas técnicas en PDF y códigos QR: el proveedor de códigos QR por defecto es un servicio de terceros. Reemplácelo con un generador autoalojado (a través del filtro as24ci_pdf_qr_image_url) si las solicitudes externas en documentos imprimibles no son aceptables para su política de privacidad.
• El envío de correos electrónicos utiliza wp_mail(): el hecho de que una notificación llegue al destinatario depende del gestor de correo configurado y de factores de entregabilidad externos. El plugin registra una marca _as24ci_lead_email_sent de mejor esfuerzo, pero no garantiza la entrega.

Dependencias externas

• La disponibilidad de la API de AutoScout24 es obligatoria para las importaciones. Los errores de red y las caídas del proveedor se muestran como ejecuciones fallidas en los logs de importación; si no hay datos entrantes, no habrá vehículos nuevos, incluso con WP-Cron ejecutándose según lo programado.
• Generación de PDF basada en el navegador: no existe una biblioteca de PDF en el lado del servidor. La precisión del diseño depende del motor de impresión del navegador del visitante. Consulte PDF Generation Technical Notes.
• Endpoint gestionado de Gemini: sujeto a los límites de velocidad de Google, la depreciación de modelos y los cambios de precios fuera del control del plugin.
• Receptores de webhooks: el plugin reintenta las entregas fallidas un número limitado de veces. Las caídas persistentes del receptor pueden provocar la pérdida de eventos; diseñe los receptores para que sean idempotentes y respondan rápidamente.

Advertencias sobre documentación y verificación

• Esta documentación describe el comportamiento observado en el código fuente actual. En los casos en que el código base no permitía una respuesta concluyente, el texto utiliza una redacción cautelosa como "verifique con la versión actual del plugin antes de publicar". Trate estas afirmaciones como un aviso para comprobar el código fuente de nuevo antes de citarlas en contratos con clientes.
• Los identificadores de modelos por defecto, los idiomas admitidos y los valores predeterminados de las opciones pueden cambiar entre versiones. Al publicar material dirigido al cliente, copie los valores del código fuente actual del plugin en lugar de este documento de forma literal.

Mitigaciones

• Programe una llamada de cron externa a wp-cron.php o al endpoint REST de importación por cron para aislar el trabajo programado del tráfico bajo.
• Configure copias de seguridad de la base de datos fuera del sitio con el cifrado adecuado.
• Combine el plugin con una integración de SMTP / correo transaccional para obtener notificaciones de leads fiables.
• Utilice entornos de prueba (staging) para validar las plantillas de instrucciones del AI Assistant y los ajustes del PDF Manager antes de aplicar los cambios en producción.
• Documente y audite qué roles poseen manage_as24_imports y qué servicios de terceros están conectados.

Documentos relacionados

• Architecture Overview
• Cron Events And Scheduler
• REST API Endpoints
• Webhooks
• Security And Capabilities
• Analytics Tracking
• Ai Assistant Technical Notes
• Pdf Generation Technical Notes
• Uninstall And Cleanup Behavior