Agent Pilot

Agent Pilot verwandelt Ihre WordPress-Site in einen sicheren remote MCP-Server (Model Context Protocol). Installieren Sie ihn, verbinden Sie Claude — von claude.ai im Web, aus Claude Desktop oder aus Claude Code — und Ihre Site wird zu etwas, das Claude tatsächlich bedienen kann: Beiträge und Produkte durchsuchen, Seiten markengerecht entwerfen und bearbeiten, WooCommerce-Bestellungen aktualisieren, Kommentare moderieren, Caches leeren und vieles mehr.

Der schwierige Teil daran, einer KI Zugriff auf Ihre Site zu geben, ist es, sicher zu tun. Genau um dieses Problem ist Agent Pilot herum aufgebaut. Jede Verbindung durchläuft einen vollständigen OAuth-2.1-Handshake, jedes Access-Token ist an einen bestimmten WordPress-Benutzer gebunden, und jedes Tool prüft die Capabilities dieses Benutzers erneut, bevor es ausgeführt wird. Claude kann niemals mehr tun als die Person, die es autorisiert hat — und alles, was es tut, wird in ein Audit-Log geschrieben, das Sie jederzeit einsehen und widerrufen können.

Agent Pilot OAuth consent screen — Der Zustimmungsbildschirm: Bevor eine Verbindung funktioniert, meldet sich ein Administrator an und gibt genau das frei, was der Agent tun darf. Der Agent erbt die Capabilities dieses Benutzers — niemals mehr.

Highlights

Standardbasiert und client-unabhängig. Ein konformer MCP-Server über den Streamable-HTTP-Transport mit vollem OAuth 2.1 (Authorization Code + PKCE + Refresh, Dynamic Client Registration). Funktioniert ab Werk mit den benutzerdefinierten Connectors von claude.ai, mit Claude Desktop und mit Claude Code.
Mehrbenutzer- und mehrinstanzfähig. Verbinden Sie mehrere Claude-Instanzen — sogar als unterschiedliche WordPress-Benutzer. Jedes Token ist an den Benutzer gebunden, der es freigegeben hat, und auf dessen Rolle beschränkt. Der Connector eines Shop-Managers sieht nur, was ein Shop-Manager tun kann.
25 integrierte Tools über vier Berechtigungs-Scopes — Lesen, Inhaltserstellung, WooCommerce und Site-Verwaltung — plus ein optionaler Knowledge-Base-Scope von Chatbot Pilot und alle Tools, die andere Pilot-Plugins beisteuern (Rechnungsstellung, transaktionale E-Mails, Sicherheit, SEO, Subscriptions).
Tool-Steuerung pro Rolle und pro Benutzer. Ein eigener Tools-Bildschirm aktiviert oder deaktiviert jedes Tool — oder einen ganzen Scope — für jede WordPress-Rolle oder einzelne Benutzer. Administratoren erhalten standardmäßig alles; jede andere Rolle beginnt leer und erhält genau das, was sie benötigt.
Chirurgisch genaue Inhaltsbearbeitung. wp_replace_in_post nimmt gezielte Suchen-und-Ersetzen-Änderungen vor, sodass Claude einen Tippfehler auf einer Divi- oder Elementor-Seite korrigieren kann, ohne Tausende Zeilen Builder-Markup neu zu schreiben.
Defense in Depth. Ein Zustimmungsbildschirm, doppelte Scope-zu-Capability-Prüfungen, eine Bestätigung pro Aufruf für destruktive Aktionen, ein vollständiges Audit-Log, Rate-Limiting, eine optionale IP-Allowlist und Schlüsselrotation per Klick.
Verschlüsselt im Ruhezustand. Der OAuth-Signierschlüssel wird bei der Aktivierung erzeugt und mit Ihren WordPress-Salts verschlüsselt gespeichert (oder auf Wunsch in einer Datei außerhalb der Datenbank vorgehalten).
Kein Lock-in, keine Telemetrie. Self-hosted. Ihre Daten und die Zugangsdaten Ihres KI-Anbieters berühren niemals unsere Server.

So funktioniert es

Zwei offene Standards übernehmen die Schwerstarbeit:

OAuth 2.1 beantwortet die Frage „wer darf herein, und um was zu tun?”. Wenn ein Claude-Client Ihre Site zum ersten Mal erreicht, hat er kein Token und wird daher durch einen Login- und Zustimmungsflow geschickt. Ein Administrator gibt eine Reihe von Scopes frei, und der Client erhält ein signiertes, zeitlich begrenztes Access-Token.
MCP (Model Context Protocol) beantwortet die Frage „was kann der Agent tatsächlich tun?”. Nach der Authentifizierung ruft Claude einen einzigen Endpunkt auf, der eine Liste von Tools bereitstellt — wp_list_posts, wp_save_post, wc_list_orders und so weiter. Claude sieht nur die Tools, die sein Token verwenden darf.

Discovery, Login, Zustimmung und Token-Austausch laufen beim ersten Hinzufügen des Connectors alle automatisch ab. Von da an verbindet sich Claude lautlos über sein Refresh-Token wieder.

Voraussetzungen

Komponente	Empfohlen
WordPress	5.8 oder neuer (getestet bis 7.0)
PHP	8.0 oder neuer
WooCommerce	7.0+ (optional — Woo-Tools erscheinen nur, wenn es aktiv ist)
Chatbot Pilot	optional — Knowledge-Base-Tools erscheinen nur, wenn es aktiv ist
HTTPS	Für claude.ai im Web erforderlich; überall empfohlen
WordPress-Salts	Eindeutige `AUTH_KEY` / `SECURE_AUTH_KEY` in `wp-config.php` (zur Verschlüsselung des Signierschlüssels)
Erreichbarkeit	claude.ai verbindet sich aus der Anthropic-Cloud, daher muss die Site für den Web-Client öffentlich erreichbar sein (lokale Clients können eine lokale URL verwenden)

Installation

Öffnen Sie im WordPress-Adminbereich Plugins → Installieren → Plugin hochladen und laden Sie die Agent-Pilot-ZIP-Datei hoch.
Aktivieren Sie Agent Pilot. Bei der Aktivierung legt es seine Datenbanktabellen an, weist Administratoren die Capability manage_agent_pilot zu und erzeugt automatisch die OAuth-Signierschlüssel.
Öffnen Sie Agent Pilot → Connectors. Kopieren Sie die oben angezeigte MCP-Endpunkt-URL — das ist die Adresse, die Sie Claude angeben.
Fügen Sie den Connector in Ihrem Claude-Client hinzu (siehe unten) und schließen Sie den einmaligen Login + die Zustimmung ab.

Claude verbinden

Alles, was ein Client benötigt, finden Sie im Bildschirm Connectors: den MCP-Endpunkt, den OAuth-Issuer und einen fertigen Befehl zum Einfügen für Claude Code.

Agent Pilot Connectors admin screen — Der Connectors-Bildschirm — die Verbindungsdetails oben, darunter die registrierten Connectors, die aktiven Access-Tokens (eines pro Benutzer/Verbindung), die Schlüsselrotation und ein Live-Audit-Log der jüngsten Aktivität.

claude.ai (Web) und Claude Desktop

Öffnen Sie in Claude Settings → Connectors → Add custom connector und fügen Sie Ihren MCP-Endpunkt ein (zum Beispiel https://your-site.com/wp-json/agent-pilot/v1/mcp). Claude öffnet die Login-Seite Ihrer Site, Sie bestätigen den Zustimmungsbildschirm, und der Connector ist bereit. Der Web-Client verbindet sich aus der Cloud von Anthropic, daher muss Ihre Site über öffentliches HTTPS erreichbar sein.

Claude Code


claude mcp add --transport http agent-pilot https://your-site.com/wp-json/agent-pilot/v1/mcp

Claude Code startet den OAuth-Flow in Ihrem Browser; nach Ihrer Freigabe stehen die Tools in Ihrer Sitzung zur Verfügung. Führen Sie /mcp aus, um sie zu sehen, oder bitten Sie Claude einfach, etwas zu tun — „liste die letzten fünf Beitragsentwürfe”, „zeig mir die in Bearbeitung befindlichen Bestellungen dieser Woche”.

Festlegen, als wer der Agent handelt

Der Zustimmungsbildschirm läuft als der angemeldete WordPress-Benutzer, und das resultierende Token erbt dessen Capabilities. Für eine eng begrenzte Verbindung legen Sie einen eigenen WordPress-Benutzer mit einer eingeschränkten Rolle an (samt der Capability manage_agent_pilot, damit er autorisieren kann) und bestätigen den Connector, während Sie als dieser Benutzer angemeldet sind. Der Agent kann dann genau das tun, was dieser Benutzer kann — und nichts darüber hinaus.

Was Claude tun kann

Die Tools sind in vier Scopes gruppiert. Bei der Zustimmung entscheiden Sie, welche Scopes ein Connector erhält; zum Aufrufzeitpunkt prüft jedes Tool zusätzlich die WordPress-Capability des gebundenen Benutzers. Beide Prüfungen müssen bestehen.

Lesen (`wp.read`)

Nur lesende Inspektion der Site. Kann bedenkenlos breit gewährt werden.

Tool	Was es tut
`wp_get_site_info`	Site-Name, URLs, Versionen, aktives Theme, WooCommerce-Status, Inhaltszahlen
`wp_get_site_context`	Theme, Farbpalette, Typografie, Block-Patterns und ein aktueller Beitrag — damit generierte Inhalte zu Ihrem Stil passen
`wp_list_posts`	Beiträge, Seiten und beliebige Custom Post Types durchsuchen und auflisten
`wp_get_post`	Einen Beitrag/eine Seite mit vollem Inhalt und Metadaten abrufen
`wp_list_terms`	Taxonomie-Begriffe auflisten (Kategorien, Schlagwörter, Produktkategorien…)
`wc_list_products` / `wc_get_product`	WooCommerce-Produkte durchsuchen und lesen
`wc_list_orders` / `wc_get_order`	Bestellungen mit Positionen durchsuchen und lesen
`wc_list_customers`	Kunden mit Bestellanzahl und Gesamtumsatz durchsuchen

Inhalte schreiben (`wp.content.write`)

Inhalte erstellen und bearbeiten. Destruktive Aktionen erfordern ein explizites confirm-Flag.

Tool	Was es tut
`wp_save_post`	Einen neuen Beitrag/eine Seite/CPT anlegen oder einen bestehenden vollständig aktualisieren
`wp_replace_in_post`	Gezieltes Suchen & Ersetzen innerhalb einer Seite — der sichere Weg, einen Tippfehler oder eine Zeile auf einer Page-Builder-Seite zu korrigieren (siehe unten)
`wp_delete_post`	Einen Beitrag in den Papierkorb verschieben oder endgültig löschen (confirm erforderlich)
`wp_upload_media`	Ein Bild/eine Datei von einer URL in die Mediathek sideloaden
`wc_save_product`	Ein WooCommerce-Produkt anlegen oder aktualisieren
`wc_save_order`	Den Status einer Bestellung aktualisieren oder eine Bestellnotiz hinzufügen
`wp_comments`	Kommentare auflisten und moderieren (genehmigen, ablehnen, als Spam markieren, in den Papierkorb)

Site verwalten (`wp.manage`)

Administrative Operationen. Jede destruktive Änderung erfordert eine Bestätigung.

Tool	Was es tut
`wp_options`	Eine WordPress-Option lesen oder aktualisieren (Aktualisierungen erfordern confirm; Plugin-Geheimnisse sind blockiert)
`wp_plugins`	Plugins auflisten, aktivieren oder deaktivieren (confirm)
`wp_themes`	Installierte Themes auflisten oder das aktive Theme wechseln (confirm)
`wp_users`	Benutzer auflisten, lesen, anlegen, aktualisieren oder löschen — mit Schutz davor, sich selbst oder den letzten Administrator zu löschen (confirm)
`wp_maintenance`	Object-Cache leeren, Rewrite-Rules neu aufbauen, Transients löschen

Knowledge Base (`wp.kb`)

Nur verfügbar, wenn Chatbot Pilot aktiv ist.

Tool	Was es tut
`kb_search`	Semantische (Embedding-)Suche über Ihre Chatbot-Pilot-Knowledge-Base
`kb_stats`	Indexierungsstatistik: gescannte/indexierte Dateien, Chunks, letzter Lauf
`kb_reindex`	Eine Neuindexierung im Hintergrund auslösen (erfordert die Verwaltungs-Capability)

Tools aus anderen Plugins

Agent Pilot ist erweiterbar: Jedes Plugin kann seine eigenen MCP-Scopes und Tools registrieren, die dann automatisch durch Discovery, den Zustimmungsbildschirm und den Tools-Bildschirm fließen. Jeder beigesteuerte Scope wird wie die eingebauten auf eine WordPress-Capability abgebildet, sodass dieselbe doppelte Scope-und-Capability-Prüfung gilt. In der Pilot-Suite umfasst dies bereits:

Plugin	Ermöglicht Folgendes
Invoice Pilot	Rechnungen lesen und eine aus einer WooCommerce-Bestellung ausstellen
Mail Pilot	Das Versandprotokoll durchsuchen und eine E-Mail über den Mailer der Site senden
Security Pilot	Den Sicherheitsstatus und das Angriffsprotokoll lesen, eine IP sperren oder entsperren
AI SEO Pilot	Die SEO-Felder eines Beitrags lesen und seine Meta-Description, das Fokus-Keyword und das Schema setzen
Subscriptions	Subscriptions, Status und Abrechnungstermine von Benutzern einsehen

Der Tools-Bildschirm — Zugriff pro Rolle & pro Benutzer

Scopes legen in groben Zügen fest, was ein Connector tun darf; der Bildschirm Agent Pilot → Tools lässt Sie feiner steuern und aktiviert oder deaktiviert einzelne Tools — oder einen ganzen Scope — für eine WordPress-Rolle oder einen bestimmten Benutzer.

Agent Pilot Tools-Bildschirm — Tool-Zugriff pro Rolle und pro Benutzer — Der Tools-Bildschirm: Wählen Sie eine Rolle (oder suchen Sie nach einem Benutzer) und setzen Sie dann jedes Tool oder jeden Scope auf Standard, Aktiviert oder Deaktiviert. Destruktive Tools sind gekennzeichnet, und Tools, die andere Pilot-Plugins beisteuern, erscheinen unter ihren eigenen Scopes gruppiert.

Admin-sichere Standardeinstellungen. Administratoren erhalten standardmäßig jedes Tool. Jede andere Rolle beginnt mit keinen Tools — Sie gewähren genau das, was sie benötigt, pro Scope oder pro einzelnem Tool.
Drei Zustände pro Zeile. Standard, Aktiviert oder Deaktiviert. Eine Regel auf Tool-Ebene schlägt eine Regel auf Scope-Ebene; über die Rollen eines Benutzers hinweg gewinnt ein Deaktiviert immer.
Overrides pro Benutzer. Geben Sie einen Namen oder eine E-Mail-Adresse ein, um einen einzelnen Benutzer zu laden und dessen Zugriff unabhängig von seiner Rolle anzupassen.
Nur einschränkend, und auditiert. Diese Schicht liegt über der OAuth-Scope-Zustimmung und den WordPress-Capabilities — sie kann Tools entziehen, niemals etwas gewähren, das der gebundene Benutzer nicht ohnehin schon dürfte. Jeder blockierte Aufruf wird in das Audit-Log geschrieben.

Page-Builder-Seiten sicher bearbeiten

Mit Divi, Elementor, WPBakery und ähnlichen Buildern erstellte Seiten speichern ihr Layout als Tausende Zeilen Shortcode oder JSON in post_content. Alles davon nur zur Korrektur eines Tippfehlers neu zu schreiben, ist riskant — ein einziges falsch gesetztes Zeichen kann die Seite zerstören.

wp_replace_in_post löst genau das. Statt die ganze Seite zu überschreiben, geben Sie Claude den exakten zu findenden Text und seinen Ersatz, und nur diese Bytes ändern sich — das umgebende Builder-Markup bleibt Byte für Byte erhalten. Es unterstützt mehrere Änderungen in einem Aufruf (etwa einen Tippfehler und eine FAQ-Zeile), verweigert die Ausführung, wenn der Suchtext nicht gefunden wird, und verlangt standardmäßig, dass das Snippet eindeutig ist, damit nichts versehentlich verändert wird.

Tipp: Bitten Sie Claude, die Seite zuerst mit wp_get_post zu lesen, damit es den exakten Text kopiert, und im Anschluss wp_maintenance auszuführen, falls der Builder eine statische Version der Seite cacht.

Sicherheitsmodell

Agent Pilot legt mehrere voneinander unabhängige Schutzschichten übereinander:

OAuth 2.1, kein gemeinsamer Schlüssel. Authorization-Code-Grant mit PKCE und Refresh-Tokens. Access-Tokens sind kurzlebige signierte JWTs; es gibt kein statisches Passwort, das durchsickern könnte.
An einen Benutzer gebunden. Jedes Token trägt den WordPress-Benutzer, der es freigegeben hat. Tool-Aufrufe laufen als dieser Benutzer, sodass Rollen- und Capability-Regeln genau so greifen wie in wp-admin.
Scope und Capability. Ein Scope sagt „dieser Connector darf Inhalte schreiben”; die Capability-Prüfung sagt „dieser Benutzer darf es tatsächlich.” Beide müssen bei jedem Aufruf bestehen.
Tool-Gating pro Rolle / pro Benutzer. Zusätzlich zu den Scopes kann der Tools-Bildschirm einzelne Tools (oder ganze Scopes) für eine Rolle oder einen einzelnen Benutzer deaktivieren. Es ist eine nur einschränkende Schicht — immer durchgesetzt, und jeder blockierte Aufruf wird auditiert.
Eine Zustimmung, die Sie lesen können. Der Freigabebildschirm nennt den Connector, zeigt den anfragenden Host und listet jede angeforderte Berechtigung auf — und markiert dabei alle, die Ihr Konto gar nicht gewähren kann.
Destruktive Aktionen sind abgesichert. Inhalte löschen, Plugins/Themes/Benutzer ändern oder Optionen aktualisieren erfordert ein explizites confirm in der Anfrage, sofern Sie einen Connector nicht bewusst als vertrauenswürdig markieren.
Alles wird protokolliert. Autorisierungen, Registrierungen, jeder Tool-Aufruf und jeder fehlgeschlagene Versuch werden mit Benutzer, Connector, Zeitstempel und IP festgehalten.
Rate-Limiting & IP-Allowlist. Anfragelimits pro Connector, plus eine optionale CIDR-Allowlist für abgeschottete Deployments.
Widerrufen und rotieren. Deaktivieren Sie einen Connector oder ein einzelnes Token per Klick, oder rotieren Sie die Signierschlüssel, um alle Tokens auf einmal ungültig zu machen.

Der Connectors-Bildschirm

Agent Pilot → Connectors ist die Kommandozentrale:

Connect Claude to this site — der MCP-Endpunkt, der OAuth-Issuer und die Metadaten-URL der geschützten Ressource, plus ein Copy-and-paste-Befehl für Claude Code.
Registered connectors — jeder Client, der sich registriert hat (jede Claude-Instanz ist ein eigener Eintrag), mit seinem Typ und einem Revoke per Klick.
Active access tokens — eine Zeile pro aktiver Verbindung, mit Benutzer, Connector, den gewährten Scopes und dem Ablauf, jeweils einzeln widerrufbar.
Signing keys — Rotate keys macht jedes ausgestellte Token sofort ungültig; die Connectors autorisieren sich einfach neu.
Recent activity — eine Live-Audit-Spur. Eine normale neue Verbindung taucht als auth_fail (die anfängliche Discovery-Probe) → dcr (Registrierung) → authorize (freigegeben) → tool_call-Einträge auf, während Claude arbeitet. Nicht authentifizierte Probes, die als auth_fail erscheinen, sind bei jedem öffentlichen Endpunkt zu erwarten.

Einstellungsreferenz

Konfigurieren Sie das Verhalten unter Agent Pilot → Settings.

Einstellung	Zweck
Enable MCP server	Hauptschalter. Ist er aus, geben die OAuth- und MCP-Endpunkte 503 zurück.
Accept new connectors	Erlaubt Dynamic Client Registration. claude.ai im Web benötigt dies, um sich selbst zu registrieren; schalten Sie es aus, um die Connector-Liste einzufrieren.
Trust connectors (skip confirmations)	Wenn aktiv, laufen destruktive Tools ohne das `confirm`-Flag pro Aufruf. Aus Sicherheitsgründen aus lassen.
Access-token lifetime	Wie lange ein Access-Token gültig ist, in Sekunden (Refresh-Tokens verlängern die Sitzung).
MCP rate limit	Maximale Anzahl MCP-Anfragen pro Minute, pro Connector.
IP allowlist	Optionale CIDR-Liste. Leer = alle erlauben. Beachten Sie, dass claude.ai von IPs der Anthropic-Cloud aus verbindet.
Extra redirect hosts	Zusätzliche OAuth-Redirect-Hosts, die bei der Registrierung akzeptiert werden. claude.ai / claude.com und localhost sind immer erlaubt.
Audit-log retention	Wie viele Tage Audit-Einträge vor der automatischen Bereinigung aufbewahrt werden.
Remove all data on uninstall	Wenn aktiviert, entfernt das Löschen des Plugins seine Tabellen, Optionen und die Capability.

Mehrbenutzer & Mehrinstanz

Da jedes Token an einen WordPress-Benutzer gebunden ist, können Sie viele Agenten gleichzeitig mit unterschiedlicher Reichweite verbinden:

Verbinden Sie Claude Desktop als Redakteur für die tägliche Inhaltspflege und Claude Code als Administrator für die Site-Wartung.
Geben Sie einem Kollegen seinen eigenen Connector unter seinem eigenen WordPress-Konto — das Audit-Log schreibt jede Aktion der richtigen Person zu.
Gleichzeitige Verbindungen sind isoliert; Sitzung und Berechtigungen eines Agenten greifen niemals auf die eines anderen über.

Fehlerbehebung

Der Connector autorisiert, aber Claude listet die Tools nie auf. Das ist fast immer eine URL-Abweichung. Stellen Sie sicher, dass Sie den exakten MCP-Endpunkt aus dem Connectors-Bildschirm verwendet haben und dass Ihre Site vom Client aus über HTTPS erreichbar ist.

Jede Anfrage zeigt auth_fail, sogar mit Token. Manche Apache/nginx-Setups entfernen den Authorization-Header, bevor er PHP erreicht. Fügen Sie eine Rewrite-Regel hinzu, um ihn durchzureichen (dieselbe Lösung wie für WordPress Application Passwords).

claude.ai erreicht die Site nicht. Der Web-Client verbindet sich aus der Cloud von Anthropic — eine localhost-URL funktioniert nicht. Verwenden Sie eine öffentlich erreichbare HTTPS-Domain.

Ein Tool gibt „forbidden” zurück. Dem gebundenen WordPress-Benutzer fehlt die Capability für diese Aktion. Autorisieren Sie als Benutzer mit der richtigen Rolle, oder gewähren Sie die Capability.

Ein destruktives Tool verweigert die Ausführung. Es benötigt "confirm": true in der Anfrage (oder aktivieren Sie Trust connectors). Bitten Sie Claude, es mit Bestätigung erneut zu versuchen.

Die Site zeigte nach der Aktivierung neben einem anderen Plugin einen Whitescreen. Leeren Sie den PHP-Opcache (oder starten Sie PHP neu) einmal nach der Aktivierung, falls der gemeinsame Loader eines verwandten Plugins in einem inkonsistenten Zustand gecacht wurde.

Deinstallation

Das Deaktivieren stoppt den Server und die geplanten Jobs. Das Löschen des Plugins entfernt seinen Code; Ihre Daten bleiben erhalten, es sei denn, Sie haben in den Einstellungen Remove all data on uninstall aktiviert — in diesem Fall werden seine Tabellen, Optionen und die Capability manage_agent_pilot entfernt.