WP Pilot AI

WP Pilot AI – Einstellungen Dokumentation

Einstellungsseite von WP Pilot AI: Wofür sie da ist

Die Einstellungsseite ist die zentrale Schaltstelle für die technische Inbetriebnahme und die operative Sicherheit von WP Pilot AI. Hier legst du fest, mit welchem KI-Anbieter das Plugin arbeitet, welches Modell für allgemeine Aufgaben und Spezialbereiche verwendet wird, wie stark Kosten und Nutzung begrenzt werden, welche Power-Features aktiv sind und ob besonders sensible Bereiche wie der File Access überhaupt freigeschaltet werden dürfen.

Im aktuellen Build ist die aktive Support-Oberfläche der Einstellungen praktisch auf OpenAI ausgelegt. Zusätzliche Provider können im Code vorbereitet sein, sind aber in dieser Version nicht die offizielle aktive Einstellungsoberfläche. Für Endanwender bedeutet das: Die Seite ist auf einen OpenAI API Key, OpenAI-Modelle und die zugehörigen Kostenannahmen ausgerichtet.

Wichtig: Einige Einstellungen betreffen nur Komfort und Qualität, andere schützen deine Live-Seite aktiv. Vor allem Usage Limits, Logging, Rollback, Snippet Security Toggles und File Access + Emergency Recovery sollten bewusst gesetzt werden.

Empfohlene Reihenfolge für die Ersteinrichtung

  1. API Key hinterlegen
  2. Allgemeines Modell auswählen
  3. Bereichsmodelle für Snippets, CSS, Funnel und File festlegen
  4. Usage & Cost Control aktivieren
  5. Logging und Rollback aktiv lassen
  6. Snippet Engine bewusst prüfen
  7. File Access nur dann aktivieren, wenn Emergency Recovery vollständig vorbereitet ist
  8. Disclaimer lesen und akzeptieren
  9. Erste Testfragen im Chat stellen

Diese Reihenfolge passt zum tatsächlichen Plugin-Verhalten: Ohne API Key arbeitet der Provider nicht, ohne Recovery-Absicherung lässt sich File Access nicht aktivieren, und ohne Disclaimer-Freigabe bleiben die eigentlichen Plugin-Bereiche gesperrt.

OpenAI API Key: Herkunft, Einrichtung und sichere Nutzung

Für die aktuelle aktive Einstellungsoberfläche benötigst du einen OpenAI API Key. In der Seite selbst wird er als API Key eingetragen. Wenn bereits ein Schlüssel gespeichert ist, siehst du nur eine maskierte Platzhalteranzeige. Der Key wird laut Code verschlüsselt gespeichert. Ist OpenSSL auf dem Server nicht verfügbar, schlägt das Speichern fehl.

So setzt du den API Key in WP Pilot AI

  1. Öffne WP Pilot AI → Settings.
  2. Trage im Feld API Key deinen OpenAI-Schlüssel ein.
  3. Speichere die Einstellungen.
  4. Wenn der Key bereits gespeichert ist, kannst du das Feld leer lassen.
  5. Wenn du den Key entfernen möchtest, aktiviere die Option zum Löschen und speichere erneut.

Woher du den OpenAI API Key bekommst

Du benötigst keinen normalen ChatGPT-Login-Code, sondern einen Secret API Key aus der OpenAI Developer Platform. Praktisch gehst du so vor:

  1. Im OpenAI-Konto ein Projekt öffnen oder ein neues Projekt anlegen.
  2. Im Projekt zu API Keys wechseln.
  3. Einen neuen Secret Key erstellen.
  4. Den Schlüssel sofort sicher kopieren und in WP Pilot AI einfügen.

Sinnvolle Sicherheits- und Kostenmaßnahmen direkt bei OpenAI

  • Arbeite möglichst mit einem projektbezogenen Key, nicht mit einem allgemein herumgereichten Schlüssel.
  • Vergib nur die Berechtigungen, die du wirklich brauchst.
  • Setze im OpenAI-Projekt ein monatliches Budget und Warnschwellen.
  • Kombiniere diese externe Budgetsteuerung mit den täglichen Plugin-Limits in WP Pilot AI.

Praxis-Tipp: Wenn du mehrere Websites betreibst, nutze nach Möglichkeit pro Website oder pro Projekt einen eigenen API Key. So lassen sich Kosten, Berechtigungen und spätere Fehlerquellen deutlich sauberer trennen.

Provider, allgemeines Modell und Bereichsmodelle

Die Einstellungen trennen zwischen einem allgemeinen Modell und mehreren bereichsspezifischen Modellen. Das ist wichtig, weil nicht jede Aufgabe dieselbe Modellqualität benötigt.

Allgemeines Modell

Das Feld Model steuert Standard-Chat, normale Tool-Aufrufe und alle Bereiche, für die kein separates Spezialmodell gesetzt ist. Wenn du nur eine einfache Basiskonfiguration möchtest, genügt oft dieses Feld allein.

Snippet Model

Dieses Modell wird für PHP-Snippets verwendet. Da Snippets echten PHP-Code erzeugen, sind hier größere und zuverlässigere Modelle meistens die bessere Wahl. Wenn du das Feld leer lässt, wird das allgemeine Modell verwendet.

CSS Model

Dieses Modell ist für CSS-Erzeugung und CSS-Anpassungen gedacht. Für einfache Designkorrekturen genügt oft das Standardmodell. Bei komplexen responsive Anpassungen oder präziserem Refactoring kann ein stärkeres Modell sinnvoll sein.

Funnel Model

Dieses Modell ist für Landingpages und Funnel gedacht. Gerade bei längeren Seitenstrukturen, Verkaufsargumentation, CTAs, Platzhaltern und Produktkontext ist hier ein leistungsfähigeres Modell oft hilfreich.

File Model

Dieses Modell ist für Dateianalyse und Dateiveränderungen gedacht, also z. B. für wp-config.php, .htaccess, Logs oder Theme-Dateien. Dieser Bereich ist besonders sensibel und nur in der Full-Suite mit File freigeschaltet.

Empfehlung für die Modellwahl

  • Allgemeines Modell: ein effizientes Standardmodell für Routineaufgaben
  • Snippets: eher ein stärkeres Modell für belastbaren PHP-Code
  • Funnels: eher ein stärkeres Modell für Struktur, Verkaufslogik und längere Seiten
  • CSS: Standardmodell reicht oft, bei komplexen Umbauten optional höher
  • File: eher kein zu kleines Modell, weil hier Genauigkeit wichtiger ist als reine Geschwindigkeit

Faustregel: Je technischer, länger oder risikoreicher die Aufgabe ist, desto eher solltest du ein besseres Modell für genau diesen Bereich wählen.

Model Pricing, Kostenkontrolle und Limits

WP Pilot AI besitzt eine eigene lokale Kostenrechnung. Die Preise in der Einstellungsseite werden nicht an OpenAI übertragen, sondern dienen nur dazu, die internen Schätzungen für die Nutzung sauber zu halten.

Model Pricing

Im Abschnitt Model Pricing siehst du pro Modell Preise für:

  • Input USD / 1M
  • Cached Input USD / 1M
  • Output USD / 1M

Neue oder benutzerdefinierte Modelle können automatisch in dieser Liste erscheinen. Dann solltest du die Werte prüfen und ergänzen, damit die internen Kostenschätzungen sinnvoll bleiben.

Usage & Cost Control

Dieser Bereich ist besonders wichtig, wenn mehrere Administratoren mit dem Plugin arbeiten oder du teure Modelle nutzt.

  • Enable daily usage limits and cost caps: schaltet die gesamte tägliche Kosten- und Tokenüberwachung ein.
  • Soft daily token warning: reine Warnschwelle.
  • Hard daily token cap: blockiert weitere AI-Anfragen für den Tag.
  • Soft daily cost warning: warnt bei einem geschätzten Tagesbudget.
  • Hard daily cost cap: blockiert weitere AI-Anfragen für den Tag.
  • Per-user daily token cap: begrenzt einzelne Benutzerkonten zusätzlich.

Wichtige Einordnung

Im Plugin sind diese Limits aktuell tagesbezogen. Wenn du zusätzlich eine Wochen- oder Monatskontrolle möchtest, kombiniere die täglichen Plugin-Limits mit den Projekt-Budgets und Alerts in OpenAI.

Empfehlung: Aktiviere die täglichen Limits möglichst direkt bei der Ersteinrichtung. Gerade bei ersten Tests mit Funnels, Snippets oder File-Aufgaben ist das ein sinnvoller Schutz gegen unerwartete Kosten.

Max Tokens und Rate Limit

Max Tokens

Das Feld Max Tokens begrenzt die maximale Antwortgröße pro Anfrage. Ein höherer Wert erlaubt längere Antworten oder umfangreichere Tool-Aufrufe, kann aber auch die Kosten erhöhen. Für normale Chat-Aufgaben reicht oft der Standardwert. Für Snippets, Funnels oder File-Analysen kann ein höherer Wert sinnvoll sein.

Rate Limit (per minute)

Diese Einstellung begrenzt, wie viele Anfragen pro Minute über das Plugin verarbeitet werden dürfen. Sie schützt nicht nur vor versehentlicher Übernutzung, sondern kann auch helfen, ungewollte Lastspitzen zu vermeiden.

Praktische Empfehlung

  • Für Einzeladmins reicht oft ein eher konservativer Wert.
  • Wenn mehrere Administratoren parallel arbeiten, darf der Wert höher liegen.
  • Für lange technische Aufgaben eher Max Tokens erhöhen, nicht automatisch nur das Rate Limit.

Features, Logging, Rollback und Sicherheitsoptionen

Log all AI actions

Diese Option protokolliert AI-Aktionen und ist Grundlage für Nachvollziehbarkeit, Audit und verschiedene Rollback- bzw. Recovery-Funktionen. Für den regulären Betrieb sollte diese Funktion in der Praxis aktiv bleiben.

Enable rollback capability

Wenn aktiviert, kann WP Pilot AI Änderungen in vielen Bereichen besser zurückrollen oder Wiederherstellungen vorbereiten. In Kombination mit Logging ist das eine wichtige Sicherheitsstufe.

Enable Snippet Engine

Diese Einstellung schaltet den Snippet-Bereich frei. Da Snippets echtes PHP auf der Website ausführen, ist dies bewusst als Power-Feature zu verstehen. Es ist keine Sandbox.

Snippet Security Toggles

Unterhalb der Snippet Engine findest du zusätzliche Sicherheits- bzw. Freigabeoptionen. Sie erweitern, was Snippets tun dürfen, ohne die generell verbotenen gefährlichen Konstrukte freizugeben.

  • Allow request variables: Zugriff auf Eingabevariablen wie $_GET oder $_POST.
  • Allow global variables: Zugriff auf globale Variablen.
  • Allow local file functions: lokale Dateioperationen wie Lesen, Schreiben, Kopieren oder Löschen.
  • Allow temporary file helpers: temporäre Dateien.
  • Allow include / require statements: Einbinden weiterer PHP-Dateien.
  • Allow classes and OOP structures: Klassen und objektorientierte Muster.
  • Allow variable function calls: dynamische Funktionsaufrufe.
  • Allow remote/network requests: externe HTTP- oder Netzwerkanfragen.

Diese Optionen sollten nur dann aktiviert werden, wenn du den erweiterten Umfang wirklich brauchst und die Auswirkungen verstehst.

File Access Engine, Recovery Page und Recovery Token

Der File Access ist eines der sensibelsten Features des Plugins. Darum ist er mehrfach abgesichert und bleibt deaktiviert, bis die Notfallwiederherstellung korrekt vorbereitet wurde.

Was der File Access Bereich macht

Wenn die File Access Engine aktiv ist, kann die KI bestimmte WordPress-Dateien lesen, analysieren und in erlaubten Grenzen auch verändern. Dazu gehören je nach Kontext z. B. Konfigurationsdateien, Logdateien, Theme-Dateien oder andere freigegebene Pfade.

Warum die Recovery-Vorbereitung Pflicht ist

Im Settings-Bereich gibt es ganz oben einen eigenen Abschnitt für Emergency Recovery. Dort wird ein separates Wiederherstellungsskript in das WordPress-Root-Verzeichnis gelegt. Dieses Skript liegt bewusst außerhalb des normalen WordPress-Laufs. Falls eine Dateiänderung die Website beschädigt, soll die Wiederherstellung trotzdem noch direkt erreichbar sein.

Recovery Token

Beim Deployen des Recovery-Skripts vergibst du einen Recovery Token. Dieser Token ist dein Notfallschlüssel für den Zugriff auf die Recovery-Seite. Er sollte lang, zufällig und sicher dokumentiert sein.

  • Token sicher notieren
  • nicht im Teamchat teilen
  • nicht in frei zugänglichen Projektdateien speichern
  • bei Unsicherheit neu deployen und Token rotieren

Recovery-Bereich im Settings-Screen

Der Settings-Screen zeigt dir dazu an:

  • ob das Skript im Root vorhanden ist
  • ob ein echter Token gesetzt ist
  • welcher Zielpfad verwendet wird
  • ob die Recovery insgesamt als ready gilt

Wichtiger Zusammenhang mit File Access

Solange Recovery nicht bereit ist, lässt sich der File Access im normalen Settings-Flow nicht aktivieren. Das ist bewusst so umgesetzt.

Best Practice: File Access erst dann aktivieren, wenn du den Recovery-Prozess einmal gedanklich oder praktisch nachvollzogen hast. Wer nicht weiß, wie im Notfall zurückgerollt wird, sollte den Bereich nicht vorschnell einschalten.

Allowed Roles und Zugriff

Im aktuellen Build ist der Zugriff auf WP Pilot AI im Backend auf Administrator beschränkt. Die Einstellungsseite zeigt dies auch so an. Das ist wichtig, weil das Plugin bewusst sehr weitreichende Funktionen bereitstellt.

Für Endanwender heißt das: Normale Redakteure oder Autoren sollen den Bereich in dieser Version nicht administrativ freischalten oder regulär nutzen. Dadurch wird verhindert, dass sensible Funktionen wie Snippets, File Access oder tiefere Shop-Automationen versehentlich von ungeeigneten Rollen genutzt werden.

Lizenzbereich

Im unteren Teil der Seite befindet sich der Lizenzbereich. Dort siehst du, ob deine Installation im Free-, Pro- oder Full-Suite-Status läuft.

  • Free: Grundzustand ohne aktivierte kostenpflichtige Freischaltung
  • Pro ohne File: erweiterte Funktionen ohne File Operations
  • Full Suite mit File: voller Umfang inklusive File-Bereich

Die Lizenz ist wichtig, weil bestimmte Menüpunkte und Funktionen erst nach erfolgreicher Freischaltung nutzbar werden. Gerade der File-Bereich hängt nicht nur an den Settings, sondern zusätzlich am richtigen Lizenzstatus.

Disclaimer und Freigabe vor dem Start

WP Pilot AI besitzt eine vorgeschaltete Freigabe- bzw. Disclaimer-Logik. Der Kern dahinter: Vor dem echten Einsatz soll der Administrator aktiv bestätigen, dass KI-generierte Änderungen Risiken tragen können und dass die Verantwortung für Prüfung, Einsatz und Backups beim Betreiber liegt.

Im Settings-Bereich kannst du sehen:

  • ob der Disclaimer bereits akzeptiert wurde
  • wann er akzeptiert wurde
  • von welchem Benutzerkonto er akzeptiert wurde

Du kannst die Annahme auch wieder widerrufen. Danach wird das Plugin erneut gesperrt, bis die Freigabe wieder erteilt wurde.

Willkommensseite und schneller Start

Neben der Settings-Seite gibt es eine einfache Willkommensseite für die erste Inbetriebnahme. Dort kannst du in kurzer Form:

  • den API Key eintragen,
  • ein Modell setzen,
  • eine erste Testfrage vorformulieren

Nach dem Speichern öffnet sich der Chat und die Testfrage wird übernommen. Für eine schnelle erste Einrichtung ist das praktisch. Für ernsthafte Nutzung solltest du danach aber unbedingt noch die vollständige Einstellungsseite prüfen, insbesondere Kostenlimits, Logging, Rollback, Snippet-Freigaben und File Recovery.

Praxisempfehlungen für eine sinnvolle Konfiguration

Für kleine Websites und den Einstieg

  • Allgemeines Modell setzen
  • Snippet-, Funnel- und File-Modelle zunächst leer lassen oder bewusst nur bei Bedarf setzen
  • Usage Limits aktivieren
  • Logging und Rollback aktiv lassen
  • Snippet Engine nur einschalten, wenn wirklich benötigt
  • File Access zunächst deaktiviert lassen

Für Agenturen und technisch anspruchsvollere Sites

  • stärkeres Modell für Snippets
  • stärkeres Modell für Funnels
  • File-Modell bewusst separat wählen
  • pro Tag Kosten- und Token-Limits setzen
  • OpenAI-Projektbudgets und Alerts zusätzlich pflegen
  • Recovery Token sicher dokumentieren

Für Live-Shops

  • Price- und Content-Änderungen nie ohne Logging betreiben
  • File Access nur bei klarer Recovery-Strategie aktivieren
  • Funnels und Snippets möglichst mit besserem Modell betreiben
  • per-user Limits setzen, wenn mehrere Admins mitarbeiten

Beispiel-Prompts für die ersten Tests nach der Einrichtung

Allgemeine Funktionsprüfung

  • Analysiere bitte kurz diese Website und nenne mir drei sinnvolle Aufgaben, die du direkt unterstützen kannst.
  • Wie viele veröffentlichte Beiträge und Seiten gibt es auf dieser Website?
  • Welche aktiven Plugins erkennst du, die für WooCommerce, SEO oder Rechtstexte relevant sind?

Test für Modellqualität im Bereich Snippets

  • Erstelle ein sicheres Snippet, das im Adminbereich einen kleinen Hinweistext für Administratoren ausgibt.
  • Schreibe ein Snippet, das unter Beiträgen einen statischen Hinweistext anzeigt, aber nur für den Post-Type post.

Test für CSS-Modell

  • Erstelle CSS, damit Buttons auf Mobilgeräten größer und mit mehr Innenabstand dargestellt werden.
  • Schreibe CSS für eine optisch ruhigere Produktbox mit abgerundeten Ecken und besserem Abstand.

Test für Funnel-Modell

  • Erstelle eine einfache Sales-Page-Struktur für ein digitales Produkt mit Hero, Vorteilen, FAQ und CTA.
  • Formuliere eine Landingpage für ein WooCommerce-Produkt mit stärkerem Fokus auf Nutzen und Einwände.

Test für File Access nach vollständiger Recovery-Freigabe

  • Prüfe die debug.log auf aktuelle Fehler und fasse die wichtigsten Ursachen zusammen.
  • Analysiere die robots.txt und nenne mir Optimierungsvorschläge.
  • Sieh dir die .htaccess an und erkläre mir, was sie aktuell macht, ohne etwas zu ändern.