IDF MCP Adapter

Changelog

v3.17.5

Behoben

• Inline-<svg> blieb beim Anlegen und Aktualisieren von Inhalten nicht erhalten. Der Schreibpfad jagte post_content durch wp_kses_post, und wp_insert_post/wp_update_post wendeten zusaetzlich wp_filter_post_kses an (der MCP-Nutzer hat effektiv kein unfiltered_html). Die kses-Standard-Allowlist kennt keine SVG-Tags und schreibt camelCase-Attribute klein (viewBox -> viewbox), was SVG zerstoert. Neuer Helfer idf_mcp_write_post_unfiltered() setzt die kses-Content-Filter eng begrenzt um genau diesen vertrauenswuerdigen Insert/Update herum aus und stellt sie danach wieder her. Der Adapter ist authentifiziert und der Inhalt stammt aus einer kontrollierten Quelle (den Skills), nicht aus oeffentlichem Formular-Input. Greift fuer post_content0/post_content1, post_content2/post_content3 und post_content4/post_content5. post_content6 (Attachment-Caption/Description) bleibt bewusst kses-gefiltert.

v3.17.4

Geändert

• Admin-Dashboard: Reiter, deren Abhängigkeit fehlt (WooCommerce, SEO/Rank Math, Formulare/Avada, Events, Cache/WP Rocket, QUEST), werden jetzt ausgeblendet statt deaktiviert mit „(nicht installiert)"-Zusatz angezeigt. Das verhindert unnötig breite Reiter und hält die Navigation aufgeräumt.

Hinzugefügt

• Hilfe-Seite: Neue Karte „Verfügbare Abilities" listet alle aktuell registrierten idf-mcp-provider/-Abilities (Name + Beschreibung) inkl. Anzahl. Quelle ist wp_get_abilities() zur Laufzeit — zeigt also genau die Abilities, die verbundenen MCP-Clients tatsächlich zur Verfügung stehen.

v3.17.3

Behoben

• Eigentliche Ursache für die abbrechenden Abilities (siehe v3.17.2): Ein execute-ability-Aufruf mit leerem parameters ({}) schlug fehl („An error occurred while executing the tool"). Das leere Objekt wird in PHP als leeres Array [] dekodiert; die in WordPress/mcp-adapter 0.5.0 verschärfte Eingabe-Validierung lehnt ein leeres Array gegen ein type: object-Schema ab — verschärft durch WordPress 7.0 (Abilities-API in Core). Lag nicht in unseren Abilities, sondern im Basis-Adapter.
• Workaround über den Filter mcp_adapter_pre_tool_call (includes/compat.php): Bei leerem parameters für eine idf-mcp-provider/-Ability wird ein harmloser Schlüssel injiziert, sodass ein gültiges JSON-Objekt entsteht. Unsere Abilities ignorieren unbekannte Eingabe-Schlüssel. Greift automatisch nicht mehr, sobald der Basis-Adapter das Verhalten selbst korrigiert.

v3.17.2

Behoben

• Abilities get-site-info und health-check brachen beim Ausführen aus einer MCP-Session ab (generischer Fehler, kein Eintrag im Audit-Log, da der Abbruch vor dem Logging erfolgte). Ursache waren teure bzw. nach außen telefonierende Aufrufe, die in den PHP-Timeout liefen: - get-site-info nutzte count_users() (GROUP BY über die komplette usermeta-Tabelle) — auf großen Sites mit vielen WooCommerce-Kunden ein Timeout-Risiko. Ersetzt durch WP_User_Query mit count_total (reines SELECT COUNT(*) FROM wp_users, kein Meta-Join). - health-check rief get_core_updates() / health-check0 / health-check1 auf, die einen blockierenden Remote-HTTP-Update-Check zu api.wordpress.org auslösen können. Liest jetzt ausschließlich die gecachten Transients (health-check2, health-check3, health-check4) — kein HTTP.

v3.17.1

Behoben

• Ability set-post-terms wird jetzt tatsächlich registriert. In v3.17.0 wurden nur Version und Changelog gebumpt, der Implementierungs-Code in includes/abilities-content.php fehlte im Release. Damit zählt der Adapter erst jetzt die angekündigten ~129 Abilities.

v3.17.0

Hinzugefügt

• Neue Ability set-post-terms: Weist Taxonomie-Terme (Kategorien, Tags, custom Taxonomies) an beliebige Posts/Pages/CPTs zu. Nutzt wp_set_object_terms() mit Validierung von Post-Existenz, Taxonomie-Existenz und Post-Type-Kompatibilität. Unterstützt append-Modus und akzeptiert sowohl Term-IDs als auch Term-Namen.

Geändert

• Aktive Abilities: ~128 → ~129, Gruppen: 30.

v3.16.0

Hinzugefügt

• Neuer Tab QUEST mit acht Ability-Gruppen (~30 Abilities) für das Plugin idf-quest: Sessions, Voting, Invites, Guardianships, Badges, Sponsors, Participants, Feedback/Reports. Gruppe und Abilities nur aktiv, wenn IDF_QUEST_VERSION definiert ist. DSGVO-sensible Gruppen defaulten auf OFF.
• Neue Ability-Kategorie quest und Settings-Tab quest.
• includes/abilities-quest.php — hybrid-gekoppelt (CRUD via WP-APIs, Business-Logik via QUEST-Services).

Geändert

• Aktive Abilities: ~98 → ~128, Gruppen: 22 → 30.

v3.15.0

Hinzugefügt

• MCP-Annotations destructive und idempotent flächendeckend gesetzt. Mappt auf MCP-Hints destructiveHint und idempotentHint und sorgt dafür, dass KI-Agenten zerstörerische Operationen bestätigen und idempotente sicher wiederholen können. - destructive (neu, mit idempotent): delete-post, delete-page, delete-cpt, delete-taxonomy-term, idempotent0, idempotent1, idempotent2, idempotent3, idempotent4, idempotent5. - idempotent6 zusätzlich für bestehende destructive: idempotent7, idempotent8, idempotent9, destructiveHint0, destructiveHint1, destructiveHint2. - destructiveHint3 (alleine) für überschreibende Operationen: destructiveHint4, destructiveHint5, destructiveHint6, destructiveHint7, destructiveHint8, destructiveHint9, idempotentHint0, idempotentHint1, idempotentHint2, idempotentHint3, idempotentHint4, idempotentHint5, idempotentHint6, idempotentHint7, idempotentHint8, idempotentHint9, destructive0, destructive1.

Geändert

• Dependency-Check auf Klasse WP\\MCP\\Core\\McpAdapter umgestellt. Unter WordPress 7.0 wandert die Abilities-API in Core (wp_register_ability existiert dann unabhängig vom MCP-Adapter-Plugin). Der bisherige Proxy-Check über wp_register_ability lieferte deshalb falsch-positive Ergebnisse, sobald das Adapter-Plugin fehlte. Neue Logik unterscheidet zwischen fehlender Abilities-API (vor 6.9) und fehlendem Adapter-Plugin und zeigt jeweils eine eigene Admin-Notice.
• Plugin-Header Requires at least: 6.0 → 6.9 (wp_register_ability ist erst ab WP 6.9 verfügbar — vorher per Polyfill-Plugin WordPress Abilities API).

Kompatibilität

• Verifiziert gegen WordPress 7.0 (Release vom 2026-05-20). REST-API-Permission-Verschärfung von WP 7.0 betrifft das Plugin nicht (keine eigenen register_rest_route-Aufrufe; alle 98 Abilities haben permission_callback mit current_user_can()).

v3.14.0

Hinzugefügt

• Neue Ability-Gruppe Diagnose-Pfade (IDF Pathway) mit fünf Abilities: pathway-list, pathway-get, pathway-create, pathway-update, pathway-delete. CRUD für den CPT idf_pathway inklusive komplettem Fragebaum (_idf_tree). Gruppe und Abilities werden nur registriert, wenn das Plugin IDF Pathway aktiv ist (IDF_PATHWAY_VERSION).
• includes/abilities-pathway.php — self-contained, nutzt Standard-WordPress-APIs, keine Abhängigkeit von den internen Klassen des idf-pathway-Plugins.

Geändert

• Aktive Abilities: 79 → 84, Gruppen: 21 → 22.

v3.13.2

Behoben

• update-post akzeptiert jetzt excerpt (Feld fehlte komplett).
• create-page akzeptiert jetzt excerpt (Feld fehlte komplett).
• update-cpt und update-post/update-page: excerpt per Leerstring loeschbar (isset statt ! empty).

v3.13.1

Geändert

• Auf Git-basiertes Deployment migriert (idf-ci Workflow, readme.txt + CHANGELOG.md als Pflichtdateien).

v3.13.0

Hinzugefügt

• Phase 5: 15 neue Abilities — Rank Math SEO (Sitemap, Redirects), generische Taxonomy-CRUD, Menu-Items, User-CRUD (mit Rollen-Whitelist und Administrator-Blacklist), Media-Update/Delete, Shortcodes/Widgets-Listing.

Geändert

• Aktive Abilities: 64 → 79.
• Defense in Depth: create-user degradiert defensiv auf subscriber, update-user lehnt jede Administrator-Modifikation ab.

v3.12.1

Behoben

• Admin-Einstellungsseite nutzt jetzt dynamisch die Bildschirmbreite.

v3.12.0

Hinzugefügt

• Phase 4: 10 System-Admin-Abilities — Audit-Log, Health-Check, Cron-Jobs, Plugin-Aktivierung, Transients, WXR-Export.
• Plugin-Whitelist-UI mit harter Blacklist (idf-mcp-adapter, idf-master-key).

v3.11.0

Hinzugefügt

• Phase 3: 8 Abilities — Events (TEC) und Cache (WP Rocket). Bedingte Registrierung über Plugin-Existenz-Checks.

v3.10.0

Hinzugefügt

• Phase 2: 8 WooCommerce-Abilities — Produkte, Bestellungen, Coupons, Reports.

v3.9.x

Hinzugefügt

• Phase 1: 10 Abilities — Pages, Tags, Categories, Options, Revisions, Search.
• Statuszeile für den Automattic-MCP-Basis-Plugin-Check.

Behoben

• Spinner-Bug, GitHub-Repo-Slug, Robustheit durch Fallback-Kette.

v3.8.0

Hinzugefügt

• Avada-Forms-Integration mit 8 Abilities.
• Vierte Zugriffsstufe Admin für hochrisikante Operationen.

v3.7.x

Behoben

• Fatal Error „Cannot redeclare class IDF_Dependency_Checker" (Dependency-Checker auf v1.5.2).
• class_exists-Guard im Dependency-Checker.

Geändert

• Dependency-Check von File-Ebene in plugins_loaded:15.

v3.7.0

Hinzugefügt

• list-directory Ability mit Realpath-Validierung gegen Directory-Traversal.

v3.6.1

Behoben

• Upload-Plugin Ability: ZIP-Ordnername enthielt Versionssuffix.

Hinzugefügt

• Automatische Erkennung Update vs. Install bei Plugin-Upload.

v3.6.0

Hinzugefügt

• Master-Key-Integration.
• DSGVO-Warnhinweis für Tabs mit personenbezogenen Daten.
• Uninstall-Unterseite mit Datenlöschungs-Checkbox.

Geändert

• ACF-Felder per Opt-in (include_acf) statt automatisch.

v3.5.x

Hinzugefügt

• Chunked-Upload Ability upload-file-chunked (init/append/finish, 30-Min-TTL).

Behoben/Optimiert

• Settings-Cache, Log-Stats konsolidiert (4 → 1 Query).
• Upload-Ordner-Sanitization gegen ..-Bypass.

v3.4.x

Hinzugefügt

• 4 granulare Upload-Abilities (Plugin, Theme, Media, File).
• Zwei Transport-Wege: Base64 oder URL-Download.

v3.3.0

Hinzugefügt

• Dependency-Check für Basis-Plugin.

Geändert

• Eigener Top-Level-Menüpunkt.

v3.2.0

Hinzugefügt

• get-post Ability.
• list-posts mit include_content-Parameter.
• Migrations-Logik im Activation-Hook.

v3.1.0

Behoben

• AJAX-Handler merged jetzt mit bestehenden Settings.

Hinzugefügt

• Hilfe-Unterseite.

v3.0.0

Geändert (Breaking)

• Komplettes Refactoring aller Prefixe von mcp_ap_ auf idf_mcp_.
• Neuer Plugin-Slug idf-mcp-adapter.
• PHP 8.0+ erforderlich.

v2.0.2

• Ursprüngliche Version als mcp-abilities-provider.