WordPress.com macht Ernst mit „KI als Mitarbeiter“: Externe Agenten wie ChatGPT oder Claude dürfen nicht mehr nur lesen und Vorschläge machen – sie können Inhalte anlegen, ändern und veröffentlichen. Wer sein System über das offene Model Context Protocol (MCP) verbindet, kann künftig per Chat echte Eingriffe am eigenen WordPress.com‑Auftritt auslösen. Das ist bequem. Und brandgefährlich, wenn Rechte, Protokolle und Freigaben nicht sitzen.
MCP: Der neue Draht zwischen Chat und CMS – seit Oktober 2025
Technisch hängt alles an drei Buchstaben: MCP, dem Model Context Protocol. Der Standard soll Sprachmodellen „Kontext“ geben – bei WordPress.com sind das konkrete Dinge wie bestehende Inhalte, Einstellungen und Analysewerte. Seit Oktober 2025 war WordPress.com nach eigener Darstellung MCP-kompatibel, bislang vor allem im Lesemodus: Agenten konnten sich strukturiert durch Inhalte und Daten hangeln.
Jetzt kippt das Verhältnis. MCP wird zur Schaltzentrale, über die ein Agent nicht nur Informationen abruft, sondern Werkzeuge anstößt – also Handlungen im CMS ausführt. Verwaltung findet damit nicht mehr zwingend im WordPress-Dashboard statt, sondern kann in die Chat-Oberfläche eines KI-Tools wandern. Wer das einmal freischaltet, verlagert Macht: weg von Buttons und Formularen, hin zu natürlichsprachlichen Befehlen.
WordPress.com nennt als kompatible Umgebungen unter anderem Claude, ChatGPT, Cursor und OpenClaw. Das ist strategisch klug: Automattic zwingt niemanden in einen eigenen Assistenten, sondern öffnet die Plattform für mehrere „Operatoren“. Der Preis dafür ist eine größere Angriffsfläche – jede zusätzliche Agenten-Integration bedeutet neue Authentifizierung, neue Token, neue Protokollierung, neue Fehlerquellen.
19 neue Werkzeuge: Posts, Seiten, Kommentare – bis hin zu Kategorien und Medien
Laut Produktdokumentation kommen 19 Tools hinzu, die sich auf sechs Inhaltsarten beziehen: Artikel, Seiten, Kommentare, Kategorien, Tags und Medien. Das ist mehr als Textproduktion. Wer Kategorien und Tags verändern darf, greift in die Struktur eines Angebots ein – Navigation, Auffindbarkeit, interne Ordnung.
Der versprochene Komfort: Statt durch mehrere Masken zu klicken (Entwurf, Vorschau, Veröffentlichung, Taxonomie pflegen) läuft alles in einem Gespräch. „Schreib mir einen Entwurf im Stil X, ordne ihn Kategorie Y zu, setz Tags Z, veröffentliche um 9 Uhr“ – so ist die Denkrichtung. Ebenso: bestehende Seiten umschreiben, Links korrigieren, Inhalte nachziehen.
Besonders heikel ist die Kommentar-Moderation. Ja, das ist für viele Seiten die nervigste Daueraufgabe. Aber wer sie automatisiert, lädt Fehler ein: falsches Löschen, falsches Freischalten, falscher Ton. Wenn WordPress.com das ernst meint, braucht es fein granulare Rechte und sichere „Vorschlags“-Modi: Antworten vorbereiten, Löschungen markieren – aber nicht blind ausführen.
Auch bei Medien wird es schnell ungemütlich: Umbenennen, Hochladen, Zuordnen klingt harmlos, berührt aber Bildrechte, Credits, konsistente Bildsprache. Eine KI kann Ordnung schaffen – oder Chaos, wenn sie die redaktionellen Regeln nicht kennt und niemand nachvollziehen kann, was sie wann auf wessen Zuruf geändert hat.
Rollout nur für zahlende Kunden – Freischaltung im MCP-Kontrollpanel
Die Funktion wird laut WordPress.com auf allen kostenpflichtigen Tarifen ausgerollt. Das ist kein Zufall: Wer zahlende Kunden hat, kann Support bündeln, Risiken kontrollierter hochfahren – und das Feature als Premium-Produktivität verkaufen. Für Gratisnutzer wächst damit die Lücke: WordPress.com droht noch stärker zur Zwei-Klassen-Plattform zu werden.
Aktiviert wird das Ganze über ein MCP-Dashboard. Dort wird ein externer Agent verbunden und bekommt Rechte. Genau hier entscheidet sich, ob das Feature ein Werkzeug oder ein Unfallgenerator ist: Ein Agent, der veröffentlichen kann, ist keine nette Hilfe mehr, sondern eine handelnde Identität. In einem CMS muss so eine Identität sauber begrenzt sein – Rollen, Berechtigungen, Scope, Audit-Logs.
Der zusätzliche Risikofaktor: In der klassischen WordPress-Oberfläche sieht man Felder, Warnungen, Bestätigungen. Im Chat reicht ein missverständlicher Satz. Wenn Schutzmechanismen fehlen – verpflichtende Bestätigung, Limits für Massenänderungen, klare Previews – kann aus „mach das fertig“ eine Live-Veröffentlichung werden. Oder eine großflächige Änderung, die erst auffällt, wenn Google sie schon indexiert hat.
Für Automattic ist das auch ein Bindungsversuch: Wenn sich WordPress.com bequem aus dem KI-Ökosystem steuern lässt, bleibt man eher. Gleichzeitig schneidet das offene MCP in die andere Richtung: Standards senken Wechselkosten. Wenn Agenten ohnehin standardisiert „bedienen“, wird der Umzug zu einem anderen kompatiblen CMS leichter.
Wenn der Assistent publiziert: Haftung, Sicherheit, Prompt-Injection
Wer veröffentlicht, trägt Verantwortung – redaktionell, reputativ, teils juristisch. Ein Agent „versteht“ nicht, er führt aus: probabilistisch, kontextabhängig, manchmal erstaunlich treffsicher, manchmal daneben. Für Routineinhalte ist die Versuchung groß, mehr zu delegieren: Support-Seiten, Ankündigungen, wiederkehrende Formate. Genau dort passieren dann die peinlichen Fehler: falsche Fakten, schiefe Formulierungen, erfundene Zitate.
Noch härter ist das Sicherheitsproblem. Ein Agent mit Schreibrechten ist ein attraktives Ziel. Token-Leaks, Session-Hijacking, falsch gesetzte Berechtigungen – das kennt man aus klassischer IT. Neu ist die praktische Relevanz von Prompt-Injection: Manipulation über Inhalte, die der Agent als Kontext liest. Ein bösartiger Kommentar oder eine präparierte Seite kann Anweisungen verstecken, die der Agent dann „gehorsam“ umsetzt. Solange KI nur liest, ist das ärgerlich. Sobald sie schreibt und veröffentlicht, wird es existenziell.
Und dann ist da noch die redaktionelle Governance: Wenn ein Agent Kategorien und Tags anlegt, kann er die Taxonomie verwässern – Dubletten, inkonsistente Begriffe, SEO-Wildwuchs. Marketing-Teams mögen die Geschwindigkeit. Sie werden die Aufräumarbeit hassen, wenn mehrere Personen über mehrere Agenten parallel am System ziehen.
Unterm Strich: Ja, das kann Arbeit sparen – gerade kleinen Teams, Vereinen, Solo-Selbstständigen. Wer WordPress nicht liebt, aber nutzen muss, bekommt eine niedrigere Hürde: „Ändere diese Seite“, „korrigiere Tippfehler“, „veröffentliche den Entwurf“. WordPress.com muss dafür aber liefern, was im CMS-Kontext zählt: klare Grenzen, nachvollziehbare Logs, saubere Trennung zwischen Entwurf und Livegang. Sonst wird aus Automatisierung ein Dauerstress.
Was Nutzer konkret wissen sollten
Welche Inhalte kann ein KI-Agent bearbeiten? Laut WordPress.com: Artikel, Seiten, Kommentare, Kategorien, Tags und Medien.
Wer bekommt die Funktion? Der Rollout läuft für zahlende WordPress.com‑Tarife; aktiviert wird über das MCP-Kontrollpanel.
Größtes Risiko? Kontrollverlust: missverständliche Befehle, zu breite Rechte oder manipulierte Kontexte können echte Änderungen und Veröffentlichungen auslösen.
