Hubbee

Token-Management — Best Practices

2 Min LesezeitAktualisiert am 2026-05-18

Token-Management — Best Practices

Sobald du mehr als eine Handvoll Sites und Tokens hast, wird Struktur wichtig. Diese Anleitung fasst die Muster zusammen, die für uns und unsere Agentur-Partner funktionieren.

Namenskonventionen

Muster Beispiel Warum
lowercase_snake_case hero_title, pricing_cta_label Matched WP-Option-Key-Konventionen; vermeidet Escape-Probleme
section_purpose_specifier home_hero_title, home_hero_subtitle, pricing_pro_cta Sortierbar im UI; auf einen Blick klar, zu welcher Seite sie gehören
Reservierte Suffixe _label, _url, _image_id, _html Indiziert Feld-Typ — Labels sind kurz, URLs validiert, HTML wird via wp_kses_post sanitisiert
Vermeiden text1, headline_v2_NEU, tmp_homepage Unwartbar jenseits von 50 Tokens

Daumenregel: der Token-Key sollte beantworten “wo auf der Site erscheint das?” ohne dass man nachschauen muss.

Sektions-Organisation

Hubbee gruppiert Tokens nach section. Sektionen werden Header im Editor und Folders im Activity-Log. Empfohlene Sektionen:

  • general — site-weit Footer, Header, Branding
  • home — Homepage-Sektionen
  • pricing, about, contact — pro Hauptseite
  • marketing — saisonale Banner, Aktions-Felder
  • legal — Footer-Links, Impressum, Datenschutz-Snippets

Sektionen sind frei wählbar. Ein Token kann nur in einer Sektion sein.

Token-Rotation & Lock-Mechanik

Wenn du einen Token-Wert änderst, wird er versionsiert. Der vorherige Wert bleibt im Activity-Log für Rollback abrufbar (Pro+: letzten 100 Versionen).

Wenn ein Teammitglied einen Token editiert, wird er für 5 Minuten gelockt. In dieser Zeit sehen andere Editoren einen sanften Warnhinweis, können aber trotzdem editieren — Push gewinnt der letzte Speichern-Klick.

HMAC und Sicherheit

Jeder Push wird HMAC-signiert mit deinem site-spezifischen api_secret. Das Plugin prüft die Signatur, bevor irgendeiner Content akzeptiert wird. Falls jemand deine api.hubbee.io-Endpunkte erraten würde, könnten sie nichts pushen ohne dein Secret.

api_secret rotieren:

  1. Site-Settings → Secret rotieren
  2. Hubbee generiert neues Secret, schickt Update an Plugin via existierendes (noch gültiges) Secret
  3. Plugin bestätigt, schaltet auf neues Secret um
  4. Altes Secret nach 60 Sekunden komplett invalidiert

Rotier api_secret nach Mitarbeiter-Austritt oder vermuteter Kompromittierung.

Bulk-Push

Wenn du dasselbe an mehrere Sites pushen willst (z.B. neue Datenschutz-URL nach Legal-Update):

  1. Token im Dashboard editieren
  2. Push an… → Sites auswählen (oder Site-Gruppe)
  3. Push an X Sites

Hubbee fan-outet zu allen Sites parallel. Activity zeigt eine Zeile pro Site mit Erfolg/Fehler.

Multi-Locale-Werte

Tokens unterstützen Per-Locale-Werte. Siehe Multi-Locale-Tokens für den vollen Walkthrough.

Was du beim Wachstum lernst

Nach ~50 Tokens beginnen Anti-Muster wehzutun:

  • Inkonsistente Sektionen: ein Token in homepage, ein anderes in home_page. Vereinheitlichen lohnt sich.
  • Vergessene Tokens: rendert kein Frontend mehr, aber niemand hat sie gelöscht. Quartalsweise wp option list | grep bz_ aufräumen.
  • HTML in Text-Tokens: alles als richtext markieren, was HTML enthalten könnte — sonst escape-Brüche.

War der Artikel hilfreich?

Verwandte Artikel

Du kommst nicht weiter?

Öffne einen Support-Thread und wir melden uns. Die meisten Antworten erfolgen werktags innerhalb weniger Stunden.

Support kontaktieren