Spotlight ist unser leichtgewichtiges CMS für Coaches, Selbstständige und kleine Teams. Die letzten Wochen haben wir das System härter, schneller und für End-User deutlich angenehmer gemacht. Hier die Übersicht über das größte Update bisher — alles ist seit heute auf allen Customer-Instanzen live.
Der MCP-Server: Spotlight per KI steuern
Das wichtigste Feature zuerst: Spotlight ist jetzt voll über das Model Context Protocol bedienbar. Du verbindest Claude (Desktop, Code, Agent-SDK) oder einen anderen MCP-fähigen Client mit deiner Spotlight-Instanz und sagst: "Bau mir eine Über-uns-Seite mit Team-Sektion und einem Kontakt-CTA, Slug ueber-uns, im Stil meiner bestehenden Startseite." Die KI macht's — direkt im CMS, ohne dass du selbst HTML schreibst oder durchs Admin-Panel klickst.
Über 45 Tools sind verfügbar: Pages anlegen, updaten, publishen, duplizieren, rollbacken; HTML chirurgisch patchen statt komplett neu zu schreiben; Blöcke verwalten; Globals und Settings ändern; Medien hochladen und verschlüsselte Credentials für externe APIs (Brevo, Mailgun, Stripe) per Proxy nutzen ohne Klartext-Keys im HTML; Design-Tokens lesen und schreiben für konsistente Optik; User einladen, Sitemap generieren. Auth läuft über OAuth 2.1 mit PKCE oder personenbezogene API-Keys, jeder Key ist scoped (nur die Rechte die du gibst).
In Kombination mit der neuen Promptbibliothek (siehe unten) heißt das in der Praxis: Du öffnest Claude, kopierst den Prompt "Komplette Website von Grund auf bauen", die KI interviewed dich systematisch und legt danach via MCP die ganze Site an. Eine fertige, kundenreife Website in 20 Minuten Konversation statt drei Tagen Klicken.
Setup-Wizard für den ersten Login
Wer Spotlight zum ersten Mal aufruft, kommt jetzt durch einen geführten Wizard: Markenname, Hauptfarbe, Logo, Pflichtseiten, Tracking-Anbindung — alles Schritt für Schritt statt allein durchs Menü zu suchen. Wer will, kann den Wizard auch später nochmal aufrufen oder gezielt einzelne Bereiche neu durchgehen.
Eigenes Analytics-Dashboard, cookieless
Bisher hieß Analytics in Spotlight: pack ein GA-Snippet rein. Jetzt liefern wir ein eigenes Dashboard direkt im Admin-Panel — Seitenaufrufe, Besucher, Sitzungen, Absprungrate, Verweildauer, Top-Seiten, Quellen, Geräte, Browser. Cookieless mit täglich rotierendem Hash, Bot-Traffic wird gefiltert, Daten 12 Monate gespeichert. Kein Cookie-Banner für Analytics nötig, DSGVO-konform.
Server-Side-Tracking gegen Adblocker
Conversion-Tracking ist der wichtigste Hebel für Werbung — und das, was Adblocker als erstes blockieren. Spotlight feuert jetzt parallel an Browser-Pixel und Server-Side an Meta CAPI und Google Analytics Measurement Protocol. Ein einziger Aufruf spkTrack('Lead', { email }) reicht; Spotlight kümmert sich um alles dahinter. In ersten Tests haben wir damit zwischen 30 und 60 Prozent mehr getrackte Conversions gesehen, weil die Server-Side-Übertragung von Adblockern nicht mehr wegblockiert wird.
Promptbibliothek für die KI-gestützte Arbeit
Wer Spotlight per KI-Assistent oder MCP-Server bedient, hat jetzt eine eigene Prompt-Library im Admin-Panel: vorgefertigte, ausführliche Prompts für die wichtigsten Szenarien — Komplette Website von Grund auf bauen, schnelle Landingpage, Über-uns-Seite, Pricing, Blog-Artikel, Impressum/Datenschutz, Lead-Form mit Brevo-Anbindung, Kontakt-Form, Conversion-Tracking nachrüsten, SEO-Audit, Re-Branding, WordPress-Migration, und Funnel-Templates für Lead-Magnet, Produkt-Launch, Webinar und Booking-Call.
Wichtig dabei: Die Prompts produzieren kein Tailwind-CSS. Wir wollen, dass Customer-Sites individuell aussehen statt austauschbar. Wenn die KI nicht weiß, welcher Design-Stil gewünscht ist, fragt sie aktiv nach — entweder nach einer bestehenden Referenz-Seite, nach Mood-Präferenzen, oder schlägt drei unterschiedliche Design-Richtungen als Mini-Mockup vor. Drei neue Prompts in der Kategorie Design helfen explizit beim kreativen Designen statt beim bloßen Bauen.
Custom-Domain mit Inhaberschafts-Verifikation
Bisher prüfte Spotlight bei einer neuen Custom-Domain nur, ob die DNS auf unsere IP zeigt. Theoretisches Risiko: Phishing-Domain-Squatting — jemand legt eine Tippfehler-Domain auf unsere IP und claimed sie auf seiner Spotlight-Instanz. Jetzt gibt es einen zweistufigen Setup-Flow wie bei Vercel oder Netlify: Erst per TXT-Eintrag die Inhaberschaft bestätigen, dann den eigentlichen DNS-Eintrag setzen. Bestehende Custom-Domains werden automatisch grandfathered, kein manueller Eingriff nötig.
On top: Spotlight warnt jetzt explizit vor AAAA-IPv6-Konflikten. Wenn jemand seine A-Records korrekt setzt, aber alte AAAA-Records vergisst, läuft die Domain weiterhin auf den alten Server — und niemand merkt's, bis ein Browser zufällig IPv6 nutzt. Der DNS-Check schlägt jetzt direkt rot Alarm.
Drei Runden Pentest, drei Runden gehärtet
Wir haben Spotlight in drei aufeinanderfolgenden Runden mit Test-Usern (Owner, Admin, Editor) durchgepentested — zusammen 50+ Angriffsvektoren von SSRF über XSS, IDOR, Mass-Assignment, JWT-Replay, bis hin zu Stored-Credentials-Encryption-Schwächen. Acht kritische Findings sind gefixt, die letzte Runde lieferte 0 weitere CRITICAL/HIGH. Was wir bewusst nicht gefixt haben (Editor-1 kann Pages von Editor-2 ändern — gewollt im Team-CMS-Design), ist transparent dokumentiert.
Admin-Draft-Preview mit Banner statt 404
Kleine Sache, große Wirkung: Wer als Admin oder Editor eingeloggt ist und eine Draft-Page öffnet, sieht jetzt die Seite mit einem orangenen Sticky-Banner oben ("⚠ Du siehst einen Entwurf. Diese Seite ist für Besucher nicht sichtbar") statt eines 404-Fehlers. Echte Besucher bekommen weiterhin sauber den 404, Drafts werden auch nicht in Suchmaschinen indiziert.
Analytics-Chart entzerrt
Der Verlauf-Chart auf der Analytics-Seite war bei wenigen Datenpunkten visuell flach gequetscht. Komplett überarbeitet: bessere Aspect-Ratio, mehr Atemraum oben und unten, bei nur einem Datenpunkt wird der Punkt jetzt mittig statt am linken Rand geplottet, größere Schrift, lesbare Y-Achsen-Labels.
Was als nächstes kommt
Wir arbeiten gerade am Visual-Page-Editor (drag & drop statt HTML-Editor), an einem nativen Forms-Builder ohne Code, und an einer Komponenten-Bibliothek mit wiederverwendbaren Blöcken. Wer Spotlight schon nutzt: Updates kommen automatisch, kein Eingreifen nötig. Wer sich Spotlight zum ersten Mal anschauen will: Hier gehts zur Produktseite.
