El desarrollo de esta version ha costado 1.650 euros. El coste acumulado para este año es de 9.690 euros. El coste acumulado desde la primera version es de 9.690 euros, pero el coste para ti es solo la licencia de 30€.
Nueva version 2.4.x del plugin MCP Content Manager Premium para WordPress y WooCommerce. Esta version introduce un completo gestor de roles y capacidades y un sistema de confirmacion humana anti prompt-injection para proteger las operaciones de alto riesgo.
Versiones de la rama
2.4.0
Gestor de Roles y Capacidades
- Nuevo: Gestor de Roles y Capacidades — CRUD completo para roles y capacidades de WordPress via MCP.
- Nuevo: MCM_Role_Manager — clase completamente estatica con CRUD, catalogo, validacion, auditoria y emision de eventos.
- Nuevo: mcm/list-roles — lista todos los roles con detalles de capacidades opcionales y conteo de usuarios.
- Nuevo: mcm/get-capabilities-catalog — explorar ~45 capacidades del core + ~12 de WooCommerce + 3 de MCM + capacidades dinamicas de terceros.
- Nuevo: mcm/create-role — crear roles personalizados con clone_from opcional para heredar de roles existentes.
- Nuevo: mcm/update-role — modificar el nombre del rol, añadir o eliminar capacidades.
- Nuevo: mcm/delete-role — eliminar roles personalizados con reasignacion obligatoria de usuarios.
- Nuevo: mcm/compare-roles — matriz de comparacion de capacidades lado a lado con resumen de comunes/unicas.
- Nuevo: mcm/assign-role — asignar rol a usuario por ID, login o email con medidas de seguridad.
- Nuevo: mcm/audit-user-capabilities — auditoria completa de las capacidades efectivas de un usuario con avisos.
- Nuevo: Pestaña de ajustes de Roles en administracion (Ajustes > MCP Content Manager Premium > Roles).
- Nuevo: MCM_Admin_Roles — clase de interfaz de administracion para la pestaña de Roles con renderizado y process_save.
Protecciones de Seguridad de Roles
- Nuevo: Toggle de asignacion de rol Administrador — desactivado por defecto, debe habilitarse en ajustes para permitir asignar el rol de administrador via MCP.
- Nuevo: Toggle de degradacion de Administrador — desactivado por defecto, debe habilitarse en ajustes para permitir degradar administradores via MCP.
- Nuevo: Lista de bloqueo de capacidades peligrosas — 32 capacidades bloqueadas por defecto en 3 niveles de riesgo (CRITICAL, HIGH, MULTISITE). Los administradores pueden habilitarlas individualmente desde la pestaña de Roles.
- Nuevo: Proteccion de administrador unico — siempre activa independientemente de los ajustes, el sitio nunca puede quedarse sin al menos un administrador.
- Nuevo: Prevencion de escalada de privilegios — no se pueden otorgar capacidades que uno mismo no posee.
- Nuevo: Capacidades reservadas — mcm_agent_execute reservada para uso futuro de agentes autonomos.
- Nuevo: Roles protegidos — los roles del core de WordPress (administrator, editor, author, contributor, subscriber) y los de WooCommerce (customer, shop_manager) no se pueden eliminar.
- Nuevo: El rol de Administrador es inmodificable — previene bloqueos accidentales por modificacion del rol.
- Nuevo: Verificacion de dependencias de capacidades — avisa al otorgar capacidades sin sus dependencias.
- Nuevo: Avisos de capacidades peligrosas — señala capacidades de alto riesgo (unfiltered_html, edit_files, etc.) durante la creacion/modificacion de roles.
- Nuevo: Emision de eventos via do_action(‘mcm_ability_executed’) para pistas de auditoria y automatizacion.
Correcciones del Gestor de Roles
- Corregido: El parametro clone_from en mcm/create-role ahora funciona correctamente (eliminado capabilities de required en input_schema).
- Corregido: mcm/compare-roles con menos de 2 roles ahora devuelve un mensaje de error amigable (eliminado minItems de input_schema).
- Corregido: mcm/assign-role ahora bloquea la degradacion de administradores sin confirmacion explicita (requiere confirm_demotion=true).
Sistema de Confirmacion Humana (Anti Prompt-Injection)
- Nuevo: Confirmacion humana fuera de banda para ~30 habilidades de alto riesgo — defensa arquitectonica contra ataques de prompt injection indirecta.
- Nuevo: MCM_Confirmation — motor completamente estatico: creacion de desafios, validacion de tokens, verificacion de integridad HMAC y ejecucion confirmada.
- Nuevo: MCM_Confirmation_DB — capa de base de datos con tabla personalizada {prefix}mcm_pending_confirmations, transiciones de estado atomicas (pending -> confirmed -> executed).
- Nuevo: Pagina de confirmacion independiente via endpoint REST (/wp-json/mcm-auth/v1/confirm) — interfaz tipo tarjeta similar a paginas de autorizacion OAuth, sin dependencia de wp-admin.
- Nuevo: Pestaña de Confirmaciones en administracion (Ajustes > MCP Content Manager Premium > Confirmaciones) — tabla de acciones pendientes e historial reciente con indicadores de estado.
- Nuevo: Sistema de confirmacion Sentinel — confirmacion fuera de banda independiente para habilidades destructivas del sentinel usando URLs de capacidad y almacenamiento en wp_options.
- Nuevo: Integridad HMAC en parametros de confirmacion almacenados — hash_hmac(‘sha256’, params, AUTH_KEY) previene manipulacion en la base de datos.
- Nuevo: Limpieza automatica via Action Scheduler cada 12 horas — elimina pendientes expirados + ejecutados/cancelados con mas de 30 dias.
- Nuevo: La lista de habilidades de alto riesgo esta codificada y NO es configurable — previene que atacantes desactiven las protecciones via prompt injection.
- Nuevo: Pre-validacion para operaciones imposibles — roles protegidos y roles inmodificables se rechazan antes de crear desafios de confirmacion.
- Nuevo: El formato de respuesta del desafio incluye token, URL de confirmacion, resumen legible para humanos, tiempo de expiracion e instrucciones para el agente de IA.
- Nuevo: Confirmacion atomica — UPDATE WHERE status=’pending’ AND expires_at > NOW() previene condiciones de carrera de doble ejecucion.
- Nuevo: Metodo de envoltura de contenido (wrap_content) con marcadores nonce por peticion para limites de contenido no confiable.
- Seguridad: Mas de 30 habilidades ahora requieren confirmacion humana: gestion de usuarios, gestion de roles, cambios de opciones, operaciones de base de datos, limpieza de cache/core, restauracion/eliminacion de snapshots, aplicar/revertir seguridad, instalar plugins/temas, escribir/reemplazar archivos, y mas.
Puedes adquirir la licencia de MCP Content Manager Premium en la pagina del producto.
