O desenvolvemento desta versión custou 1.650 euros. O custo acumulado para este ano é de 9.690 euros. O custo acumulado desde a primeira versión é de 9.690 euros, pero o custo para ti é só a licencia de 30€.
Nova versión 2.4.x do plugin MCP Content Manager Premium para WordPress e WooCommerce. Esta versión introduce un completo xestor de roles e capacidades e un sistema de confirmación humana anti prompt-injection para protexer as operacións de alto risco.
Versións da rama
2.4.0
Xestor de Roles e Capacidades
- Novo: Xestor de Roles e Capacidades — CRUD completo para roles e capacidades de WordPress a través de MCP.
- Novo: MCM_Role_Manager — clase completamente estática con CRUD, catálogo, validación, auditoría e emisión de eventos.
- Novo: mcm/list-roles — lista todos os roles con detalles de capacidades opcionais e contaxe de usuarios.
- Novo: mcm/get-capabilities-catalog — explorar ~45 capacidades do core + ~12 de WooCommerce + 3 de MCM + capacidades dinámicas de terceiros.
- Novo: mcm/create-role — crear roles personalizados con clone_from opcional para herdar de roles existentes.
- Novo: mcm/update-role — modificar o nome do rol, engadir ou eliminar capacidades.
- Novo: mcm/delete-role — eliminar roles personalizados con reasignación obrigatoria de usuarios.
- Novo: mcm/compare-roles — matriz de comparación de capacidades lado a lado con resumo de comúns/unicas.
- Novo: mcm/assign-role — asignar rol a usuario por ID, login ou email con medidas de seguridade.
- Novo: mcm/audit-user-capabilities — auditoría completa das capacidades efectivas dun usuario con avisos.
- Novo: Pestana de axustes de Roles en administración (Axustes > MCP Content Manager Premium > Roles).
- Novo: MCM_Admin_Roles — clase de interface de administración para a pestana de Roles con renderizado e process_save.
Proteccións de Seguridade de Roles
- Novo: Toggle de asignación de rol Administrador — desactivado por defecto, debe habilitarse en axustes para permitir asignar o rol de administrador a través de MCP.
- Novo: Toggle de degradación de Administrador — desactivado por defecto, debe habilitarse en axustes para permitir degradar administradores a través de MCP.
- Novo: Lista de bloqueo de capacidades perigosas — 32 capacidades bloqueadas por defecto en 3 niveis de risco (CRITICAL, HIGH, MULTISITE). Os administradores poden habilitalas individualmente desde a pestana de Roles.
- Novo: Protección de administrador único — sempre activa independentemente dos axustes, o sitio nunca pode quedar sen polo menos un administrador.
- Novo: Prevención de escalada de privilexios — non se poden outorgar capacidades que un mesmo non posúe.
- Novo: Capacidades reservadas — mcm_agent_execute reservada para uso futuro de axentes autónomos.
- Novo: Roles protexidos — os roles do core de WordPress (administrator, editor, author, contributor, subscriber) e os de WooCommerce (customer, shop_manager) non se poden eliminar.
- Novo: O rol de Administrador é inmodificable — prevén bloqueos accidentais por modificación do rol.
- Novo: Verificación de dependencias de capacidades — avisa ao outorgar capacidades sen as súas dependencias.
- Novo: Avisos de capacidades perigosas — sinala capacidades de alto risco (unfiltered_html, edit_files, etc.) durante a creación/modificación de roles.
- Novo: Emisión de eventos a través de do_action('mcm_ability_executed') para pistas de auditoría e automatización.
Correccións do Xestor de Roles
- Corrixido: O parámetro clone_from en mcm/create-role agora funciona correctamente (eliminado capabilities de required en input_schema).
- Corrixido: mcm/compare-roles con menos de 2 roles agora devolve un mensaxe de erro amigable (eliminado minItems de input_schema).
- Corrixido: mcm/assign-role agora bloquea a degradación de administradores sen confirmación explícita (require confirm_demotion=true).
Sistema de Confirmación Humana (Anti Prompt-Injection)
- Novo: Confirmación humana fóra de banda para ~30 habilidades de alto risco — defensa arquitectónica contra ataques de prompt injection indirecta.
- Novo: MCM_Confirmation — motor completamente estático: creación de desafíos, validación de tokens, verificación de integridade HMAC e execución confirmada.
- Novo: MCM_Confirmation_DB — capa de base de datos con táboa personalizada {prefix}mcm_pending_confirmations, transicións de estado atómicas (pending -> confirmed -> executed).
- Novo: Páxina de confirmación independente a través de endpoint REST (/wp-json/mcm-auth/v1/confirm) — interface tipo tarxeta similar a páxinas de autorización OAuth, sen dependencia de wp-admin.
- Novo: Pestana de Confirmacións en administración (Axustes > MCP Content Manager Premium > Confirmacións) — táboa de accións pendentes e historial recente con indicadores de estado.
- Novo: Sistema de confirmación Sentinel — confirmación fóra de banda independente para habilidades destructivas do sentinel usando URLs de capacidade e almacenamento en wp_options.
- Novo: Integridade HMAC en parámetros de confirmación almacenados — hash_hmac('sha256', params, AUTH_KEY) prevén manipulación na base de datos.
- Novo: Limpeza automática a través de Action Scheduler cada 12 horas — elimina pendentes expirados + executados/cancelados con máis de 30 días.
- Novo: A lista de habilidades de alto risco está codificada e NON é configurable — prevén que atacantes desactiven as proteccións a través de prompt injection.
- Novo: Pre-validación para operacións imposibles — roles protexidos e roles inmodificables son rexeitados antes de crear desafíos de confirmación.
- Novo: O formato de resposta do desafío inclúe token, URL de confirmación, resumo legible para humanos, tempo de expiración e instrucións para o axente de IA.
- Novo: Confirmación atómica — UPDATE WHERE status='pending' AND expires_at > NOW() prevén condicións de carreira de dobre execución.
- Novo: Método de envoltura de contido (wrap_content) con marcadores nonce por petición para límites de contido non confiable.
- Seguridade: Máis de 30 habilidades agora requiren confirmación humana: xestión de usuarios, xestión de roles, cambios de opcións, operacións de base de datos, limpeza de cache/core, restauración/eliminación de snapshots, aplicar/reverter seguridade, instalar plugins/temas, escribir/substituír arquivos, e máis.
Podes adquirir a licencia de MCP Content Manager Premium na páxina do produto.
