O desenvolvemento desta versión custou 2.140 euros. O custo acumulado para este ano é de 17.599 euros. O custo acumulado desde a primeira versión é de 17.599 euros, pero o custo para ti é só a licencia de 30€.
Nova versión 4.0.x do plugin MCP Content Manager Premium para WordPress e WooCommerce. Esta versión introduce o Instantánea do Hub para monitorización multi-sitio sen custo de tokens, un Escáner de Vulnerabilidades baseado en Wordfence Intelligence con 137 MB de feed CVE, cobertura MCP completa do Hub con ~30 novas habilidades, Paridade Worker/IWP para detección de migracións de BD e logging nativo de WordPress, e un módulo bancario Enable Banking en modo READ-ONLY para reconciliación PSD2 de pedidos WooCommerce, incorporando ~35 novas habilidades (de 346 a ~380).
Versiones da rama
4.0.0
Instantánea do Hub (v3.1)
- Novo: Polling de instantánea sen custo de tokens — a habilidade mcm/site-snapshot do lado fillo devolve o estado completo do sitio en JSON.
- Novo: Habilidades mcm/hub-site-snapshot e mcm/hub-updates-summary no hub para unha vista multi-sitio cacheada.
- Novo: TTL configurable da instantánea (6h por defecto, opción mcm_hub_snapshot_ttl, rango 5min-7d).
- Novo: Endpoints REST /mcm-hub/v1/dashboard/sites/<id>/snapshot[/refresh] e /updates-overview.
Escáner de Vulnerabilidades (Wordfence Intelligence)
- Novo: Escáner de CVE baseado no feed Wordfence Intelligence v3 (137 MB, máis de 35000 entradas, TTL 12h).
- Novo: 11 habilidades principais (mcm/vuln-refresh-feed, vuln-scan, vuln-list, vuln-get, vuln-summary, vuln-report, vuln-resolve, vuln-deactivate-plugin [CONFIRMACIÓN], vuln-update-item [CONFIRMACIÓN], vuln-remediate, vuln-history).
- Novo: 8 habilidades de hub (mcm/hub-vuln-scan, hub-vuln-list, hub-vuln-summary, hub-vuln-report, hub-vuln-deactivate-plugin [CONFIRMACIÓN], hub-vuln-update-item [CONFIRMACIÓN], hub-vuln-remediate, hub-vuln-history).
- Novo: Tabela de base de datos mcm_vulnerabilities con UNIQUE sobre (item_type, item_slug, vuln_id).
- Novo: Penalización de puntuación da auditoría de seguridade por achados abertos (crítico -20, alto -10, medio -5, baixo -1).
- Novo: Hooks de Action Scheduler para refresco de feed (12h) + scan (24h) + scan asíncrono post-actualización.
- Novo: Almacenamento de API key via constante MCM_WORDFENCE_API_KEY ou MCM_Credential_Store (AES-256-GCM).
- Novo: Páxina Vulnerabilities no dashboard con modal de remediación masiva e sparkline de 30 días.
- Novo: Badges de CVE en páxinas globais de Plugins/Themes e pestanas de SiteDetail.
Cobertura do Hub MCP (v4.5 — ~30 habilidades pechando a brecha de paridade MCP)
- Novo: Conexión de sitio e OAuth — hub-site-oauth-start, hub-site-token-refresh, hub-site-update-metadata, hub-site-reset-connection.
- Novo: Actividade e agregación — hub-activity-stats, hub-aggregate (kind: plugins|themes|users|updates), hub-available-owners.
- Novo: Axustes do hub — hub-settings-get, hub-settings-update [CONFIRMACIÓN].
- Novo: Grupos de sitios granulares — hub-group-create, hub-group-update, hub-group-assign-site, hub-group-remove-site, hub-group-delete [CONFIRMACIÓN].
- Novo: Xestión de clientes — hub-update-client, hub-delete-client [CONFIRMACIÓN].
- Novo: Programación de mantemento — hub-schedule-preview, hub-plan-delete [CONFIRMACIÓN].
- Novo: Alertas — hub-alerts-list, hub-alerts-stats, hub-alerts-acknowledge.
- Novo: Seguimento de tempo e custos — hub-timer-current, hub-timer-start, hub-timer-stop, hub-timer-pause-resume, hub-cost-add, hub-cost-list, hub-cost-delete, hub-time-report.
- Novo: Allowlist do instalador — hub-installer-allowlist-get, hub-installer-allowlist-set.
Paridade Worker / IWP (4 sprints independentes)
- Novo: Detección de upgrade de BD post-actualización de plugin — MCM_DB_Upgrade_Detector detecta migracións de BD pendentes tras actualizar plugins (WooCommerce, Elementor, etc.) e devolve additional_updates na resposta.
- Novo: Rexistro de actividade desde hooks de WP — MCM_Activity_Hooks engancha ~15 eventos nativos de WordPress (login, logout, activación de plugin, cambio de tema, cambios de opcións, etc.) en MCM_Action_Logger con source='hook'.
- Novo: Iterador de arquivos reanudable — MCM_File_Iterator con checkpoints duradeiros na táboa mcm_iterator_checkpoints. Percorrido de árbore en chunks con tamaño configurable. Usado por Time Machine para snapshots grandes de plugins/themes.
- Novo: Capa de compatibilidade de plugins — rexistro MCM_Plugin_Compat para conflitos coñecidos de plugins e os seus workarounds.
Módulo Bancario — Enable Banking (credenciais propias, modo restrinxido, READ-ONLY)
- Novo: Integración PSD2 AIS de extremo a extremo. Cada instalación usa o seu propio App ID de Enable Banking e a súa clave RSA. Sen PIS (iniciación de pagos). Sen escrituras ao banco. Nunca.
- Novo: Almacenamento cifrado de App ID e clave privada RSA via MCM_Credential_Store (AES-256-GCM, clave derivada de AUTH_SALT).
- Novo: Cliente PHP puro de Enable Banking que firma JWTs RS256 mediante openssl_sign (sen dependencias externas).
- Novo: Rexistro de consents PSD2 con seguimento de expiración a 90 días, cálculo de estado e avisos admin aos 10 / 2 / 0 días.
- Novo: Caché de respostas baseada en transients (contas 1h, balance 15m, transaccións 30m).
- Novo: Rate limiter para chamadas iniciadas por TPP que aplica o límite PSD2 de 4 chamadas / conta / día (transients con rotación diaria). As chamadas activadas por admin contan como PSU-initiated e non teñen límite.
- Novo: Scopes OAuth banking:read e banking:write. banking:write só autoriza escrituras ao estado de pedidos WooCommerce — nunca ao banco.
- Novo: Helper MCM_OAuth_Interceptor::current_token_has_scope() para a aplicación de scopes por habilidade.
Habilidades Bancarias (9)
- Novo: mcm/banking-list-connections — lista os bancos conectados con información de expiración.
- Novo: mcm/banking-list-accounts — lista as contas visibles con IBANs enmascarados.
- Novo: mcm/banking-get-balance — balance contable dunha conta.
- Novo: mcm/banking-list-transactions — transaccións contables con filtros por data, importe e descrición.
- Novo: mcm/banking-find-payment-for-order — escanea contas conectadas buscando candidatos para un pedido WooCommerce con puntuación de confianza (alta/media/baja).
- Novo: mcm/banking-unmatched-incoming — transferencias entrantes que non coinciden cunha pedido WooCommerce na ventá.
- Novo: mcm/banking-missing-payments — pedidos bacs en on-hold sen transacción bancaria correspondente.
- Novo: mcm/banking-mark-order-paid-from-transaction — marca un pedido WooCommerce como processing cunha nota privada de referencia bancaria (require confirmación).
- Novo: mcm/banking-reconcile-pending-orders — reconciliador por lotes con umbral de auto-aplicación e mínimo de confianza (require confirmación).
Reconciliación e Automatización
- Novo: Puntuación do reconciliador: alta (importe exacto + número de pedido na remittance), media (importe exacto único na ventá), baixa (importe exacto con colisións).
- Novo: Auto-reconciliación opt-in via Action Scheduler (manual / cada 12h / cada 6h). Bloqueo baseado en transient que prevén execucións solapadas.
- Novo: Callback de redirección PSD2 en /wp-json/mcm-banking/v1/callback que intercambia o código de autorización por unha sesión e persiste o consent.
Páxina Admin do Módulo Bancario
- Novo: Settings → MCP Content Manager Premium → Banking. Credenciais, guía de onboarding, táboa de bancos conectados con acción Revoke, axustes de cron, disclaimer legal e un banner permanente "READ-ONLY — este módulo non pode mover diñeiro".
- Novo: Avisos admin aos 10 e 2 días antes da expiración do consent; aviso de erro en consent expirado.
- Novo: Logger que enmascara IBANs (MCM_Banking_Logger::scrub) e redacta bloques PEM, tokens Bearer e cadeas tipo JWT nos logs.
Garantías de Seguridade
- O cliente HTTP de Enable Banking (includes/banking/class-mcm-banking-enable-client.php) implementa unicamente endpoints AIS: /application, /auth, /sessions, /accounts/{uid}/details, /balances, /transactions. Ningún endpoint de PIS se importa, chama ou referencia.
- Todas as respostas devoltas aos clientes MCP usan IBANs enmascarados; os IBANs completos nunca saen da capa do provedor.
- A descrición de cada habilidade bancaria remata coa frase de salvagarda "Read-only AIS operation on the bank. Does not initiate payments or move funds." para que os LLMs vexan o límite no catálogo de ferramentas MCP.
Correccións
- Fix: hub-emergency-login — erro de transporte causado por 3 problemas: obxecto pasado en lugar de int ao proxy, falta de comprobación WP_Error no resultado do proxy e required en input_schema bloqueando a execución antes do handler. Reescrito para imitar o patrón de hub-wp-admin-link (sen schema requerido, parámetros site_id/domain, validación manual).
- Fix: hub-emergency-login — o proxy enviaba o parámetro duration_minutes pero a habilidade remota security-emergency-login espera minutes.
- Fix: wc-performance-kpis — WC 10.x mestura obxectos OrderRefund en consultas de pedidos; engadida comprobación de tipo para omitir refunds en calculate_kpis().
- Fix: create-snapshot — arquivos ZIP vacíos non escritos a disco por algunhas versións de libzip; engadida entrada placeholder .mcm-snapshot + clearstatcache() + diagnósticos de erro mellorados (estado de ZipArchive, disk_free_space, is_writable).
- Fix: create-login-token — engadida restrición explícita de só-Hub cun mensaje de erro claro cando se invoca directamente.
- Fix: list-rest-routes — o parámetro limit era aceptado polo handler pero faltaba en input_schema.
- Fix: manage-action-scheduler — a acción stats faltaba na descrición do input_schema.
- Fix: Unificación de parámetros SAT — sat-translate-post-async e sat-store-term-translation agora usan target_language como nome principal do parámetro (con alias por compatibilidade cara atrás).
- Fix: Documentados alias de parámetros en 5 schemas de habilidades (manage-post-meta, read-template, builder-compare, db-table-info, hub-emergency-login).
Podes adquirir a licencia de MCP Content Manager Premium na páxina do produto.
