Lo sviluppo di questa versione è costato 1.650 euro. Il costo accumulato per quest'anno è di 9.690 euro. Il costo accumulato dalla prima versione è di 9.690 euro, ma il costo per te è solo la licenza di 30€.
Nuova versione 2.4.x del plugin MCP Content Manager Premium per WordPress e WooCommerce. Questa versione introduce un gestore completo di ruoli e capacità e un sistema di conferma umana anti prompt-injection per proteggere le operazioni ad alto rischio.
Versioni della branch
2.4.0
Gestore di Ruoli e Capacità
- Nuovo: Gestore di Ruoli e Capacità — CRUD completo per ruoli e capacità di WordPress tramite MCP.
- Nuovo: MCM_Role_Manager — classe completamente statica con CRUD, catalogo, validazione, audit e emissione di eventi.
- Nuovo: mcm/list-roles — elenca tutti i ruoli con dettagli delle capacità opzionali e conteggio degli utenti.
- Nuovo: mcm/get-capabilities-catalog — esplora ~45 capacità del core + ~12 di WooCommerce + 3 di MCM + capacità dinamiche di terzi.
- Nuovo: mcm/create-role — crea ruoli personalizzati con clone_from opzionale per ereditare da ruoli esistenti.
- Nuovo: mcm/update-role — modifica il nome del ruolo, aggiungi o rimuovi capacità.
- Nuovo: mcm/delete-role — elimina ruoli personalizzati con riassegnazione obbligatoria degli utenti.
- Nuovo: mcm/compare-roles — matrice di confronto delle capacità affiancate con riepilogo di comuni/uniche.
- Nuovo: mcm/assign-role — assegna ruolo a utente per ID, login o email con misure di sicurezza.
- Nuovo: mcm/audit-user-capabilities — audit completo delle capacità effettive di un utente con avvisi.
- Nuovo: Scheda di impostazioni dei Ruoli in amministrazione (Impostazioni > MCP Content Manager Premium > Ruoli).
- Nuovo: MCM_Admin_Roles — classe di interfaccia di amministrazione per la scheda di Ruoli con rendering e process_save.
Protezioni di Sicurezza dei Ruoli
- Nuovo: Toggle di assegnazione di ruolo Amministratore — disattivato per impostazione predefinita, deve essere abilitato nelle impostazioni per consentire di assegnare il ruolo di amministratore tramite MCP.
- Nuovo: Toggle di degradazione di Amministratore — disattivato per impostazione predefinita, deve essere abilitato nelle impostazioni per consentire di degradare amministratori tramite MCP.
- Nuovo: Lista di blocco delle capacità pericolose — 32 capacità bloccate per impostazione predefinita in 3 livelli di rischio (CRITICAL, HIGH, MULTISITE). Gli amministratori possono abilitarle singolarmente dalla scheda di Ruoli.
- Nuovo: Protezione di amministratore unico — sempre attiva indipendentemente dalle impostazioni, il sito non può mai rimanere senza almeno un amministratore.
- Nuovo: Prevenzione di escalation di privilegi — non possono essere concesse capacità che non si possiedono.
- Nuovo: Capacità riservate — mcm_agent_execute riservata per uso futuro di agenti autonomi.
- Nuovo: Ruoli protetti — i ruoli del core di WordPress (administrator, editor, author, contributor, subscriber) e quelli di WooCommerce (customer, shop_manager) non possono essere eliminati.
- Nuovo: Il ruolo di Amministratore è immutabile — previene blocchi accidentali per modifica del ruolo.
- Nuovo: Verifica delle dipendenze delle capacità — avvisa quando si concedono capacità senza le loro dipendenze.
- Nuovo: Avvisi di capacità pericolose — segnala capacità ad alto rischio (unfiltered_html, edit_files, ecc.) durante la creazione/modifica di ruoli.
- Nuovo: Emissione di eventi tramite do_action('mcm_ability_executed') per tracce di audit e automazione.
Correzioni del Gestore di Ruoli
- Corretto: Il parametro clone_from in mcm/create-role ora funziona correttamente (rimossi capabilities da required in input_schema).
- Corretto: mcm/compare-roles con meno di 2 ruoli ora restituisce un messaggio di errore amichevole (rimossi minItems da input_schema).
- Corretto: mcm/assign-role ora blocca la degradazione di amministratori senza conferma esplicita (richiede confirm_demotion=true).
Sistema di Conferma Umana (Anti Prompt-Injection)
- Nuovo: Conferma umana fuori banda per ~30 abilità ad alto rischio — difesa architettonica contro attacchi di prompt injection indiretta.
- Nuovo: MCM_Confirmation — motore completamente statico: creazione di sfide, validazione di token, verifica di integrità HMAC ed esecuzione confermata.
- Nuovo: MCM_Confirmation_DB — strato di database con tabella personalizzata {prefix}mcm_pending_confirmations, transizioni di stato atomiche (pending -> confirmed -> executed).
- Nuovo: Pagina di conferma indipendente tramite endpoint REST (/wp-json/mcm-auth/v1/confirm) — interfaccia tipo scheda simile a pagine di autorizzazione OAuth, senza dipendenza da wp-admin.
- Nuovo: Scheda di Conferme in amministrazione (Impostazioni > MCP Content Manager Premium > Conferme) — tabella di azioni in sospeso e cronologia recente con indicatori di stato.
- Nuovo: Sistema di conferma Sentinel — conferma fuori banda indipendente per abilità distruttive del sentinel usando URL di capacità e memorizzazione in wp_options.
- Nuovo: Integrità HMAC nei parametri di conferma memorizzati — hash_hmac('sha256', params, AUTH_KEY) previene manipolazioni nel database.
- Nuovo: Pulizia automatica tramite Action Scheduler ogni 12 ore — elimina in sospeso scaduti + eseguiti/cancellati con più di 30 giorni.
- Nuovo: La lista di abilità ad alto rischio è codificata e NON è configurabile — previene che attaccanti disattivino le protezioni tramite prompt injection.
- Nuovo: Pre-validazione per operazioni impossibili — ruoli protetti e ruoli immutabili vengono rifiutati prima di creare sfide di conferma.
- Nuovo: Il formato di risposta della sfida include token, URL di conferma, riepilogo leggibile per umani, tempo di scadenza e istruzioni per l'agente IA.
- Nuovo: Conferma atomica — UPDATE WHERE status='pending' AND expires_at > NOW() previene condizioni di corsa di doppia esecuzione.
- Nuovo: Metodo di avvolgimento del contenuto (wrap_content) con marcatori nonce per richiesta per limiti di contenuto non affidabile.
- Sicurezza: Più di 30 abilità ora richiedono conferma umana: gestione utenti, gestione ruoli, modifiche opzioni, operazioni database, pulizia cache/core, ripristino/eliminazione di snapshot, applicare/ripristinare sicurezza, installare plugin/temi, scrivere/sostituire file, e altro.
Puoi acquisire la licenza di MCP Content Manager Premium nella pagina del prodotto.
