O desenvolvimento desta versão custou 1.650 euros. O custo acumulado para este ano é de 9.690 euros. O custo acumulado desde a primeira versão é de 9.690 euros, mas o custo para você é apenas a licença de 30€.
Nova versão 2.4.x do plugin MCP Content Manager Premium para WordPress e WooCommerce. Esta versão introduz um gestor completo de funções e capacidades e um sistema de confirmação humana anti prompt-injection para proteger as operações de alto risco.
Versões da ramificação
2.4.0
Gestor de Funções e Capacidades
- Novo: Gestor de Funções e Capacidades — CRUD completo para funções e capacidades do WordPress via MCP.
- Novo: MCM_Role_Manager — classe completamente estática com CRUD, catálogo, validação, auditoria e emissão de eventos.
- Novo: mcm/list-roles — lista todas as funções com detalhes de capacidades opcionais e contagem de usuários.
- Novo: mcm/get-capabilities-catalog — explorar ~45 capacidades do core + ~12 de WooCommerce + 3 de MCM + capacidades dinâmicas de terceiros.
- Novo: mcm/create-role — criar funções personalizadas com clone_from opcional para herdar de funções existentes.
- Novo: mcm/update-role — modificar o nome da função, adicionar ou remover capacidades.
- Novo: mcm/delete-role — eliminar funções personalizadas com reatribuição obrigatória de usuários.
- Novo: mcm/compare-roles — matriz de comparação de capacidades lado a lado com resumo de comuns/únicas.
- Novo: mcm/assign-role — atribuir função a usuário por ID, login ou email com medidas de segurança.
- Novo: mcm/audit-user-capabilities — auditoria completa das capacidades efetivas de um usuário com avisos.
- Novo: Aba de ajustes de Funções na administração (Ajustes > MCP Content Manager Premium > Funções).
- Novo: MCM_Admin_Roles — classe de interface de administração para a aba de Funções com renderização e process_save.
Proteções de Segurança de Funções
- Novo: Toggle de atribuição de função Administrador — desativado por padrão, deve ser habilitado nas configurações para permitir atribuir a função de administrador via MCP.
- Novo: Toggle de degradação de Administrador — desativado por padrão, deve ser habilitado nas configurações para permitir degradar administradores via MCP.
- Novo: Lista de bloqueio de capacidades perigosas — 32 capacidades bloqueadas por padrão em 3 níveis de risco (CRITICAL, HIGH, MULTISITE). Os administradores podem habilitá-las individualmente a partir da aba de Funções.
- Novo: Proteção de administrador único — sempre ativa independentemente das configurações, o site nunca pode ficar sem pelo menos um administrador.
- Novo: Prevenção de escalada de privilégios — não se podem conceder capacidades que um mesmo não possui.
- Novo: Capacidades reservadas — mcm_agent_execute reservada para uso futuro de agentes autônomos.
- Novo: Funções protegidas — as funções do core do WordPress (administrator, editor, author, contributor, subscriber) e as de WooCommerce (customer, shop_manager) não podem ser eliminadas.
- Novo: A função de Administrador é imutável — previne bloqueios acidentais por modificação da função.
- Novo: Verificação de dependências de capacidades — avisa ao conceder capacidades sem suas dependências.
- Novo: Avisos de capacidades perigosas — sinaliza capacidades de alto risco (unfiltered_html, edit_files, etc.) durante a criação/modificação de funções.
- Novo: Emissão de eventos via do_action('mcm_ability_executed') para pistas de auditoria e automação.
Correções do Gestor de Funções
- Corrigido: O parâmetro clone_from em mcm/create-role agora funciona corretamente (removido capabilities de required em input_schema).
- Corrigido: mcm/compare-roles com menos de 2 funções agora retorna uma mensagem de erro amigável (removido minItems de input_schema).
- Corrigido: mcm/assign-role agora bloqueia a degradação de administradores sem confirmação explícita (requer confirm_demotion=true).
Sistema de Confirmação Humana (Anti Prompt-Injection)
- Novo: Confirmação humana fora de banda para ~30 habilidades de alto risco — defesa arquitetônica contra ataques de prompt injection indireta.
- Novo: MCM_Confirmation — motor completamente estático: criação de desafios, validação de tokens, verificação de integridade HMAC e execução confirmada.
- Novo: MCM_Confirmation_DB — camada de banco de dados com tabela personalizada {prefix}mcm_pending_confirmations, transições de estado atômicas (pending -> confirmed -> executed).
- Novo: Página de confirmação independente via endpoint REST (/wp-json/mcm-auth/v1/confirm) — interface tipo cartão semelhante a páginas de autorização OAuth, sem dependência de wp-admin.
- Novo: Aba de Confirmações na administração (Ajustes > MCP Content Manager Premium > Confirmações) — tabela de ações pendentes e histórico recente com indicadores de estado.
- Novo: Sistema de confirmação Sentinel — confirmação fora de banda independente para habilidades destrutivas do sentinel usando URLs de capacidade e armazenamento em wp_options.
- Novo: Integridade HMAC em parâmetros de confirmação armazenados — hash_hmac('sha256', params, AUTH_KEY) previne manipulação no banco de dados.
- Novo: Limpeza automática via Action Scheduler a cada 12 horas — elimina pendentes expirados + executados/cancelados com mais de 30 dias.
- Novo: A lista de habilidades de alto risco está codificada e NÃO é configurável — previne que atacantes desativem as proteções via prompt injection.
- Novo: Pré-validação para operações impossíveis — funções protegidas e funções imutáveis são rejeitadas antes de criar desafios de confirmação.
- Novo: O formato de resposta do desafio inclui token, URL de confirmação, resumo legível para humanos, tempo de expiração e instruções para o agente de IA.
- Novo: Confirmação atômica — UPDATE WHERE status='pending' AND expires_at > NOW() previne condições de corrida de dupla execução.
- Novo: Método de envoltura de conteúdo (wrap_content) com marcadores nonce por solicitação para limites de conteúdo não confiável.
- Segurança: Mais de 30 habilidades agora requerem confirmação humana: gestão de usuários, gestão de funções, mudanças de opções, operações de banco de dados, limpeza de cache/core, restauração/eliminação de snapshots, aplicar/reverter segurança, instalar plugins/temas, escrever/substituir arquivos, e mais.
Você pode adquirir a licença do MCP Content Manager Premium na página do produto.
