O desenvolvimento desta versão custou 2.140 euros. O custo acumulado para este ano é de 17.599 euros. O custo acumulado desde a primeira versão é de 17.599 euros, mas o custo para você é apenas a licença de 30€.
Nova versão 4.0.x do plugin MCP Content Manager Premium para WordPress e WooCommerce. Esta versão introduz o Hub Snapshot para monitoramento multi-site sem custo de tokens, um Scanner de Vulnerabilidades baseado em Wordfence Intelligence com 137 MB de feed CVE, cobertura MCP completa do Hub com ~30 novas abilities, Worker/IWP Parity para detecção de migrações de BD e logging nativo de WordPress, e um módulo bancário Enable Banking em modo READ-ONLY para reconciliação PSD2 de pedidos WooCommerce, incorporando ~35 novas abilities (de 346 a ~380).
Versões da ramificação
4.0.0
Hub Snapshot (v3.1)
- Novo: Polling de snapshot sem custo de tokens — a ability mcm/site-snapshot do lado filho retorna o estado completo do site em JSON.
- Novo: Abilities mcm/hub-site-snapshot e mcm/hub-updates-summary no hub para uma visão multi-site cacheada.
- Novo: TTL configurável do snapshot (6h por padrão, opção mcm_hub_snapshot_ttl, intervalo 5min-7d).
- Novo: Endpoints REST /mcm-hub/v1/dashboard/sites/<id>/snapshot[/refresh] e /updates-overview.
Scanner de Vulnerabilidades (Wordfence Intelligence)
- Novo: Scanner de CVE baseado no feed Wordfence Intelligence v3 (137 MB, mais de 35000 entradas, TTL 12h).
- Novo: 11 abilities principais (mcm/vuln-refresh-feed, vuln-scan, vuln-list, vuln-get, vuln-summary, vuln-report, vuln-resolve, vuln-deactivate-plugin [CONFIRMAÇÃO], vuln-update-item [CONFIRMAÇÃO], vuln-remediate, vuln-history).
- Novo: 8 abilities de hub (mcm/hub-vuln-scan, hub-vuln-list, hub-vuln-summary, hub-vuln-report, hub-vuln-deactivate-plugin [CONFIRMAÇÃO], hub-vuln-update-item [CONFIRMAÇÃO], hub-vuln-remediate, hub-vuln-history).
- Novo: Tabela de banco de dados mcm_vulnerabilities com UNIQUE sobre (item_type, item_slug, vuln_id).
- Novo: Penalização de pontuação da auditoria de segurança por achados abertos (crítico -20, alto -10, médio -5, baixo -1).
- Novo: Hooks de Action Scheduler para refresco de feed (12h) + scan (24h) + scan assíncrono pós-atualização.
- Novo: Armazenamento de chave API via constante MCM_WORDFENCE_API_KEY ou MCM_Credential_Store (AES-256-GCM).
- Novo: Página Vulnerabilities no dashboard com modal de remediação em massa e sparkline de 30 dias.
- Novo: Badges de CVE em páginas globais de Plugins/Themes e abas de SiteDetail.
Cobertura Hub MCP (v4.5 — ~30 abilities fechando a lacuna de paridade MCP)
- Novo: Conexão de site e OAuth — hub-site-oauth-start, hub-site-token-refresh, hub-site-update-metadata, hub-site-reset-connection.
- Novo: Atividade e agregação — hub-activity-stats, hub-aggregate (tipo: plugins|themes|users|updates), hub-available-owners.
- Novo: Ajustes do hub — hub-settings-get, hub-settings-update [CONFIRMAÇÃO].
- Novo: Grupos de sites granulares — hub-group-create, hub-group-update, hub-group-assign-site, hub-group-remove-site, hub-group-delete [CONFIRMAÇÃO].
- Novo: Gestão de clientes — hub-update-client, hub-delete-client [CONFIRMAÇÃO].
- Novo: Programação de manutenção — hub-schedule-preview, hub-plan-delete [CONFIRMAÇÃO].
- Novo: Alertas — hub-alerts-list, hub-alerts-stats, hub-alerts-acknowledge.
- Novo: Acompanhamento de tempo e custos — hub-timer-current, hub-timer-start, hub-timer-stop, hub-timer-pause-resume, hub-cost-add, hub-cost-list, hub-cost-delete, hub-time-report.
- Novo: Allowlist do instalador — hub-installer-allowlist-get, hub-installer-allowlist-set.
Worker / IWP Parity (4 sprints independentes)
- Novo: Detecção de upgrade de BD pós-atualização de plugin — MCM_DB_Upgrade_Detector detecta migrações de BD pendentes após atualizar plugins (WooCommerce, Elementor, etc.) e retorna additional_updates na resposta.
- Novo: Registro de atividade a partir de hooks de WP — MCM_Activity_Hooks conecta ~15 eventos nativos de WordPress (login, logout, ativação de plugin, mudança de tema, mudanças de opções, etc.) em MCM_Action_Logger com source='hook'.
- Novo: Iterador de arquivos reanudável — MCM_File_Iterator com checkpoints duradouros na tabela mcm_iterator_checkpoints. Percurso de árvore em chunks com tamanho configurável. Usado pelo Time Machine para snapshots grandes de plugins/themes.
- Novo: Camada de compatibilidade de plugins — registro MCM_Plugin_Compat para conflitos conhecidos de plugins e suas soluções.
Módulo Bancário — Enable Banking (credenciais próprias, modo restrito, READ-ONLY)
- Novo: Integração PSD2 AIS de ponta a ponta. Cada instalação usa seu próprio App ID de Enable Banking e sua chave RSA. Sem PIS (iniciação de pagamentos). Sem gravações no banco. Nunca.
- Novo: Armazenamento criptografado de App ID e chave privada RSA via MCM_Credential_Store (AES-256-GCM, chave derivada de AUTH_SALT).
- Novo: Cliente PHP puro de Enable Banking que assina JWTs RS256 através de openssl_sign (sem dependências externas).
- Novo: Registro de consentimentos PSD2 com acompanhamento de expiração a 90 dias, cálculo de estado e avisos admin aos 10 / 2 / 0 dias.
- Novo: Cache de respostas baseado em transients (contas 1h, saldo 15m, transações 30m).
- Novo: Rate limiter para chamadas iniciadas por TPP que aplica o limite PSD2 de 4 chamadas / conta / dia (transients com rotação diária). As chamadas ativadas por admin contam como PSU-initiated e não têm limite.
- Novo: Scopes OAuth banking:read e banking:write. banking:write só autoriza gravações no estado de pedidos WooCommerce — nunca no banco.
- Novo: Helper MCM_OAuth_Interceptor::current_token_has_scope() para a aplicação de scopes por ability.
Abilities Bancárias (9)
- Novo: mcm/banking-list-connections — lista os bancos conectados com informações de expiração.
- Novo: mcm/banking-list-accounts — lista as contas visíveis com IBANs mascarados.
- Novo: mcm/banking-get-balance — saldo contábil de uma conta.
- Novo: mcm/banking-list-transactions — transações contábeis com filtros por data, valor e descrição.
- Novo: mcm/banking-find-payment-for-order — escaneia contas conectadas em busca de candidatos para um pedido WooCommerce com pontuação de confiança (alta/média/baixa).
- Novo: mcm/banking-unmatched-incoming — transferências recebidas que não correspondem a nenhum pedido WooCommerce na janela.
- Novo: mcm/banking-missing-payments — pedidos bacs em espera sem transação bancária correspondente.
- Novo: mcm/banking-mark-order-paid-from-transaction — marca um pedido WooCommerce como processing com uma nota privada de referência bancária (requer confirmação).
- Novo: mcm/banking-reconcile-pending-orders — reconciliador por lotes com limite de auto-aplicação e mínimo de confiança (requer confirmação).
Reconciliação e Automação
- Novo: Pontuação do reconciliador: alta (valor exato + número do pedido na remittance), média (valor exato único na janela), baixa (valor exato com colisões).
- Novo: Auto-reconciliação opt-in via Action Scheduler (manual / a cada 12h / a cada 6h). Bloqueio baseado em transient que previne execuções sobrepostas.
- Novo: Callback de redirecionamento PSD2 em /wp-json/mcm-banking/v1/callback que troca o código de autorização por uma sessão e persiste o consent.
Aba Admin do Módulo Bancário
- Novo: Configurações → MCP Content Manager Premium → Banking. Credenciais, guia de onboarding, tabela de bancos conectados com ação Revogar, ajustes de cron, aviso legal e um banner permanente "READ-ONLY — este módulo não pode mover dinheiro".
- Novo: Avisos admin aos 10 e 2 dias antes da expiração do consent; aviso de erro em consent expirado.
- Novo: Logger que mascara IBANs (MCM_Banking_Logger::scrub) e redige blocos PEM, tokens Bearer e cadeias tipo JWT nos logs.
Garantias de Segurança
- O cliente HTTP de Enable Banking (includes/banking/class-mcm-banking-enable-client.php) implementa apenas endpoints AIS: /application, /auth, /sessions, /accounts/{uid}/details, /balances, /transactions. Nenhum endpoint de PIS é importado, chamado ou referenciado.
- Todas as respostas devolvidas aos clientes MCP usam IBANs mascarados; os IBANs completos nunca saem da camada do fornecedor.
- A descrição de cada ability bancária termina com a frase de salvaguarda "Operação AIS somente leitura no banco. Não inicia pagamentos ou move fundos." para que os LLMs vejam o limite no catálogo de ferramentas MCP.
Correções
- Fix: hub-emergency-login — erro de transporte causado por 3 problemas: objeto passado em vez de int ao proxy, falta de verificação WP_Error no resultado do proxy e required em input_schema bloqueando a execução antes do handler. Reescrito para imitar o padrão de hub-wp-admin-link (sem schema requerido, parâmetros site_id/domain, validação manual).
- Fix: hub-emergency-login — o proxy enviava o parâmetro duration_minutes mas a ability remota security-emergency-login espera minutes.
- Fix: wc-performance-kpis — WC 10.x mistura objetos OrderRefund em consultas de pedidos; adicionada verificação de tipo para omitir refunds em calculate_kpis().
- Fix: create-snapshot — arquivos ZIP vazios não escritos em disco por algumas versões de libzip; adicionada entrada placeholder .mcm-snapshot + clearstatcache() + diagnósticos de erro melhorados (estado de ZipArchive, disk_free_space, is_writable).
- Fix: create-login-token — adicionada restrição explícita de somente-Hub com mensagem de erro clara quando invocado diretamente.
- Fix: list-rest-routes — o parâmetro limit era aceito pelo handler mas faltava em input_schema.
- Fix: manage-action-scheduler — a ação stats faltava na descrição do input_schema.
- Fix: Unificação de parâmetros SAT — sat-translate-post-async e sat-store-term-translation agora usam target_language como nome principal do parâmetro (com alias por compatibilidade retroativa).
- Fix: Documentados alias de parâmetros em 5 schemas de abilities (manage-post-meta, read-template, builder-compare, db-table-info, hub-emergency-login).
Você pode adquirir a licença do MCP Content Manager Premium na página do produto.
