Zmienność
Every release of the YOLO plugin, newest first — from the first line of code to today.
CDN-resilient health check — no false reverts
On sites behind Cloudflare or a WAF, the post-update safety check could mistake a CDN challenge for a broken site and roll back a perfectly good update. Now YOLO probes your origin directly, confirms health via the REST API, and reverts only on a proven fatal — a CDN 5xx or blocked loopback is kept and flagged, never falsely reverted. Adds a {"revert":false} option for sites that prefer to verify themselves, and the fix hardens every safety path: updates, activations, theme switches and AI-extension writes.
Sanitized SVG uploads (opt-in)
A new Allow SVG uploads switch (off by default) accepts .svg files in the media library and asset area — and sanitizes every SVG on upload, stripping scripts, event handlers and remote references. With the switch off, SVG stays blocked as before. You can now also give a connection key a name when you generate it.
Safe plugin & theme updates
YOLO now updates your plugins and themes bezpiecznie: it snapshots the files first, runs a homepage + REST health check, and automatically rolls a bad update back to the previous version. A new bulk update walks everything with an update available, each rolled back independently — so keeping your whole stack current can’t take the site down.
Docs: Claude Skill & Kits
The in-plugin Help page now covers connecting Claude with a downloadable skill and sharing extensions & kits between sites.
Kit-sharing security hardening
A post-release review of Extension Kits: /kits/import now requires the code scope (it was unreachable via REST), and a remote kit’s member count is capped on import. No critical issues were found.
Admin redesign, Claude Skill & Extension Kits
A big release. A guided Set-up wizard and a clearer section nav, with AI extensions as a first-class area. Connect with one-click Cursor/VS Code, a no-setup paste-a-prompt path, or a downloadable Claude Skill that works in Claude Code, Claude Desktop and the Claude web app. New Extension Kits bundle several AI-built extensions behind one revocable link and install them all on another site, each through the usual safety gate. Plus an opt-out email when an extension is auto-quarantined.
Protect UX clarity
When Protect is off, the Advanced individual-lock checkboxes are greyed out with a clear “not active” note — so ticked-but-unenforced locks can’t be mistaken for active protection.
Security hardening (follow-ups)
Low-severity fixes: conflict-annotation scope gate, path-stripped quarantine/restore errors, a symlink-escape check in the file sandbox, off-site providers re-validate the destination at fetch time, and the recovery endpoint is removed on intentional deactivation.
Security hardening (red-team sweep)
A stronger SSRF guard (re-validates HTTP redirects and IPv4-mapped-IPv6/NAT64), Protect-lock coverage on FSE template reverts and theme-file PHP, and syntax-linting of all executable PHP theme files.
Clear the project log
A “Clear log” button (with confirmation) in wp-admin → Activity to wipe the status and all entries for a fresh start.
Block-theme guidance
Clearer agent instructions on content-vs-theme layering and the front-page.html shadowing trap, so AI-built block themes don’t bake page content into templates.
Code Snippets bridge polish
Paused and quarantined extensions are now visible via the API, an introspect hint surfaces the port, and a corrected safe-swap recipe.
Code Snippets bridge
A read-only inventory of your Code Snippets (GET /introspect/code-snippets) plus a guide recipe to port PHP snippets into managed extensions, with a safe deactivate-source swap.
Shareable extensions
Move an AI-built extension between sites without re-prompting — export or import it as a single file, or flip on a revocable share link another site installs straight from and re-pulls updates with one click. Every import runs the same safety gate as a normal code write.
Launch hardening
A self-cleaning uninstall (with opt-in removal of all data, backups & extensions), an activation pre-flight that checks your WordPress and PHP versions, tidied distribution metadata, and a published responsible-disclosure security policy.
Build & edit block themes
Author a complete FSE block theme from a file map (templates, parts, theme.json) and edit its files in place — syntax-linted, health-checked, and undo-able.
Bricks builder support
Native Bricks pages, alongside Elementor and core blocks — YOLO is now builder-agnostic. The active builder is reported in the API so an agent picks the right path.
Loader reliability
Stopped false-positive extension quarantines on busy hosts — a worker recycle, timeout or OOM kill no longer disables a perfectly good extension.
Site introspection
A read-only, secret-safe way for your AI to learn the ground truth about your site: installed plugins and versions, what they register, and how they’re configured.
Managed extensions
Kod własny teraz zachowuje się jak prawdziwy plugin — aktywuj, dezaktywuj i wykonaj czystą dezinstalację, która usuwa tabele, opcje i zaplanowane zadania, które utworzył.
Bezpieczniejsze rozszerzenia
Syntaktyczne sprawdzanie błędów w czasie pisania oraz system kwarantanny i przywracania, dzięki czemu zły fragment kodu nigdy nie może cicho strącić witryny.
Strony Elementor i pełna współpraca
Pisanie stron Elementor pierwszej klasy (czytaj-modyfikuj-pisz), całkowite pokrycie konfliktów w trakcie współpracy na całej stronie oraz ekran przeglądu konfliktów w zrozumiałym języku.
Współpraca
Bezpieczna równoczesna edycja dla wielu osób i AI jednocześnie — kolizje są wykrywane i kolejkowane zamiast cicho nadpisywać się nawzajem.
Przebudowa administratora
Czystszy pokój kontrolny: szerokopasmowy pasek aplikacji z nawigacją sekcji.
Tryb ochrony i niestandardowe GPT
Zablokuj części swojej witryny przed przekazaniem kluczy, a następnie połącz niestandardowe GPT za pomocą OpenAPI Actions.
Wzmacnianie bezpieczeństwa
Rejestr audytu odporny na manipulacje (łańcuch haszy HMAC), zabezpieczenia SSRF, limity zip-bomb na przywracanie i zablokowane przesyłanie zasobów.
Automatyczny loader samoleczący
Uszkodzone rozszerzenia są automatycznie umieszczane w kwarantannie, aby utrzymać witrynę, z ochroną przed fałszywymi alarmami z jednorazowych awarii.
Dziennik projektu
Wspólny, czytelny dla AI zapis tego, co zostało zrobione, jest w trakcie realizacji i zostało postanowione — tak aby kontekst przetrwał zmianę narzędzi AI lub pracę w zespole.
Szyfrowane przywracanie zewnętrzne
Przywróć bezpośrednio z zewnętrznego magazynu, z szyfrowaniem klucza publicznego po stronie klienta, aby niestrzeżone kopie zapasowe pozostały prywatne.
Kopie zapasowe zewnętrzne
Automatyczne kopie zapasowe na zewnętrznych serwerach zgodnych z S3 lub ogólnych magazynach — szyfrowane i niestrzeżone.
Odzyskiwanie awaryjne
Strona do awaryjnego odzyskiwania, która może ponownie uruchomić twoją witrynę, nawet jeśli wp-admin jest niedostępny.
Rdzeń bezpieczeństwa
Automatyczne wycofywanie zmian na skutek krytycznych zmian pluginu/tematu, łańcuch haszy odporny na manipulacje, ponowne wykonanie oraz solidne, przenośne kopie zapasowe i przywracanie (zweryfikowane pod względem integralności, międzydomenowe i międzyprefiksowe).
Tokeny ograniczone i tylko do odczytu
Siedem granularnych zakresów (odczyt, treść, projekt, kopia zapasowa, przywracanie, kod, instalacja), aby dokładnie nadać to, co zamierzono, na każdy token.
Uruchomienie
Fundament, w jeden dzień: API z autoryzacją tokenów do budowy i zarządzania całą witryną WordPress — treść, pełny projekt (szablony, części, style globalne), media, menu i ustawienia, z migawkami i cofaniem przy każdej zmianie; kopia zapasowa/przywracanie z przepisywaniem URL; kod i samodzielne rozszerzenia z automatycznym wycofywaniem; instalator pluginów/tematów; wbudowany serwer MCP + OpenAPI; oraz starter prompt do wklejania w jednym kroku.