version 1.0.1

Author: luchoweb

lw-html-code-injector.php

@@ -30,11 +30,11 @@
 
 class LW_HTML_Code_Injector {
 
-	const META_KEY_HEAD  = '_lLWHCI_head_code';
-	const META_KEY_BODY  = '_lLWHCI_body_code';
-	const META_KEY_LOG   = '_lLWHCI_meta_log';
-	const NONCE_KEY      = '_lLWHCI_nonce';
-	const META_BOX_ID    = 'LWHCI_meta_box';
+	const META_KEY_HEAD  = '_lwhci_head_code';
+	const META_KEY_BODY  = '_lwhci_body_code';
+	const META_KEY_LOG   = '_lwhci_meta_log';
+	const NONCE_KEY      = '_lwhci_nonce';
+	const META_BOX_ID    = 'lwhci_meta_box';
 
 	public function __construct() {
 		add_action( 'add_meta_boxes', array( $this, 'add_meta_boxes' ) );

readme.txt

@@ -1,83 +1,100 @@
 === LW HTML Code Injector ===
 Contributors: luchoweb
-Donate link: https://luchoweb.dev
-Tags: head, body, inject, scripts, custom code, tracking, html, snippets
+Author: Lucho Web (https://luchoweb.dev)
+Tags: head, body, code injector, custom code, html, scripts
 Requires at least: 5.0
 Tested up to: 6.7
 Requires PHP: 7.4
-Stable tag: 1.0.0
+Stable tag: 1.0.1
 License: GPLv2 or later
 License URI: https://www.gnu.org/licenses/gpl-2.0.html
 
-Plugin que permite inyectar código HTML/JS/CSS en wp_head y justo después del <body> tag (wp_body_open) por cada post, página o CPT. Autor: Lucho Web (luchoweb.dev)
+Agrega código HTML personalizado en el <head> y justo después del <body> mediante cajas meta en posts, páginas y Custom Post Types. Incluye medidas de seguridad y opciones de control para administradores.
 
 == Description ==
 
-**LW HTML Code Injector** añade una meta box en entradas, páginas y cualquier *custom post type* público para permitir insertar código personalizado en dos lugares:
+**LW HTML Code Injector** permite insertar código HTML en dos ubicaciones clave del tema:
+- Dentro del `wp_head`
+- Inmediatamente después de `<body>` vía `wp_body_open`
 
-1. **wp_head** — ideal para scripts, estilos, etiquetas meta o herramientas de tracking puntuales.
-2. **wp_body_open** — perfecto para píxeles de seguimiento, banners o HTML que debe ir apenas se abre `<body>`.
+Estas inserciones funcionan en:
+- Entradas (posts)
+- Páginas
+- Custom Post Types públicos
 
-Los campos son **opcionales y por post**, útiles para snippets específicos sin afectar todo el sitio.
+El plugin añade dos textarea en una meta box llamada **“Head & Body Injector”**, visibles únicamente para administradores o usuarios con la capacidad `unfiltered_html`.
 
-Incluye además un fallback con JavaScript por si el tema no ejecuta `wp_body_open`.
+### Características principales
 
-Pensado para desarrolladores, marketers o implementadores que necesitan insertar fragmentos de manera precisa y controlada sin usar plugins gigantescos.
+- Inserción de HTML personalizada por cada post/page/CPT.
+- Sanitización automática para usuarios sin `unfiltered_html`.
+- Eliminación de atributos peligrosos como `onclick`, `onload`, etc.
+- Lista segura de etiquetas permitidas mediante `wp_kses`.
+- Fallback opcional para temas sin `wp_body_open` (desactivado por defecto).
+- Registro de autor y fecha de modificación del código.
+- Compatible con shortcodes.
+- Compatible con cualquier tema moderno.
 
-== Features ==
+### Seguridad
 
-- Dos textareas por entrada/página/CPT:
-  - Código para `wp_head`
-  - Código para `wp_body_open`
-- Soporte para:
-  - HTML
-  - CSS
-  - JavaScript
-  - Shortcodes
-- Fallback opcional cuando el tema no usa `wp_body_open`
-- Solo usuarios con `unfiltered_html` pueden guardar código sin filtrar
-- Meta boxes limpias y fáciles de usar
-- Compatible con cualquier tema
-- No afecta nada cuando no se agregan snippets
+Este plugin incluye capas de protección:
+- La meta box solo aparece para administradores o usuarios con permisos elevados.
+- El contenido se **saneá al guardar** para roles sin `unfiltered_html`.
+- Se evita la ejecución de scripts no autorizados y atributos con eventos.
+- El fallback que usa `innerHTML` en el `<body>` está **desactivado por defecto**.
+- Se recomienda activar 2FA para administradores y configurar una política CSP en el servidor.
+
+Aun así, ten en cuenta:
+- Los administradores pueden insertar código no filtrado (intencional).
+- No instales este plugin en sitios donde usuarios no confiables puedan editar contenido.
+
+### Casos de uso
+
+- Códigos de tracking por página.
+- Scripts específicos para campañas.
+- Snippets de HTML único por entrada.
+- Integraciones personalizadas sin modificar archivos de tema.
 
 == Installation ==
 
-1. Descarga el archivo ZIP del plugin.
-2. Sube el contenido a `/wp-content/plugins/lw-html-code-injector/`
-   o instálalo desde el panel de WordPress → Plugins → Añadir nuevo → Subir plugin.
-3. Activa el plugin.
-4. Edita cualquier post, página o CPT público.
-5. Busca la meta box **Head & Body Injector** y escribe tu código.
+1. Sube la carpeta del plugin a `/wp-content/plugins/lw-html-code-injector/`  
+   o instala el ZIP desde **Plugins → Añadir nuevo → Subir plugin**.
+
+2. Activa el plugin.
+
+3. Edita una entrada/página/CPT y verás la meta box **Head & Body Injector**.
+
+4. Agrega tu código HTML donde necesites.  
+   - Se insertará en `wp_head()` o `wp_body_open()` dependiendo del campo.  
+   - Si tu tema no usa `wp_body_open()`, puedes activar el fallback (requiere editar `wp-config.php` o añadir un filtro).
 
 == Frequently Asked Questions ==
 
-= ¿Afecta al rendimiento del sitio? =  
-No, solo imprime el código cuando la entrada o página tiene contenido en los campos. El plugin no carga assets propios.
+= ¿Puedo insertar scripts completos? =
+Solo si tu usuario tiene la capacidad `unfiltered_html`. De lo contrario, el plugin limpia el contenido para mantener el sitio seguro.
 
-= ¿Puedo insertar scripts de terceros como Google Tag Manager, Meta Pixel, etc.? =  
-Sí, siempre que tu rol tenga permiso `unfiltered_html`.
+= ¿Es seguro usarlo en sitios con muchos editores? =  
+Recomendado únicamente para sitios donde solo administradores tengan acceso a estas cajas meta.
 
-= ¿Qué pasa si mi tema no implementa wp_body_open? =  
-El plugin incluye un fallback que inserta el contenido mediante JavaScript justo después del `<body>`.
+= ¿Puedo usar shortcodes en los campos? =  
+Sí. WordPress procesará los shortcodes antes de imprimir el contenido.
 
-= ¿Funciona en Custom Post Types? =  
-Sí, incluye todos los CPT públicos automáticamente.
+= ¿Qué pasa si mi tema no tiene wp_body_open()? =  
+El código para `<body>` no se imprimirá, a menos que habilites el fallback manualmente.
 
 == Changelog ==
 
-= 1.0.0 =
-* Primera versión estable.
-* Inserción de código en wp_head y wp_body_open.
-* Meta boxes para todos los post types públicos.
-* Fallback para temas sin wp_body_open.
-* Sanitización según permisos del usuario.
-* Shortcodes permitidos.
-
-== Upgrade Notice ==
+= 1.0.1 =
+- Añadida sanitización avanzada con eliminación de event handlers.
+- Meta box limitada a administradores/unfiltered_html.
+- Fallback para body desactivado por defecto por motivos de seguridad.
+- Registro de autor y fecha.
+- Mejoras de estabilidad.
 
 = 1.0.0 =
-Versión inicial del plugin. No hay cambios previos.
+- Versión inicial.
 
 == License ==
 
-Este plugin es software libre licenciado bajo **GPLv2 o posterior**.
+Este plugin está bajo GPLv2 o posterior. Eres libre de modificarlo y redistribuirlo bajo la misma licencia.
+