fix: prepare 1.0.9 compatibility release

Align the plugin and documentation with the verified WordPress 6.9.3 and Rank Math 1.0.265 compatibility update so the 1.0.9 release is ready to ship. This also refreshes the roadmap with page support and CI/CD follow-up work.

Author: Christian-Devora

.gitignore

@@ -3,11 +3,6 @@
 #Test files
 tests/
 
-#Temporary todo list
-todo.md
-TODO-NORWEGIAN.md
-@TODO-NORWEGIAN.md
-
 # OS generated files
 .DS_Store
 .DS_Store?
@@ -21,6 +16,7 @@ Thumbs.db
 .vscode/
 .idea/
 .cursor/
+.worktrees/
 *.swp
 *.swo
 *~
@@ -71,6 +67,7 @@ wp-content/plugins/hello.php
 *.tar.gz
 *.tar.bz2
 /deploy.sh
+/wp-local.sh
 /.deployignore
 agent-skills/
 *.code-workspace

CHANGELOG.md

@@ -5,6 +5,26 @@ All notable changes to this project will be documented in this file.
 The format is based on [Keep a Changelog](https://keepachangelog.com/en/1.1.0/),
 and this project adheres to [Semantic Versioning](https://semver.org/spec/v2.0.0.html).
 
+## [1.0.9] - 2026-03-11
+
+### Changed
+
+- Verified compatibility with WordPress 6.9.3 during local runtime testing.
+- Verified compatibility with Rank Math SEO 1.0.265 during local runtime testing.
+- Updated plugin metadata and documentation to reflect current compatibility coverage.
+
+### Security
+
+- Split REST route authorization from REST-exposed meta authorization callbacks.
+- Added field-level sanitization for both the custom endpoint and native REST meta updates.
+- Hardened GitHub updater input validation and PHP 8.x safety checks.
+- Removed stored GitHub token during uninstall.
+
+### Fixed
+
+- Returned `unchanged` instead of `failed` for idempotent metadata updates.
+- Corrected documentation for authentication, permissions, error responses, and installation flow.
+
 ## [1.0.8] - 2025-07-31
 
 ### Added
@@ -30,7 +50,7 @@ and this project adheres to [Semantic Versioning](https://semver.org/spec/v2.0.0
 ### Security
 
 - Enhanced input validation and sanitization for all API endpoints
-- Proper capability checks (`edit_posts`) for all update operations
+- Proper object-level capability checks (`edit_post`) for all update operations
 - Secure GitHub API communication with proper error handling
 - Rate limiting to prevent API abuse
 

CODE_OF_CONDUCT.md

@@ -202,4 +202,4 @@ https://www.contributor-covenant.org/translations.
 
 ---
 
-**Last Updated**: July 2025
+**Last Updated**: March 2026

README-NORWEGIAN.md

@@ -9,7 +9,7 @@
 ## 📋 Oversikt
 
 **Plugin Name**: Rank Math API Manager  
-**Version**: 1.0.6
+**Version**: 1.0.9
 **Author**: Devora AS  
 **Description**: WordPress-plugin som eksponerer REST API-endepunkter for å oppdatere Rank Math SEO-metadata programmatisk.
 
@@ -69,7 +69,7 @@ curl -X POST "https://example.com/wp-json/rank-math-api/v1/update-meta" \
 
 ### 2. Tillatelser
 
-Plugin-et krever at brukeren har `edit_posts`-rettigheter for å oppdatere metadata.
+Plugin-et krever at brukeren er autentisert og kan redigere det konkrete innlegget eller produktet via `current_user_can( 'edit_post', $post_id )`.
 
 ### 3. REST API-tilgang
 
@@ -106,13 +106,13 @@ Dette plugin-et er spesielt designet for å fungere med Devora sin n8n workflow
 ### Autentisering
 
 - Krever WordPress Application Password eller Basic Auth
-- Validerer brukerrettigheter (`edit_posts`)
+- Validerer objektnivå-brukerrettigheter (`edit_post` for det forespurte innlegget eller produktet)
 - Sanitizerer alle input-parametere
 
 ### Validering
 
 - Validerer at `post_id` eksisterer
-- Sanitizerer tekst-felter med `sanitize_text_field()`
+- Sanitizerer SEO-tekstfelt med `wp_filter_nohtml_kses()`
 - Validerer URL-er med `esc_url_raw()`
 
 ## 🔧 Tekniske Detaljer
@@ -330,7 +330,7 @@ A: Ja, Rank Math SEO-plugin må være installert og aktivert for at dette plugin
 A: Last opp plugin-filen til `/wp-content/plugins/rank-math-api-manager/` og aktiver den i WordPress admin-panel.
 
 **Q: Hvilke tillatelser trenger jeg?**
-A: Du må ha `edit_posts`-rettigheter for å bruke API-endepunktene.
+A: Du må være autentisert og ha rettighet til å redigere det konkrete innlegget eller produktet.
 
 **Q: Hvordan setter jeg opp autentisering?**
 A: Bruk WordPress Application Passwords eller Basic Auth. Se installasjonsseksjonen for detaljer.
@@ -347,7 +347,7 @@ A: Ja, plugin-et støtter automatisk WooCommerce produkter hvis WooCommerce er a
 A: Se n8n-integrasjonsseksjonen i dokumentasjonen for eksempel-konfigurasjon.
 
 **Q: Er det rate limiting på API-endepunktene?**
-A: Plugin-et bruker WordPress' innebygde rate limiting. For høy-trafikk nettsteder anbefales ekstra rate limiting.
+A: Plugin-et har forelopig ingen dedikert rate limiting for endepunktet. Ruten krever autentisering og objektnivå-tillatelser, og ekstra rate limiting kan legges til på nettsted- eller infrastrukturnivå ved behov.
 
 ### 🛡️ Sikkerhet
 
@@ -374,7 +374,7 @@ A: Test API-endepunktet med en enkel POST-forespørsel til `/wp-json/rank-math-a
 ### 🐛 Feilsøking
 
 **Q: Får jeg 401 Unauthorized-feil?**
-A: Sjekk at Application Password er riktig konfigurert og at brukeren har `edit_posts`-rettigheter.
+A: Sjekk at Application Password er riktig konfigurert og at brukeren kan redigere det konkrete innlegget eller produktet.
 
 **Q: Får jeg 404 Not Found-feil?**
 A: Verifiser at plugin-et er aktivt og at WordPress REST API er tilgjengelig.
@@ -403,7 +403,7 @@ A: Ja, webhook-støtte er planlagt for fase 3.
 1. **401 Unauthorized**
 
    - Sjekk at Application Password er riktig konfigurert
-   - Verifiser at brukeren har `edit_posts`-rettigheter
+   - Verifiser at brukeren kan redigere det konkrete innlegget eller produktet
 
 2. **404 Not Found**
 

README.md

@@ -10,7 +10,7 @@
 ## 📋 Overview
 
 **Plugin Name**: Rank Math API Manager  
-**Version**: 1.0.8  
+**Version**: 1.0.9  
 **Author**: [Devora AS](https://devora.no/)  
 **Description**: WordPress extension that exposes REST API endpoints to update [Rank Math](https://rankmath.com/) SEO metadata programmatically.
 
@@ -68,13 +68,13 @@ Replace `USERNAME` and `APPLICATION_PASSWORD` with your WordPress username and [
 
 ### 1. Plugin Installation
 
-1. Upload `rank-math-api-manager.php` to `/wp-content/plugins/rank-math-api-manager/`
+1. Upload the plugin ZIP or extracted plugin folder to `/wp-content/plugins/rank-math-api-manager/`
 2. Activate the plugin in WordPress admin panel
 3. Verify that the plugin is active
 
 ### 2. Permissions
 
-The plugin requires users to have `edit_posts` permissions to update metadata.
+The plugin requires users to be authenticated and able to edit the specific target post or product via `current_user_can( 'edit_post', $post_id )`.
 
 ### 3. REST API Access
 
@@ -111,13 +111,13 @@ This plugin is specifically designed to work with Devora's n8n workflow "Write w
 ### Authentication
 
 - Requires WordPress Application Password or Basic Auth
-- Validates user permissions (`edit_posts`)
+- Validates object-level user permissions (`edit_post` on the requested post or product)
 - Sanitizes all input parameters
 
 ### Validation
 
 - Validates that `post_id` exists
-- Sanitizes text fields with `sanitize_text_field()`
+- Sanitizes SEO text fields with `wp_filter_nohtml_kses()`
 - Validates URLs with `esc_url_raw()`
 
 ## 🔧 Technical Details
@@ -324,18 +324,18 @@ POST /wp-json/rank-math-api/v1/multisite-update
 A: Rank Math API Manager is a WordPress plugin that allows you to update Rank Math SEO metadata programmatically via REST API endpoints. It's specifically designed to integrate with automation like n8n workflows.
 
 **Q: Which WordPress versions are supported?**
-A: The plugin requires WordPress 5.0 or newer and PHP 7.4 or newer.
+A: The plugin requires WordPress 5.0 or newer and PHP 7.4 or newer. It has been verified on WordPress 6.9.3 during local runtime testing.
 
 **Q: Is Rank Math SEO plugin required?**
 A: Yes, the Rank Math SEO plugin must be installed and activated for this plugin to work.
 
 ### 🔧 Installation and Setup
 
 **Q: How do I install the plugin?**
-A: Upload the plugin file to `/wp-content/plugins/rank-math-api-manager/` and activate it in the WordPress admin panel.
+A: Upload the plugin ZIP through **Plugins → Add New → Upload Plugin**, or place the extracted plugin folder in `/wp-content/plugins/rank-math-api-manager/`, then activate it in WordPress admin.
 
 **Q: What permissions do I need?**
-A: You must have `edit_posts` permissions to use the API endpoints.
+A: You must be authenticated and have permission to edit the specific target post or product.
 
 **Q: How do I set up authentication?**
 A: Use WordPress Application Passwords or Basic Auth. See the installation section for details.
@@ -352,7 +352,7 @@ A: Yes, the plugin automatically supports WooCommerce products if WooCommerce is
 A: See the n8n integration section in the documentation for example configuration.
 
 **Q: Is there rate limiting on the API endpoints?**
-A: The plugin uses WordPress's built-in rate limiting. For high-traffic sites, additional rate limiting is recommended.
+A: The plugin does not currently add a dedicated endpoint rate limiter. The route is authenticated and permission-checked, and additional rate limiting can be added at the site or infrastructure layer if needed.
 
 ### 🛡️ Security
 
@@ -379,7 +379,7 @@ A: Test the API endpoint with a simple POST request to `/wp-json/rank-math-api/v
 ### 🐛 Troubleshooting
 
 **Q: I get 401 Unauthorized errors?**
-A: Check that the Application Password is correctly configured and that the user has `edit_posts` permissions.
+A: Check that the Application Password is correctly configured and that the user can edit the specific target post or product.
 
 **Q: I get 404 Not Found errors?**
 A: Verify that the plugin is active and that the WordPress REST API is available.
@@ -408,7 +408,7 @@ A: Yes, webhook support is planned for phase 3.
 1. **401 Unauthorized**
 
    - Check that Application Password is correctly configured
-   - Verify that the user has `edit_posts` permissions
+   - Verify that the user can edit the specific target post or product
 
 2. **404 Not Found**
 
@@ -482,7 +482,7 @@ If you discover a bug or have other problems with the plugin, you can:
 ---
 
 **License**: [GPL v3](LICENSE.md) - Devora AS  
-**Last Updated**: July 2025
+**Last Updated**: March 2026
 
 ---
 

TODO-NORWEGIAN.md

@@ -0,0 +1,90 @@
+# TODO - Rank Math API Manager Plugin
+
+## Nåværende Status
+
+Versjon `1.0.9` er klargjort for release etter verifisert kompatibilitetsarbeid mot WordPress `6.9.3` og Rank Math SEO `1.0.265`.
+
+Nylig fullført:
+
+- Verifisert lokal runtime-kompatibilitet mot siste støttede WordPress- og Rank Math-versjoner.
+- Forbedret autorisasjon og sanitering for REST-endepunkt og meta-felter.
+- Strammet inn validering i updater og gjort flere PHP 8.x-sikkerhetstiltak.
+- Oppdatert bruker- og utviklerdokumentasjon for `1.0.9`.
+
+## Høy Prioritet
+
+### 1. Legg til støtte for sider
+
+- Legg til støtte for posttypen `page` i det tilpassede REST-endepunktet.
+- Registrer Rank Math-meta for sider i native REST-responser.
+- Verifiser tilgangskontroll, sanitering og idempotente oppdateringer for sider.
+- Oppdater API-dokumentasjon og eksempler for innlegg, sider og produkter der det er relevant.
+
+### 2. Legg til CI/CD-pipeline og GitHub Actions-workflows
+
+- Legg til CI-workflow for pull requests og pushes til beskyttede brancher.
+- Legg til release-workflow for pakking, validering og taggede releaser.
+- Legg til [Plugin Check Action](https://github.com/WordPress/plugin-check-action) for å kjøre Plugin Check mot pluginen.
+- Legg til PHP CodeSniffer (PHPCS).
+- Legg til WPCS (WordPress Coding Standards).
+- Legg til unit tester med PHPUnit.
+- Legg til [WordPress Plugin Integration Test](https://github.com/marketplace/actions/wordpress-plugin-integration-test).
+- Legg til kontroller for syntaks, virus/malware-skanning og kjente sårbarheter.
+
+### 3. Styrk automatiske kvalitetsporter
+
+- Legg til dekning i CI for minimum støttede PHP- og WordPress-versjoner.
+- Legg til smoke-tester for REST-oppdateringer mot innlegg, sider og WooCommerce-produkter.
+- La build feile ved kodestandardbrudd, fatale feil og pakkingsproblemer.
+- Arkiver build-artefakter for release-verifisering.
+
+## Medium Prioritet
+
+### 4. Forbedre observabilitet og drift
+
+- Legg til bedre styring av debug-logging for feilsøking.
+- Legg til tydeligere admin-diagnostikk for avhengighets- og updater-feil.
+- Dokumenter en repeterbar verifiseringsflyt for lokalt miljø og staging.
+
+### 5. Utvid API-muligheter
+
+- Vurder valgfri rate limiting på endepunkt-nivå.
+- Vurder API-nøkkel- eller token-basert autentisering for headless-integrasjoner.
+- Vurder audit logging for SEO-metadata-endringer.
+
+### 6. Utvid kompatibilitetsdekning
+
+- Test mot flere PHP-versjoner som pluginen støtter.
+- Test mot flere WordPress minor-versjoner og vanlige hostingmiljøer.
+- Verifiser oppførsel med flere kombinasjoner av Rank Math og WooCommerce.
+
+## Lavere Prioritet
+
+### 7. Forbedringer i admin-UX
+
+- Legg til en dedikert admin-side for diagnostikk og konfigurasjon.
+- Legg til statuspanel for release, updater og avhengigheter.
+
+### 8. Internasjonalisering
+
+- Viderefør og synkroniser norsk og engelsk dokumentasjon.
+- Gå gjennom alle brukerrettede strenger for oversettbarhet.
+
+## Dokumentasjonsoppfølging
+
+- Hold `README.md`, `README-NORWEGIAN.md`, `readme.txt` og `docs/` synkronisert for hver release.
+- Oppdater roadmap-punkter når funksjoner fullføres eller utsettes.
+- Legg til CI/CD-dokumentasjon når workflows er på plass.
+
+## Ressurser
+
+- [WordPress Auto-Update Documentation](https://developer.wordpress.org/plugins/wordpress-org/plugin-developer-faq/#how-does-the-wordpress-org-plugin-update-system-work)
+- [WordPress Plugin Update API](https://developer.wordpress.org/rest-api/reference/plugins/)
+- [WordPress Coding Standards](https://developer.wordpress.org/coding-standards/)
+- [Plugin Check Action](https://github.com/WordPress/plugin-check-action)
+- [WordPress Plugin Integration Test](https://github.com/marketplace/actions/wordpress-plugin-integration-test)
+
+---
+
+**Sist oppdatert**: Mars 2026  
+**Status**: Aktiv vedlikehold / release-klargjort