Trzy nowe moduły bezpieczeństwa, aktywne globalnie dla wszystkich szkół na platformie:

• Weryfikacja dwuetapowa (2FA) — TOTP zgodny z RFC 6238 (Google Authenticator, Authy, 1Password). Kanał zapasowy SMS oraz 10 jednorazowych kodów awaryjnych na wypadek utraty telefonu. Klucze tajne szyfrowane AES-256.
• Kontrola sesji — lista aktywnych zalogowań z informacją o urządzeniu, przeglądarce i lokalizacji. Każdy użytkownik widzi 5 ostatnich sesji i może na żądanie wylogować dowolną z nich.
• Powiadomienia systemowe — dzwoneczek w panelu z alertami: nowe logowanie, próba z nieznanego urządzenia, wykorzystanie kodu zapasowego, zbliżające się wygaśnięcie kodów.

Dlaczego to ma znaczenie: szkoła muzyczna przechowuje dane małoletnich uczniów. RODO nakłada obowiązek „stosownych zabezpieczeń technicznych” — 2FA i kontrola sesji to dziś standard branżowy, coraz częściej weryfikowany przez audytorów.

Pełen panel ustawień bezpieczeństwa w koncie użytkownika finalizujemy w wersji v3.20.1.

Pełna integracja OAuth z Facebookiem — przycisk „Zaloguj przez Facebook” pojawił się na stronach /login/ oraz /rejestracja/, a w panelu konta dostępne są opcje „Połącz konto” i „Odłącz konto”.

Wbudowana pełna obsługa wymogów Meta dla aplikacji produkcyjnych:

• żądanie usunięcia danych (Data Deletion Request)
• natychmiastowe odpięcie konta po wycofaniu zgody (Deauthorize)
• realizacja prawa do bycia zapomnianym (RODO art. 17)

Ochrona przed zawłaszczeniem konta (anti-squatting): jeżeli adres e-mail z profilu Facebooka jest już zarejestrowany na platformie, system wymaga 6-cyfrowego kodu weryfikacyjnego wysłanego na ten e-mail — zamiast od razu udzielać dostępu osobie, która tylko zalogowała się przez Facebooka.

Przy okazji ulepszenia w panelu konta: prefill imienia i nazwiska z danych OAuth, podgląd subdomeny [slug].vocato.pl przy zakładaniu szkoły, automatyczne przekierowanie zalogowanych użytkowników ze stron logowania do /moje-konto/.

Aplikacja Vocato.pl jest w trybie Live i oczekuje na finalny przegląd Meta App Review.

Pełnotekstowa wyszukiwarka po wszystkich publikowanych treściach — strony, blog, changelog, FAQ. Endpoint REST /wp-json/vocato/v1/search z polskim algorytmem morfologicznym (stemmer): zapytania rezerwacja, rezerwacje, rezerwowanie i zarezerwować trafiają na te same wyniki.

Nowa sekcja /faq/ — 22 pytania w 5 kategoriach: rejestracja, płatności, dla nauczyciela, dla rodzica i ucznia, integracje techniczne. Każde pytanie ma stabilny URL — można podlinkować konkretną odpowiedź w mailu lub na blogu.

Widget wyszukiwarki dostępny w prawym górnym rogu nagłówka FAQ — wpisanie frazy filtruje listę pytań na żywo, bez przeładowania strony.

Publikacja manifestu Filozofia Vocato v1.0 — powrót do natury w epoce pikseli, Vocato jako cyfrowy posłaniec analogowego nauczania, granica między cyfrową organizacją a żywą lekcją, statystyka jako moralność (autentyczność metody + autentyczność efektu).

Strona /filozofia/ + /filozofia/sygnatariusze/ (stub do przyszłego A9 — Manifesto Adoption Flow).

• HERO (front page): subtitle italic „Cyfrowy posłaniec, analogowe serce.”, link do manifestu w lead, CTA „Zobacz API” → „Filozofia Vocato”.
• Stopka: kolumna „Ekosystem” → „Platforma”, nowa pozycja „Filozofia” jako pierwsza, „Nasze DNA” → „DNA Biznesu”.
• Footer-bottom: dodano notę copyrightową (ustawa z 4 lutego 1994 r. + Dyrektywa 2001/29/WE), zamiana mailto:kontakt → „Kontakt z Developerem” → support.apipoint.dev w nowej karcie.
• CSS dark footer: naprawa konfliktu w theme.css przez plugin override (oryginalna ciemna stopka przywrócona).

Wszystkie zmiany dostarczone jako warstwa nakładki: vocato-filozofia-overrides.php (single-file plugin). Theme vocato-master 5.1.5 nietknięte — migracja override do natywnego theme master zaplanowana w v5.2.0.

Artykuł podatkowy z konkretnymi liczbami dla nauczycieli i właścicieli szkół: limit kwartalny 10 813,50 zł, próg miesięczny ~3 604,50 zł.

Kluczowa matematyka dla nauczyciela 90 zł/lekcja, 8h × 5 dni: pojedynczy nauczyciel ma pojemność 40 uczniów (151 200 zł rocznie), ale limit działalności nierejestrowanej dopuszcza maksymalnie ~9 uczniów (10 530 zł kwartalnie) — czyli wykorzystanie ~22% pojemności.

11 tabel porównujących: stawki ZUS, składkę zdrowotną, PIT, VAT, próg do faktur, koszty rejestracji, opłaty za przekroczenie limitu. Praktyczny przewodnik kiedy przejść z nierejestrowanej na JDG.

Tenant deweloperski 'devel’ został przeniesiony z vocato.pl/devel/ na devel.vocato.pl/. To pierwszy krok w przejściu całej platformy na model subdomenowy — każda szkoła docelowo będzie pod własną subdomeną {nazwa}.vocato.pl zamiast vocato.pl/{nazwa}/. Korzyści: lepszy branding, izolacja sesji między szkołami, łatwiejsze SEO, przygotowanie pod przyszłe własne domeny. Migracja pozostałych szkół (wentura, talentyda, ikaonline) zaplanowana na kolejną sesję.

Pracujemy nad nowym wyglądem strony vocato.pl. Theme jest już zainstalowany na serwerze, ale nie aktywny — obecny design pozostaje bez zmian. Po testach na środowisku deweloperskim aktywujemy nowy motyw, który ma 6 palet kolorystycznych zmieniających się automatycznie w zależności od pory dnia: od delikatnego indygo o świcie, przez słoneczne południe, po głęboki fiolet o zmierzchu i nocy. Pomysł — strona ma 'oddychać’ razem z Twoim dniem.

Zakładanie szkoły dla firm jest TERAZ pełniejsze. Po wpisaniu NIP-u system sprawdza białą listę podatników VAT Ministerstwa Finansów (wl-api.mf.gov.pl) i automatycznie uzupełnia nazwę firmy + adres na podstawie oficjalnego rejestru. Status musi być 'Czynny’ lub 'Zwolniony’ (małe firmy na ryczałcie też). Niezarejestrowane NIP-y nie przechodzą rejestracji (zabezpieczenie przed fałszywymi zgłoszeniami). Cache 24h żeby nie obciążać MF. Plus: pomocniczy endpoint /tenants/check-nip dla frontendu — wpisując NIP w formularzu od razu zobaczysz czy firma istnieje i jakie ma dane.

Drobne usprawnienia i poprawki techniczne.

Po Twoim zgloszeniu: zalozenie szkoly TERAZ automatycznie tworzy 10 default stron (Witamy, Rezerwacja, Oferta, Kadra, O nas, Kontakt, Moje konto, Regulamin, Prywatnosc, Cookies) + 2 menu nawigacyjne (Glowne na gorze + Stopka na dole). Nie trzeba juz manualnie wchodzic w Setup Wizard z poziomu superadmina. Dodatkowo: retroaktywnie naprawilismy szkole ikaonline (Weronika) — ma teraz pelen zestaw stron i menu. Talentyda juz mialo strony (recznie dodane) — bez zmian.

Po Twoim zgloszeniu: (1) Strona /account/ (edycja konta osobistego) zostala UTWORZONA i wpiana w mechanizm 'zaloz brakujace strony’ — Appearance → Vocato Setup tez ja widzi i obsluguje. (2) Strona pozwala edytowac: imie, nazwisko, telefon, jezyk interfejsu, zgode marketingowa, oraz zmienic haslo (z weryfikacja obecnego). (3) Po zmianie hasla wszystkie inne sesje sa wylogowane + leci email konfirmacyjny. (4) Email nie jest tu zmieniany — zmiana emaila wymaga osobnego flow z ponowna weryfikacja (zostawiamy na pozniej). (5) Header dropdown 'Edycja konta’ teraz wskazuje na /account/ (wczesniej kierowal na /dashboard/). DODATKOWO: mechanizm auto-tworzenia stron rozszerzony o wszystkie auth-flow pages (rejestracja, login, sprawdz-skrzynke, verify-email, odzyskaj-haslo, reset-hasla, dashboard, account, zaloz-szkole) — od teraz instalator obsluguje pelna liste 26 stron Vocato.

Po Twoim zgloszeniu: zmienilismy header dla zalogowanych. Teraz w prawym gornym rogu jest avatar (kolko z inicjalem) + Twoje imie. Klikajac dropdown rozwija menu: 'Edycja konta’, 'Zaloz szkole’ (lub 'Moje szkoly’ jesli juz masz), 'Wyloguj’. Stary przycisk 'Panel’ ktory linkowal na wp-admin oraz 'Zaloz konto’ (bezsensowne dla zalogowanego) zniknely. Plus: WordPress admin bar (na gorze strony) zostal ukryty dla wszystkich zwyklych userow — vocato.pl ma teraz spojny, wlasny interfejs. Super admin Anthropic ma wciaz pelen dostep.

Po Twoim zgloszeniu: (1) reczne wyslalismy Weronice link weryfikujacy email (powinna miec 2 maile, sprawdza spam). (2) Naprawilismy blad w stronie 'Sprawdz skrzynke’ — jesli ktos zamknie browser/odswiezy strone, system juz NIE wyswietla 'Brak emaila w sesji’, tylko prosi o wpisanie maila i wysyla link ponownie. Source problemu: Weronika rejestrowala sie przez Google Sign-In (zanim wylaczylismy ten plugin) — nasz wewnetrzny flow tego nie zarejestrowal. Manual fix wystawil token + email — sprawdzi skrzynke, kliknie link → konto aktywne.

Pilna funkcjonalnosc: dodalismy reset hasla dla wszystkich uzytkownikow Vocato. Na stronie logowania kliknij 'Zapomnialem hasla’ → wpisz email → otrzymasz link do ustawienia nowego hasla (aktywny przez 1 godzine). Po resecie wszystkie Twoje inne sesje sa automatycznie wylogowane dla bezpieczenstwa, plus dostajesz email konfirmacyjny. 2FA z opcjami email/Authenticator/SMS — w fazach F2 i F3 (nastepne iteracje).

Po Twoim zgloszeniu naprawilismy 'WordPress my-sites’ problem. Teraz: (1) zwykli uzytkownicy (uczniowie/subskrybenci) NIE widza juz vocato.pl jako 'swojej witryny’ w panelu WordPress, (2) jesli masz tenant (np. Talentyda), po loginie trafiasz BEZPOSREDNIO na panel swojej szkoly — bez przelacznika 'Glowna witryna’, bez WordPress my-sites, bez koniecznosci klikania, (3) jesli probujesz wejsc na /wp-admin/ na vocato.pl, system sam Cie przekieruje: do panelu Twojej szkoly (jesli masz) lub do Konto Vocato (jesli nie masz). Super admin Anthropic ma wciaz pelen dostep do Sieci.

Po Twojej ostatniej obserwacji (’po zaloginie widze panel WordPressa z 2 stronami jakby vocato.pl byla moja strona’) wprowadzilismy 4 zmiany w mechanizmie logowania: (1) po Twoim loginie idziesz prosto do panelu szkoly (a nie do generic /dashboard/), (2) zniknal pasek WordPress 'My Sites’ wszedzie poza wlasnym wp-admin tenanta, (3) lista 'moje strony’ nie pokazuje juz vocato.pl jako Twojej (bo nie jest), (4) gdybys recznie wbil /wp-admin/ na vocato.pl — przeniesie Cie z powrotem do panelu szkoly. Zwykli uzytkownicy (uczniowie, subscribenci bez szkoly) wciaz widza /dashboard/ z kafelkami szkol jak dotychczas — zmiana dotyczy tylko wlascicieli szkol.

Po Twojej kolejnej sugestii ulepszylismy widok publiczny szkoly dla administratora. Teraz jak klikniesz 'Widok publiczny’ w menu konta: (1) zniknie pasek WordPress u góry strony, (2) zamiast linku 'Moje konto’ (który prowadziłby do uczniowskich rezerwacji we własnej szkole) zobaczysz wyraźny przycisk 'Wróć do panelu’, (3) na samej górze pojawi się delikatny banner 'Tryb podglądu publicznego — Tak widzą Twoją szkołę odwiedzający’ z żółtym przyciskiem szybkiego powrotu. Klient i odwiedzający widzą stronę bez zmian — banner i przycisk powrotu są tylko dla Ciebie.

Po Twojej sugestii dodaliśmy w panelu szkoły rozwijalne menu w prawym górnym rogu. Klikniesz w swój avatar i masz: szybki dostęp do konta Vocato, do panelu WordPress, możliwość podejrzenia widoku publicznego szkoły (jak widzą Twoi klienci) bez wylogowywania, oraz wylogowanie. Naprawiliśmy też ścieżkę logowania — gdy wylogujesz się ze szkoły, trafisz z powrotem na centralną stronę logowania Vocato (zamiast natywnego ekranu WordPress 'sieć’). Otwarcie /wp-login.php na tenancie też przekierowuje na centralny login.

Po serii poprawek udało się rozwiązać problem 'Sesja wygasła’ przy zakładaniu szkoły. Wyłączyliśmy konfliktujący moduł Google Sign-In, dodaliśmy explicit cookie auth w endpoint logowania, naprawiliśmy regresyjny bug w czyszczeniu starych sesji (RAW token vs HASH token). Wprowadziliśmy też auto-recovery: gdy sesja wygaśnie, system sam przekieruje cię na stronę logowania zamiast pokazywać błąd. Pierwszy realny tenant w Vocato Network: Fundacja TALENTYDA — operator platformy.

Po założeniu szkoły w Vocato kafelek na pulpicie prowadzi teraz wprost do strony Twojej szkoły, gdzie zaczyna się prawdziwa praca z systemem rezerwacji. Dodatkowy przycisk z kółkiem zębatym (⚙) prowadzi do panelu administracyjnego WordPress dla zaawansowanych użytkowników. Koniec z wygasającą sesją po założeniu szkoły.

Uruchomiliśmy blog vocato.pl/blog z dwoma pierwszymi artykułami: analizą KSeF/NIP/VIES dla polskich szkół oraz strategią dystrybucji w ekosystemach Google i Mety. Każdy nowy wpis w historii zmian (changelog), który powiązany jest z artykułem na blogu, dostaje teraz przycisk 'Czytaj więcej…’ kierujący do pogłębionej analizy branżowej.

Vocato dodaje 5 nowych zdolności: (1) Migracja z 10 najpopularniejszych systemów konkurencji (Acuity, Calendly, Mindbody, SimplyBook, Booksy itd.) — przeniesienie szkoły zajmie 5 minut. (2) Booking bezpośrednio z Facebook + Instagram (Reserve with Meta). (3) Booking bezpośrednio z Google Search + Google Maps (Reserve with Google). (4) Automatyczne zarządzanie Google Business Profile (opisy, posty,

Vocato przygotowuje fundamenty pod polskie wymogi prawne: weryfikacja NIP w Białej Liście MF, walidacja VIES dla EU B2B, automatyczne wystawianie faktur w systemie KSeF (e-fakturowanie obowiązkowe od 1 kwietnia 2026 dla większości firm). System od początku oblicza ceny brutto z VAT 23% — gotowy gdy Talentyda przekroczy próg lub dobrowolnie wstąpi do VAT.

Drobne usprawnienia i poprawki techniczne.

Drobne usprawnienia i poprawki techniczne.