WordPress Plugin Kostenloser Core, Premium-Lizenz v1.0.0
CRA Vulnerability Monitor

Cyber Resilience Act (EU-Cyberresilienz-Verordnung): Compliance für WordPress

Cyber Resilience Act (CRA): Compliance für WordPress. Erstellen Sie eine CycloneDX-SBOM, überwachen Sie Schwachstellen und exportieren Sie die von Prüfern geforderten Dokumente, direkt aus wp-admin.

WordPress 6.0+ PHP 7.4+

Was der Cyber Resilience Act für WordPress bedeutet

Der Cyber Resilience Act der EU verlangt von jedem, der ein Produkt mit digitalen Elementen auf den Markt bringt, zu wissen, woraus seine Software besteht, deren Schwachstellen zu verfolgen und dies belegen zu können. Für eine WordPress-Website bedeutet das eine echte Bill-of-Materials, fortlaufendes Schwachstellen-Monitoring und die Unterlagen, um das zu untermauern.

Nichtkonformität ist teuer. Der Cyber Resilience Act erlaubt Geldbußen von bis zu 15 Millionen € oder 2,5 % des gesamten weltweiten Jahresumsatzes Ihres Unternehmens, je nachdem, welcher Betrag höher ist, und ermöglicht es Behörden, nicht konforme Produkte vom EU-Markt zu nehmen.

CRA Vulnerability Monitor bringt all das in wp-admin. Der kostenlose Core erstellt ein vollständiges Komponenten-Inventar, exportiert eine standardbasierte CycloneDX-SBOM und erzeugt das vom Cyber Resilience Act geforderte CSAF-/VEX-Advisory sowie die EU-Konformitätserklärung, vollständig auf Ihrem eigenen Server. Fügen Sie eine Lizenz hinzu, und das Plugin gleicht Ihre Komponenten kontinuierlich mit der National Vulnerability Database (NVD), OSV.dev und Wordfence Intelligence ab, bewertet sie mit CVSS-, EPSS- und CISA-KEV-Signalen, benachrichtigt Sie sofort, wenn etwas, das Sie einsetzen, anfällig wird, und füllt diese Dokumente mit den tatsächlichen Befunden.

Die Premium-Schwachstellendaten werden auf unseren Servern abgeglichen, sodass niemals API-Schlüssel von Drittanbietern oder Scan-Zugangsdaten im GPL-Plugin ausgeliefert werden. Ihr Inventar geht hinaus; angereicherte Befunde kommen zurück. Nichts an Ihren Inhalten, Nutzern oder Besuchern ist beteiligt.

Es ist der schnellste Weg, eine WordPress-Website auf den EU Cyber Resilience Act vorzubereiten. Entdecken Sie unsere weiteren WordPress-Plugins, oder sehen Sie sich, falls Sie es lieber erledigen lassen möchten, unsere WordPress-Sicherheitsdienste an.

Der Core ist kostenlos und bleibt kostenlos

Komponenten-Inventar, CycloneDX-SBOM, WP-CLI sowie die CSAF/VEX- und Konformitätserklärungs-Dokumente laufen auf Ihrem eigenen Server, GPL-lizenziert, ohne Konto. Eine Lizenz ergänzt darüber hinaus Live-Schwachstellendaten und Benachrichtigungen.

Erst eine Lizenz macht aus den Dokumenten echten Schutz

Der kostenlose Core erstellt die Unterlagen einmalig. Eine Lizenz schützt Sie zwischen den Audits: tägliche automatische Scans jedes Plugins, Themes und des Cores gegen die National Vulnerability Database (NVD), OSV.dev und Wordfence Intelligence, bewertet mit CVSS-, EPSS- und CISA-KEV-Signalen, plus Benachrichtigungen per E-Mail, Slack und Webhook in dem Moment, in dem etwas, das Sie einsetzen, anfällig wird.

Lizenzpreise ansehen

Was eine Lizenz freischaltet

Alles aus dem kostenlosen Core, plus kontinuierliche, angereicherte Schwachstellen-Intelligence und Benachrichtigungen.

FunktionKostenlosPremium
Komponenten-Inventar (Plugins, Themes, Core, Must-Use, Drop-ins)
CycloneDX-1.6-SBOM-Export, inklusive transitiver Abhängigkeiten
WP-CLI-Befehle für Inventar und SBOM
Plugin- und Theme-Gesundheit sowie Dateiintegritätsprüfungen
Compliance-Dokumente: CSAF / VEX, Konformitätserklärung, SECURITY.md
Compliance-Bericht-Export (Status je Komponente, Zeit bis zum Patch)
Kontinuierliches Schwachstellen-Scanning (CVE-Abgleich)
Risiko-Dashboard mit Schweregrad-, EPSS- und CISA-KEV-Signalen
Automatische Benachrichtigungen: E-Mail, Slack, Webhook und geplante Übersichten
Täglich geplante Scans und konfigurierbare Schwellenwerte
Audit-Log der Compliance-Aktivitäten

Wählen Sie Ihre Lizenz

Beide Tarife enthalten den vollständigen Premium-Funktionsumfang. Wählen Sie danach, wie viele Websites Sie betreiben.

Bestes Preis-Leistungs-Verhältnis

Agentur

Bis zu 100 Websites
$9,900 $899 / Jahr 91 % sparen

im Vergleich zu 100 Einzelplatz-Lizenzen

  • Alles aus dem Einzelplatz-Tarif
  • Aktivierung auf bis zu 100 Websites mit einem Schlüssel
  • Rund 9 $ pro Website und Jahr
  • Bevorzugter E-Mail-Support
  • Jährliche Verlängerung, jederzeit kündbar
Agentur-Lizenz holen
Sichere Bezahlung über Stripe Lizenziert pro Domain Jährliche Verlängerung, jederzeit kündbar

Wichtigste Funktionen

Vollständiges Komponenten-Inventar

Jedes Plugin, jedes Theme, der WordPress-Core, Must-Use-Plugins und Drop-ins, erfasst mit Name, Slug, Version und Anbieter, die Grundlage jeder CRA-Konformitätsakte.

Standardbasierte SBOM

Erstellen Sie eine CycloneDX-1.6-Software-Bill-of-Materials mit PURL-Kennungen und transitiven Abhängigkeiten, bereit zur Übergabe an einen Prüfer oder zum Anhängen an eine Konformitätserklärung.

Schwachstellen-Monitoring

Ihr Inventar wird auf unseren Servern mit der National Vulnerability Database (NVD), OSV.dev und Wordfence Intelligence abgeglichen und anschließend mit CVSS-Schweregrad, EPSS-Exploit-Wahrscheinlichkeit und CISA-KEV-Status angereichert. Im Plugin sind keine API-Schlüssel von Drittanbietern enthalten.

Automatische Benachrichtigungen

Werden Sie sofort informiert, wenn eine von Ihnen eingesetzte Komponente anfällig wird, per E-Mail, Slack, Webhook oder geplanter Übersicht, mit Schwellenwerten, die Sie selbst festlegen.

Prüfungsbereite Dokumente

Exportieren Sie CSAF-/VEX-Advisories und eine Konformitätserklärung direkt aus dem Dashboard, genau die Unterlagen, die der Cyber Resilience Act tatsächlich verlangt.

Compliance-Audit-Log

Jeder Scan, jeder Export und jede Entscheidung wird in einem filterbaren, datierten Audit-Trail festgehalten, damit Sie belegen können, was Sie wann wussten.

Privacy by Design

Nur technische Daten verlassen jemals die Website: Ihr Komponenten-Inventar und die Plugin-/Theme-Slugs, die verwendet werden, um Schwachstellendaten abzurufen, die Compliance-Dokumente zu erstellen und Dateien gegen WordPress.org zu prüfen. Es werden keine Beitragsinhalte, Nutzerdaten oder Besucherdaten erfasst oder übertragen, und im Plugin sind keine API-Schlüssel von Drittanbietern enthalten.

Multisite- und CLI-fähig

Funktioniert über ein Multisite-Netzwerk hinweg mit einer Gesamtübersicht aller Websites, und die zentralen Aufgaben, vom Inventar über die SBOM bis zu Scans und dem Policy-Gate, lassen sich für Ihre CI-Pipelines per WP-CLI skripten.

In drei Schritten einsatzbereit

Den kostenlosen Core installieren

Installieren Sie CRA Vulnerability Monitor aus dem WordPress-Plugin-Verzeichnis oder laden Sie die ZIP-Datei unter Plugins, Installieren, Plugin hochladen hoch. Aktivieren Sie es wie jedes andere Plugin.

Inventar und SBOM erstellen

Öffnen Sie das CRA-Menü in wp-admin. Ihr Komponenten-Inventar ist sofort verfügbar, und Sie können direkt eine CycloneDX-SBOM exportieren, ohne Konto.

Lizenz hinzufügen, um das Monitoring freizuschalten

Fügen Sie Ihren Lizenzschlüssel auf der Lizenz-Seite ein, um kontinuierliches Schwachstellen-Scanning, das Risiko-Dashboard und automatische Benachrichtigungen für diese Website zu aktivieren.

Häufig gestellte Fragen

Macht dieses Plugin meine WordPress-Website konform mit dem EU Cyber Resilience Act?
Es liefert Ihnen die zentralen technischen Bausteine, die der Cyber Resilience Act von einer WordPress-Website erwartet: ein vollständiges Komponenten-Inventar, eine CycloneDX-Software-Bill-of-Materials, kontinuierliches Schwachstellen-Monitoring sowie exportbereite CSAF-/VEX- und Konformitätserklärungs-Dokumente. Vollständige CRA-Compliance umfasst auch Prozesse und Pflichten, die über ein einzelnes Plugin hinausgehen, doch dies deckt die WordPress-Nachweise und -Unterlagen ab.
Was verlangt der EU Cyber Resilience Act für WordPress?
Der Cyber Resilience Act (EU-Cyberresilienz-Verordnung, Verordnung (EU) 2024/2847) erwartet von Herstellern von Produkten mit digitalen Elementen, dass sie wissen, woraus ihre Software besteht, dass sie Schwachstellen verfolgen und behandeln und dass sie die Konformität dokumentieren. Für eine WordPress-Website bedeutet das, eine aktuelle SBOM zu führen, Plugins, Themes und Core auf bekannte Schwachstellen zu überwachen und prüfungsbereite Aufzeichnungen vorzuhalten, also genau das, was dieses Plugin erzeugt.
Ist das Plugin kostenlos?
Ja. Der Core ist kostenlos und unter GPL-3.0-or-later auf WordPress.org lizenziert: das Komponenten-Inventar, der CycloneDX-SBOM-Export, die Exporte von CSAF/VEX, SECURITY.md, EU-Konformitätserklärung und Compliance-Bericht, Plugin- und Theme-Gesundheits- und Integritätsprüfungen, das Compliance-Dashboard auf dem Bildschirm, das Audit-Log und die WP-CLI-Befehle. Kontinuierliches Schwachstellen-Scanning, das Risiko-Dashboard und automatische Benachrichtigungen erfordern eine Premium-Lizenz; diese Lizenz ist es, die die kostenlosen Dokumente mit tatsächlichen Schwachstellenbefunden füllt.
Wie funktioniert die Lizenz?
Eine Lizenz aktiviert eine Website, identifiziert über ihre Domain. Die Premium-Funktionen bleiben aktiv, solange die Lizenz gültig ist. Sie können eine Lizenz über die Lizenz-Seite oder Ihren Mitgliederbereich zwischen Websites verschieben.
Brauche ich eine Lizenz, um eine SBOM zu erstellen?
Nein. Das Komponenten-Inventar, die CycloneDX-SBOM und jeder Dokumentexport (CSAF/VEX, SECURITY.md, Konformitätserklärung und der Compliance-Bericht) laufen lokal auf Ihrem Server und sind vollständig kostenlos, ohne Konto. Eine Lizenz ergänzt die Live-Schwachstellendaten und Benachrichtigungen; bis ein Scan läuft, weisen die Dokumente einfach keine Schwachstellen aus.
Woher stammen die Schwachstellendaten?
Ihr Inventar wird an die Mecanik API gesendet, die es mit der US-amerikanischen National Vulnerability Database (NVD), OSV.dev und Wordfence Intelligence abgleicht und die Befunde, angereichert mit CVSS-, EPSS- und CISA-KEV-Signalen, zurückliefert. Es werden niemals Beitragsinhalte, Nutzerdaten oder Besucherdaten übermittelt, und es sind keine vorgelagerten API-Schlüssel im Plugin gebündelt.
Gibt es eine Agentur- oder Multisite-Option?
Ja. Der Einzelplatz-Tarif deckt eine Website ab; der Agentur-Tarif aktiviert bis zu 100 Websites mit einem Schlüssel. Wenn Sie mehr als 100 benötigen oder ein besonderes Multisite-Setup haben, kontaktieren Sie uns unter [email protected], und wir richten alles für Sie ein.
Welche Voraussetzungen gibt es?
WordPress 6.0 oder neuer und PHP 7.4 oder neuer. Die Premium-Funktionen benötigen ausgehendes HTTPS zu api.mecanik.dev, damit Ihre Website den Scan-Dienst erreichen kann.

Weiterführende Artikel

Vertiefen Sie das Thema mit unseren Leitfäden und passenden Sicherheitsdiensten.