WordPress Plugin Cœur gratuit, licence premium v1.0.0
CRA Vulnerability Monitor

Conformité au règlement sur la cyberrésilience (Cyber Resilience Act) pour WordPress

Conformité CRA pour WordPress : créez un SBOM CycloneDX, surveillez les vulnérabilités et exportez les documents que les auditeurs exigent, depuis wp-admin.

WordPress 6.0+ PHP 7.4+

Ce que le Cyber Resilience Act signifie pour WordPress

Le règlement sur la cyberrésilience (Cyber Resilience Act) de l'UE demande à toute personne qui met sur le marché un produit comportant des éléments numériques de savoir de quoi son logiciel est constitué, de suivre ses vulnérabilités et de pouvoir le prouver. Pour un site WordPress, cela signifie une véritable nomenclature logicielle, une surveillance continue des vulnérabilités et les documents pour l'étayer.

La non-conformité coûte cher. Le règlement sur la cyberrésilience (Cyber Resilience Act) autorise des amendes administratives pouvant atteindre jusqu'à 15 millions d'euros, ou 2,5 % du chiffre d'affaires annuel mondial total de votre entreprise, le montant le plus élevé étant retenu, et permet aux autorités de retirer les produits non conformes du marché de l'UE.

CRA Vulnerability Monitor regroupe tout cela dans wp-admin. Le cœur gratuit construit un inventaire complet des composants, exporte un SBOM CycloneDX conforme aux normes et génère l'avis CSAF/VEX et la déclaration de conformité UE que le règlement sur la cyberrésilience (Cyber Resilience Act) exige, entièrement sur votre propre serveur. Ajoutez une licence et l'extension compare en continu vos composants à la National Vulnerability Database (NVD), à OSV.dev et à Wordfence Intelligence, les évalue avec les signaux CVSS, EPSS et CISA KEV, vous alerte dès qu'un composant que vous utilisez devient vulnérable, et remplit ces documents avec les résultats réels.

Les données de vulnérabilité premium sont comparées sur nos serveurs, de sorte qu'aucune clé d'API tierce ni identifiant d'analyse n'est jamais intégré dans l'extension GPL. Votre inventaire est transmis ; les résultats enrichis sont renvoyés. Rien concernant votre contenu, vos utilisateurs ou vos visiteurs n'est impliqué.

C'est le moyen le plus rapide de préparer un site WordPress au règlement sur la cyberrésilience (Cyber Resilience Act) de l'UE. Découvrez nos autres extensions WordPress, ou si vous préférez que cela soit géré pour vous, consultez nos services de sécurité WordPress.

Le cœur est gratuit, et le reste

L'inventaire des composants, le SBOM CycloneDX, WP-CLI ainsi que les documents CSAF/VEX et la déclaration de conformité s'exécutent sur votre propre serveur, sous licence GPL, sans compte requis. Une licence y ajoute les données de vulnérabilité en temps réel et les alertes.

C'est la licence qui transforme les documents en protection

Le cœur gratuit produit les documents une fois pour toutes. Une licence vous protège entre deux audits : des analyses automatisées quotidiennes de chaque extension, thème et du cœur par rapport à la National Vulnerability Database (NVD), à OSV.dev et à Wordfence Intelligence, évaluées avec les signaux CVSS, EPSS et CISA KEV, ainsi que des alertes par e-mail, Slack et webhook dès qu'un composant que vous utilisez devient vulnérable.

Voir les tarifs des licences

Ce que débloque une licence

Tout ce qui est inclus dans le cœur gratuit, plus une veille sur les vulnérabilités enrichie et en continu, avec alertes.

FonctionnalitéGratuitPremium
Inventaire des composants (extensions, thèmes, cœur, must-use, drop-ins)
Export SBOM CycloneDX 1.6, avec dépendances transitives
Commandes WP-CLI pour l'inventaire et le SBOM
Contrôles de santé et d'intégrité des fichiers des extensions et thèmes
Documents de conformité : CSAF / VEX, déclaration de conformité, SECURITY.md
Export du rapport de conformité (statut par composant, délai de correction)
Analyse continue des vulnérabilités (correspondance CVE)
Tableau de bord des risques avec signaux de gravité, EPSS et CISA KEV
Alertes automatisées : e-mail, Slack, webhook et résumés planifiés
Analyses quotidiennes planifiées et seuils configurables
Journal d'audit de l'activité de conformité

Choisissez votre licence

Les deux offres incluent l'ensemble complet des fonctionnalités premium. Choisissez selon le nombre de sites que vous gérez.

Meilleur rapport qualité-prix

Agence

Jusqu'à 100 sites
$9,900 $899 / an Économisez 91 %

par rapport à 100 licences site unique

  • Tout ce qui est inclus dans l'offre site unique
  • Activation sur jusqu'à 100 sites à partir d'une seule clé
  • Environ 9 $ par site et par an
  • Support prioritaire par e-mail
  • Renouvellement annuel, résiliable à tout moment
Obtenir la licence agence
Paiement sécurisé via Stripe Licence par domaine Renouvellement annuel, résiliable à tout moment

Fonctionnalités clés

Inventaire complet des composants

Chaque extension, thème, le cœur de WordPress, les must-use plugins et les drop-ins, capturés avec leur nom, slug, version et fournisseur, le fondement de tout dossier de conformité CRA.

SBOM conforme aux normes

Générez une nomenclature logicielle (SBOM) CycloneDX 1.6 avec des identifiants PURL et les dépendances transitives, prête à remettre à un auditeur ou à joindre à une déclaration de conformité.

Surveillance des vulnérabilités

Votre inventaire est comparé sur nos serveurs à la National Vulnerability Database (NVD), à OSV.dev et à Wordfence Intelligence, puis enrichi avec la gravité CVSS, la probabilité d'exploitation EPSS et le statut CISA KEV. Aucune clé d'API tierce n'est intégrée à l'extension.

Alertes automatisées

Soyez averti dès qu'un composant que vous utilisez devient vulnérable, par e-mail, Slack, webhook ou résumé planifié, avec des seuils que vous contrôlez.

Documents prêts pour l'audit

Exportez des avis CSAF / VEX et une déclaration de conformité directement depuis le tableau de bord, les documents que le règlement sur la cyberrésilience (Cyber Resilience Act) exige réellement.

Journal d'audit de conformité

Chaque analyse, export et décision est consigné dans une piste d'audit datée et filtrable, afin de pouvoir démontrer ce que vous saviez et à quel moment.

Confidentialité dès la conception

Seules des données techniques quittent le site : votre inventaire des composants et les slugs des extensions/thèmes, utilisés pour récupérer les données de vulnérabilité, générer les documents de conformité et vérifier les fichiers par rapport à WordPress.org. Aucun contenu d'article, donnée utilisateur ou donnée de visiteur n'est collecté ou transmis, et aucune clé d'API tierce n'est intégrée à l'extension.

Compatible multisite et CLI

Fonctionne sur un réseau multisite avec une vue consolidée de chaque site, et les tâches principales, de l'inventaire au SBOM en passant par les analyses et la barrière de politique, sont scriptables via WP-CLI pour vos pipelines CI.

Opérationnel en trois étapes

Installez le cœur gratuit

Installez CRA Vulnerability Monitor depuis le répertoire des extensions WordPress, ou téléversez le ZIP via Extensions, Ajouter, Téléverser une extension. Activez-le comme n'importe quelle autre extension.

Construisez votre inventaire et votre SBOM

Ouvrez le menu CRA dans wp-admin. Votre inventaire des composants est prêt immédiatement et vous pouvez exporter un SBOM CycloneDX sans attendre, sans compte requis.

Ajoutez une licence pour débloquer la surveillance

Collez votre clé de licence sur l'écran Licence pour activer l'analyse continue des vulnérabilités, le tableau de bord des risques et les alertes automatisées pour ce site.

Foire aux questions

Cette extension rend-elle mon site WordPress conforme au règlement sur la cyberrésilience (Cyber Resilience Act) ?
Elle vous fournit les briques techniques essentielles que le règlement sur la cyberrésilience (Cyber Resilience Act) attend d'un site WordPress : un inventaire complet des composants, une nomenclature logicielle CycloneDX, une surveillance continue des vulnérabilités et des documents CSAF/VEX et de déclaration de conformité prêts à exporter. La conformité CRA complète implique également des processus et des obligations qui dépassent le cadre d'une seule extension, mais celle-ci couvre les preuves et les documents côté WordPress.
Qu'exige le règlement sur la cyberrésilience (Cyber Resilience Act) pour WordPress ?
Le règlement sur la cyberrésilience (Cyber Resilience Act) (règlement (UE) 2024/2847) attend des fabricants de produits comportant des éléments numériques qu'ils sachent de quoi leur logiciel est constitué, qu'ils suivent et traitent les vulnérabilités, et qu'ils documentent la conformité. Pour un site WordPress, cela signifie tenir à jour un SBOM, surveiller les vulnérabilités connues de vos extensions, thèmes et cœur, et conserver des dossiers prêts pour l'audit, ce qui correspond exactement à ce que produit cette extension.
L'extension est-elle gratuite ?
Oui. Le cœur est gratuit et sous licence GPL-3.0-or-later sur WordPress.org : l'inventaire des composants, l'export du SBOM CycloneDX, les exports CSAF/VEX, SECURITY.md, déclaration de conformité UE et rapport de conformité, les contrôles de santé et d'intégrité des extensions et thèmes, le tableau de bord de conformité à l'écran, le journal d'audit et les commandes WP-CLI. L'analyse continue des vulnérabilités, le tableau de bord des risques et les alertes automatisées nécessitent une licence premium ; c'est cette licence qui remplit les documents gratuits avec les véritables résultats de vulnérabilité.
Comment fonctionne la licence ?
Une licence active un site, identifié par son domaine. Les fonctionnalités premium restent actives tant que la licence est valide. Vous pouvez déplacer une licence entre sites depuis l'écran Licence ou votre espace membre.
Ai-je besoin d'une licence pour générer un SBOM ?
Non. L'inventaire des composants, le SBOM CycloneDX et chaque export de document (CSAF/VEX, SECURITY.md, déclaration de conformité et rapport de conformité) s'exécutent localement sur votre serveur et sont entièrement gratuits, sans compte requis. Une licence ajoute les données de vulnérabilité en temps réel et les alertes ; tant qu'aucune analyse n'est lancée, les documents n'indiquent simplement aucune vulnérabilité.
D'où proviennent les données de vulnérabilité ?
Votre inventaire est envoyé à l'API Mecanik, qui le compare à la U.S. National Vulnerability Database (NVD), à OSV.dev et à Wordfence Intelligence, et renvoie les résultats enrichis avec les signaux CVSS, EPSS et CISA KEV. Aucun contenu d'article, donnée utilisateur ou donnée de visiteur n'est jamais envoyé, et aucune clé d'API en amont n'est intégrée à l'extension.
Proposez-vous une option agence ou multisite ?
Oui. L'offre site unique couvre un site ; l'offre Agence active jusqu'à 100 sites avec une seule clé. Si vous avez besoin de plus de 100 sites ou d'une configuration multisite particulière, contactez-nous à [email protected] et nous vous accompagnerons.
Quelles sont les exigences ?
WordPress 6.0 ou version ultérieure et PHP 7.4 ou version ultérieure. Les fonctionnalités premium nécessitent un accès HTTPS sortant vers api.mecanik.dev afin que votre site puisse atteindre le service d'analyse.

À lire également

Approfondissez avec nos guides et nos services de sécurité associés.