WordPress Plugin Core gratuito, licenza premium v1.0.0
CRA Vulnerability Monitor

Conformità al Cyber Resilience Act UE per WordPress

Conformità al Cyber Resilience Act UE per WordPress: crea un SBOM CycloneDX, monitora le vulnerabilità ed esporta i documenti richiesti dagli auditor, da wp-admin.

WordPress 6.0+ PHP 7.4+

Cosa significa il Cyber Resilience Act per WordPress

Il regolamento sulla ciber-resilienza (Cyber Resilience Act) UE chiede a chiunque immetta sul mercato un prodotto con elementi digitali di sapere di cosa è composto il proprio software, di monitorarne le vulnerabilità e di poterlo dimostrare. Per un sito WordPress questo significa una vera distinta base, un monitoraggio continuo delle vulnerabilità e la documentazione che lo comprovi.

La non conformità è costosa. Il Cyber Resilience Act consente sanzioni amministrative fino a 15 milioni di euro, ovvero il 2,5% del fatturato annuo totale mondiale della tua azienda, a seconda di quale importo sia più elevato, e permette alle autorità di ritirare dal mercato UE i prodotti non conformi.

CRA Vulnerability Monitor porta tutto questo in wp-admin. Il core gratuito crea un inventario completo dei componenti, esporta un SBOM CycloneDX basato sugli standard e genera l'avviso CSAF/VEX e la dichiarazione di conformità UE richiesti dal Cyber Resilience Act, interamente sul tuo server. Aggiungi una licenza e il plugin confronta continuamente i tuoi componenti con il National Vulnerability Database (NVD), OSV.dev e Wordfence Intelligence, li valuta con indicatori CVSS, EPSS e CISA KEV, ti avvisa nel momento in cui qualcosa che utilizzi diventa vulnerabile e riempie quei documenti con i risultati effettivi.

I dati premium sulle vulnerabilità vengono elaborati sui nostri server, quindi nessuna chiave API di terze parti o credenziale di scansione viene mai inclusa nel plugin GPL. Il tuo inventario esce; i risultati arricchiti tornano indietro. Nulla che riguardi i tuoi contenuti, utenti o visitatori è coinvolto.

È il modo più rapido per rendere un sito WordPress pronto al regolamento sulla ciber-resilienza (Cyber Resilience Act) UE. Esplora gli altri nostri plugin per WordPress, oppure, se preferisci che ce ne occupiamo noi, scopri i nostri servizi di sicurezza per WordPress.

Il core è gratuito, e resta gratuito

L'inventario dei componenti, l'SBOM CycloneDX, WP-CLI e i documenti CSAF/VEX e dichiarazione di conformità vengono eseguiti sul tuo server, sotto licenza GPL, senza bisogno di un account. Una licenza aggiunge i dati live sulle vulnerabilità e gli avvisi.

È la licenza a trasformare i documenti in protezione

Il core gratuito crea la documentazione una volta. Una licenza ti protegge tra un audit e l'altro: scansioni automatiche giornaliere di ogni plugin, tema e del core confrontati con il National Vulnerability Database (NVD), OSV.dev e Wordfence Intelligence, valutate con indicatori CVSS, EPSS e CISA KEV, oltre ad avvisi via email, Slack e webhook nel momento in cui qualcosa che utilizzi diventa vulnerabile.

Vedi i prezzi delle licenze

Cosa sblocca una licenza

Tutto ciò che include il core gratuito, più intelligence sulle vulnerabilità e avvisi continui e arricchiti.

FunzionalitàGratuitoPremium
Inventario dei componenti (plugin, temi, core, must-use, drop-in)
Esportazione SBOM CycloneDX 1.6, con dipendenze transitive
Comandi WP-CLI per inventario e SBOM
Controlli di integrità dei file e dello stato di plugin e temi
Documenti di conformità: CSAF / VEX, dichiarazione di conformità, SECURITY.md
Esportazione del report di conformità (stato per componente, tempo di patch)
Scansione continua delle vulnerabilità (corrispondenza CVE)
Dashboard di rischio con indicatori di gravità, EPSS e CISA KEV
Avvisi automatici: email, Slack, webhook e digest programmati
Scansioni programmate giornaliere e soglie configurabili
Registro di audit dell'attività di conformità

Scegli la tua licenza

Entrambi i piani includono l'intero set di funzionalità premium. Scegli in base a quanti siti gestisci.

Miglior rapporto qualità-prezzo

Agenzia

Fino a 100 siti
$9,900 $899 / anno Risparmia il 91%

rispetto a 100 licenze per sito singolo

  • Tutto quello incluso nel piano per sito singolo
  • Attiva fino a 100 siti con una sola chiave
  • Circa 9 $ per sito, all'anno
  • Supporto email prioritario
  • Si rinnova annualmente, disdici quando vuoi
Ottieni la licenza per agenzia
Pagamento sicuro tramite Stripe Licenza per dominio Si rinnova annualmente, disdici quando vuoi

Funzionalità principali

Inventario completo dei componenti

Ogni plugin, tema, il core di WordPress, i plugin must-use e i drop-in, rilevati con nome, slug, versione e fornitore, la base di qualsiasi fascicolo di conformità CRA.

SBOM basato sugli standard

Genera una distinta base software (SBOM) CycloneDX 1.6 con identificatori PURL e dipendenze transitive, pronta da consegnare a un auditor o da allegare a una dichiarazione di conformità.

Monitoraggio delle vulnerabilità

Il tuo inventario viene confrontato sui nostri server con il National Vulnerability Database (NVD), OSV.dev e Wordfence Intelligence, quindi arricchito con la gravità CVSS, la probabilità di exploit EPSS e lo stato CISA KEV. Nel plugin non viene incluso alcun chiave API di terze parti.

Avvisi automatici

Ricevi una notifica nel momento in cui un componente che utilizzi diventa vulnerabile, via email, Slack, webhook o digest programmato, con soglie che decidi tu.

Documenti pronti per l'auditor

Esporta gli avvisi CSAF / VEX e una dichiarazione di conformità direttamente dalla dashboard, la documentazione che il Cyber Resilience Act richiede effettivamente.

Registro di audit della conformità

Ogni scansione, esportazione e decisione viene registrata in una traccia di audit datata e filtrabile, così puoi dimostrare cosa sapevi e quando.

Privacy by design

Dal sito escono solo dati tecnici: l'inventario dei componenti e gli slug di plugin/temi, utilizzati per recuperare i dati sulle vulnerabilità, generare i documenti di conformità e verificare i file rispetto a WordPress.org. Non viene raccolto né trasmesso alcun contenuto degli articoli, dato degli utenti o dato dei visitatori, e nel plugin non viene incluso alcun chiave API di terze parti.

Pronto per multisite e CLI

Funziona in una rete multisite con una vista d'insieme di ogni sito, e le attività principali, dall'inventario all'SBOM, dalle scansioni al policy gate, sono automatizzabili tramite WP-CLI per le tue pipeline CI.

Operativo in tre passaggi

Installa il core gratuito

Installa CRA Vulnerability Monitor dalla directory dei plugin di WordPress, oppure carica lo ZIP da Plugin, Aggiungi nuovo, Carica plugin. Attivalo come qualsiasi altro plugin.

Crea il tuo inventario e SBOM

Apri il menu CRA in wp-admin. Il tuo inventario dei componenti è subito pronto e puoi esportare immediatamente un SBOM CycloneDX, senza bisogno di un account.

Aggiungi una licenza per sbloccare il monitoraggio

Incolla la tua chiave di licenza nella schermata Licenza per attivare la scansione continua delle vulnerabilità, la dashboard di rischio e gli avvisi automatici per quel sito.

Domande frequenti

Questo plugin rende il mio sito WordPress conforme al regolamento sulla ciber-resilienza (Cyber Resilience Act) UE?
Ti fornisce i principali elementi tecnici di base che il regolamento sulla ciber-resilienza (Cyber Resilience Act) si aspetta da un sito WordPress: un inventario completo dei componenti, una distinta base software CycloneDX, il monitoraggio continuo delle vulnerabilità e documenti CSAF/VEX e dichiarazione di conformità pronti per l'esportazione. La piena conformità al CRA comporta anche processi e obblighi che vanno oltre qualsiasi singolo plugin, ma questo copre le prove documentali e la documentazione lato WordPress.
Cosa richiede il regolamento sulla ciber-resilienza (Cyber Resilience Act) UE per WordPress?
Il regolamento sulla ciber-resilienza (Cyber Resilience Act) UE (regolamento (UE) 2024/2847) si aspetta che i produttori di prodotti con elementi digitali sappiano di cosa è composto il loro software, monitorino e gestiscano le vulnerabilità e documentino la conformità. Per un sito WordPress questo significa mantenere un SBOM aggiornato, monitorare plugin, temi e core per le vulnerabilità note e conservare registri pronti per l'auditor, che è esattamente ciò che questo plugin produce.
Il plugin è gratuito?
Sì. Il core è gratuito e rilasciato sotto licenza GPL-3.0-or-later su WordPress.org: l'inventario dei componenti, l'esportazione SBOM CycloneDX, le esportazioni CSAF/VEX, SECURITY.md, dichiarazione di conformità UE e report di conformità, i controlli di stato e integrità di plugin e temi, la dashboard di conformità a schermo, il registro di audit e i comandi WP-CLI. La scansione continua delle vulnerabilità, la dashboard di rischio e gli avvisi automatici richiedono una licenza premium; è quella licenza a riempire i documenti gratuiti con i risultati effettivi sulle vulnerabilità.
Come funziona la licenza?
Una licenza attiva un sito, identificato dal suo dominio. Le funzionalità premium restano attive finché la licenza è valida. Puoi spostare una licenza tra siti dalla schermata Licenza o dalla tua area riservata.
Mi serve una licenza per generare un SBOM?
No. L'inventario dei componenti, l'SBOM CycloneDX e ogni esportazione di documenti (CSAF/VEX, SECURITY.md, dichiarazione di conformità e il report di conformità) vengono eseguiti localmente sul tuo server e sono completamente gratuiti, senza bisogno di un account. Una licenza aggiunge i dati live sulle vulnerabilità e gli avvisi; finché non viene eseguita una scansione, i documenti semplicemente non elencano alcuna vulnerabilità.
Da dove provengono i dati sulle vulnerabilità?
Il tuo inventario viene inviato alla Mecanik API, che lo confronta con il National Vulnerability Database (NVD) degli Stati Uniti, OSV.dev e Wordfence Intelligence, e restituisce i risultati arricchiti con indicatori CVSS, EPSS e CISA KEV. Non vengono mai inviati contenuti degli articoli, dati degli utenti o dati dei visitatori, e nel plugin non sono incluse chiavi API a monte.
Avete un'opzione per agenzie o multisite?
Sì. Il piano per sito singolo copre un sito; il piano Agenzia attiva fino a 100 siti con una sola chiave. Se ti servono più di 100 siti o hai una configurazione multisite particolare, contattaci all'indirizzo [email protected] e ti aiuteremo a configurare il tutto.
Quali sono i requisiti?
WordPress 6.0 o versioni successive e PHP 7.4 o versioni successive. Le funzionalità premium necessitano di connessioni HTTPS in uscita verso api.mecanik.dev affinché il tuo sito possa raggiungere il servizio di scansione.

Letture correlate

Approfondisci con le nostre guide e i servizi di sicurezza correlati.