WordPress Plugin Core miễn phí, giấy phép premium v1.0.0
CRA Vulnerability Monitor

Tuân thủ Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) của EU cho WordPress

Tuân thủ CRA của EU cho WordPress: tạo SBOM CycloneDX, giám sát lỗ hổng và xuất các tài liệu mà kiểm toán viên yêu cầu, ngay từ wp-admin.

WordPress 6.0+ PHP 7.4+

Cyber Resilience Act có ý nghĩa gì đối với WordPress

Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) của EU yêu cầu bất kỳ ai đưa ra thị trường một sản phẩm có yếu tố số phải biết phần mềm của mình được tạo từ những gì, theo dõi các lỗ hổng của nó, và có thể chứng minh điều đó. Đối với một trang WordPress, điều đó nghĩa là một danh mục thành phần thực sự, giám sát lỗ hổng liên tục, và giấy tờ để chứng minh.

Không tuân thủ rất tốn kém. Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) cho phép áp dụng các khoản phạt hành chính lên tới 15 triệu euro, hoặc 2,5% tổng doanh thu hàng năm trên toàn cầu của công ty bạn, tùy theo mức nào cao hơn, và cho phép cơ quan chức năng rút các sản phẩm không tuân thủ khỏi thị trường EU.

CRA Vulnerability Monitor đưa tất cả những điều đó vào wp-admin. Phiên bản core miễn phí xây dựng một bản kiểm kê thành phần đầy đủ, xuất một SBOM CycloneDX theo tiêu chuẩn, và tạo khuyến cáo CSAF/VEX cùng Tuyên bố hợp chuẩn EU mà Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) yêu cầu, hoàn toàn trên máy chủ của riêng bạn. Thêm một giấy phép và plugin liên tục đối chiếu các thành phần của bạn với National Vulnerability Database (NVD), OSV.dev và Wordfence Intelligence, chấm điểm chúng với tín hiệu CVSS, EPSS và CISA KEV, cảnh báo cho bạn ngay khi một thứ gì đó bạn đang dùng trở nên dễ bị tấn công, và điền vào các tài liệu đó những phát hiện thực tế.

Dữ liệu lỗ hổng premium được đối chiếu trên máy chủ của chúng tôi, nên không có khóa API bên thứ ba hay thông tin xác thực quét nào được đóng gói bên trong plugin GPL. Bản kiểm kê của bạn được gửi đi; các phát hiện đã làm giàu được trả về. Không có gì liên quan đến nội dung, người dùng hay khách truy cập của bạn.

Đây là cách nhanh nhất để đưa một trang WordPress sẵn sàng với Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) của EU. Khám phá các plugin WordPress khác của chúng tôi, hoặc nếu bạn muốn để chúng tôi lo việc này cho bạn, hãy xem các dịch vụ bảo mật WordPress của chúng tôi.

Phần core miễn phí, và mãi mãi miễn phí

Kiểm kê thành phần, SBOM CycloneDX, WP-CLI cùng các tài liệu CSAF/VEX và Tuyên bố hợp chuẩn đều chạy trên máy chủ của riêng bạn, cấp phép theo GPL, không cần tài khoản. Một giấy phép sẽ bổ sung thêm dữ liệu lỗ hổng trực tiếp và cảnh báo lên trên đó.

Giấy phép là thứ biến các tài liệu thành sự bảo vệ

Phần core miễn phí dựng giấy tờ một lần. Một giấy phép giữ cho bạn an toàn giữa các kỳ kiểm toán: quét tự động hàng ngày mọi plugin, theme và core đối chiếu với National Vulnerability Database (NVD), OSV.devWordfence Intelligence, được chấm điểm bằng các tín hiệu CVSS, EPSS và CISA KEV, cùng cảnh báo qua email, Slack và webhook ngay khoảnh khắc một thứ bạn đang dùng trở nên dễ bị tấn công.

Xem giá giấy phép

Giấy phép mở khóa những gì

Mọi thứ trong phần core miễn phí, cộng thêm dữ liệu lỗ hổng được làm giàu liên tục và cảnh báo.

Khả năngMiễn phíPremium
Kiểm kê thành phần (plugin, theme, core, must-use, drop-in)
Xuất SBOM CycloneDX 1.6, kèm các phụ thuộc bắc cầu
Lệnh WP-CLI cho kiểm kê và SBOM
Kiểm tra tình trạng và tính toàn vẹn tập tin của plugin và theme
Tài liệu tuân thủ: CSAF / VEX, Tuyên bố hợp chuẩn, SECURITY.md
Xuất báo cáo tuân thủ (trạng thái từng thành phần, thời gian vá lỗi)
Quét lỗ hổng liên tục (đối chiếu CVE)
Bảng điều khiển rủi ro với tín hiệu mức độ nghiêm trọng, EPSS và CISA KEV
Cảnh báo tự động: email, Slack, webhook và bản tóm tắt theo lịch
Quét theo lịch hàng ngày và ngưỡng có thể cấu hình
Nhật ký kiểm toán hoạt động tuân thủ

Chọn giấy phép của bạn

Cả hai gói đều bao gồm trọn bộ tính năng premium. Hãy chọn theo số lượng trang bạn vận hành.

Giá trị tốt nhất

Đại lý

Lên tới 100 trang
$9,900 $899 / năm Tiết kiệm 91%

so với 100 giấy phép một trang

  • Mọi thứ trong gói một trang
  • Kích hoạt lên tới 100 trang từ một khóa
  • Khoảng $9 mỗi trang, mỗi năm
  • Hỗ trợ email ưu tiên
  • Gia hạn hàng năm, hủy bất cứ lúc nào
Mua giấy phép đại lý
Thanh toán an toàn qua Stripe Cấp phép theo tên miền Gia hạn hàng năm, hủy bất cứ lúc nào

Tính năng chính

Kiểm kê thành phần đầy đủ

Mọi plugin, theme, WordPress core, must-use plugin và drop-in đều được ghi lại với tên, slug, phiên bản và nhà cung cấp, nền tảng cho mọi hồ sơ hợp chuẩn CRA.

SBOM theo tiêu chuẩn

Tạo Danh mục thành phần phần mềm (SBOM) CycloneDX 1.6 với định danh PURL và các phụ thuộc bắc cầu, sẵn sàng trao cho kiểm toán viên hoặc đính kèm Tuyên bố hợp chuẩn.

Giám sát lỗ hổng

Bản kiểm kê của bạn được đối chiếu trên máy chủ của chúng tôi với National Vulnerability Database (NVD), OSV.dev và Wordfence Intelligence, sau đó được làm giàu với mức độ nghiêm trọng CVSS, xác suất khai thác EPSS và trạng thái CISA KEV. Không có khóa API bên thứ ba nào được đóng gói trong plugin.

Cảnh báo tự động

Được thông báo ngay khi một thành phần bạn đang dùng trở nên dễ bị tấn công, qua email, Slack, webhook hoặc bản tóm tắt theo lịch, với các ngưỡng do bạn kiểm soát.

Tài liệu sẵn sàng cho kiểm toán

Xuất khuyến cáo CSAF / VEX và Tuyên bố hợp chuẩn trực tiếp từ bảng điều khiển, đúng giấy tờ mà Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) thực sự yêu cầu.

Nhật ký kiểm toán tuân thủ

Mọi lần quét, xuất tài liệu và quyết định đều được ghi lại trong một nhật ký kiểm toán có thể lọc và ghi ngày tháng, để bạn chứng minh được mình biết điều gì và khi nào.

Quyền riêng tư theo thiết kế

Chỉ dữ liệu kỹ thuật mới rời khỏi trang web: bản kiểm kê thành phần và slug plugin/theme của bạn, được dùng để lấy dữ liệu lỗ hổng, tạo tài liệu tuân thủ và xác minh tập tin với WordPress.org. Không có nội dung bài viết, dữ liệu người dùng hay dữ liệu khách truy cập nào được thu thập hoặc truyền đi, và không có khóa API bên thứ ba nào được đóng gói trong plugin.

Sẵn sàng cho multisite và CLI

Hoạt động trên toàn mạng multisite với chế độ xem tổng hợp của mọi trang, và các tác vụ cốt lõi, từ kiểm kê đến SBOM đến quét và cổng chính sách, đều có thể viết kịch bản qua WP-CLI cho các pipeline CI của bạn.

Sẵn sàng vận hành chỉ trong ba bước

Cài đặt phiên bản core miễn phí

Cài đặt CRA Vulnerability Monitor từ kho plugin WordPress, hoặc tải lên tập tin ZIP tại Plugins, Add New, Upload Plugin. Kích hoạt như bất kỳ plugin nào khác.

Xây dựng bản kiểm kê và SBOM của bạn

Mở menu CRA trong wp-admin. Bản kiểm kê thành phần của bạn sẵn sàng ngay lập tức và bạn có thể xuất SBOM CycloneDX ngay, không cần tài khoản.

Thêm giấy phép để mở khóa giám sát

Dán khóa giấy phép của bạn trên màn hình License để bật quét lỗ hổng liên tục, bảng điều khiển rủi ro và cảnh báo tự động cho trang đó.

Câu hỏi thường gặp

Plugin này có làm cho trang WordPress của tôi tuân thủ Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) của EU không?
Nó cung cấp cho bạn các khối kỹ thuật cốt lõi mà Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) mong đợi từ một trang WordPress: bản kiểm kê thành phần đầy đủ, một danh mục thành phần phần mềm CycloneDX, giám sát lỗ hổng liên tục, và các tài liệu CSAF/VEX cùng Tuyên bố hợp chuẩn sẵn sàng để xuất. Việc tuân thủ CRA đầy đủ còn liên quan đến các quy trình và nghĩa vụ vượt ngoài bất kỳ plugin đơn lẻ nào, nhưng plugin này lo phần bằng chứng và giấy tờ cho WordPress.
Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) của EU yêu cầu gì đối với WordPress?
Đạo luật về Khả năng chống chịu mạng (Cyber Resilience Act) của EU (Quy định (EU) 2024/2847) mong đợi các nhà sản xuất sản phẩm có yếu tố số phải biết phần mềm của mình được tạo từ những gì, theo dõi và xử lý lỗ hổng, và lập tài liệu chứng minh hợp chuẩn. Đối với một trang WordPress, điều đó nghĩa là duy trì một SBOM cập nhật, giám sát plugin, theme và core để phát hiện các lỗ hổng đã biết, và lưu giữ hồ sơ sẵn sàng cho kiểm toán, đúng những gì plugin này tạo ra.
Plugin có miễn phí không?
Có. Phiên bản core miễn phí và được cấp phép theo GPL-3.0-or-later trên WordPress.org: bản kiểm kê thành phần, xuất SBOM CycloneDX, các bản xuất CSAF/VEX, SECURITY.md, Tuyên bố hợp chuẩn EU và báo cáo tuân thủ, kiểm tra tình trạng và tính toàn vẹn của plugin và theme, bảng điều khiển tuân thủ trên màn hình, nhật ký kiểm toán và các lệnh WP-CLI. Quét lỗ hổng liên tục, bảng điều khiển rủi ro và cảnh báo tự động cần giấy phép premium; chính giấy phép đó là thứ điền vào các tài liệu miễn phí những phát hiện lỗ hổng thực tế.
Giấy phép hoạt động như thế nào?
Một giấy phép kích hoạt một trang, được nhận diện bằng tên miền của nó. Các tính năng premium luôn hoạt động khi giấy phép còn hiệu lực. Bạn có thể chuyển giấy phép giữa các trang từ màn hình License hoặc khu vực thành viên của bạn.
Tôi có cần giấy phép để tạo SBOM không?
Không. Bản kiểm kê thành phần, SBOM CycloneDX và mọi bản xuất tài liệu (CSAF/VEX, SECURITY.md, Tuyên bố hợp chuẩn và báo cáo tuân thủ) đều chạy cục bộ trên máy chủ của bạn và hoàn toàn miễn phí, không cần tài khoản. Giấy phép bổ sung dữ liệu lỗ hổng trực tiếp và cảnh báo; cho đến khi một lần quét chạy, các tài liệu chỉ đơn giản là không liệt kê lỗ hổng nào.
Dữ liệu lỗ hổng đến từ đâu?
Bản kiểm kê của bạn được gửi đến Mecanik API, nơi đối chiếu nó với U.S. National Vulnerability Database (NVD), OSV.dev và Wordfence Intelligence, rồi trả về các phát hiện được làm giàu với tín hiệu CVSS, EPSS và CISA KEV. Không có nội dung bài viết, dữ liệu người dùng hay dữ liệu khách truy cập nào được gửi đi, và không có khóa API nguồn nào được đóng gói trong plugin.
Bạn có tùy chọn cho đại lý hoặc multisite không?
Có. Gói một trang bao gồm một trang; gói Đại lý kích hoạt lên tới 100 trang trên một khóa. Nếu bạn cần hơn 100 trang hoặc có thiết lập multisite đặc biệt, hãy liên hệ với chúng tôi tại [email protected] và chúng tôi sẽ thiết lập cho bạn.
Yêu cầu là gì?
WordPress 6.0 trở lên và PHP 7.4 trở lên. Các tính năng premium cần kết nối HTTPS ra ngoài tới api.mecanik.dev để trang của bạn có thể tiếp cận dịch vụ quét.

Bài viết liên quan

Tìm hiểu sâu hơn với các hướng dẫn và dịch vụ bảo mật liên quan của chúng tôi.