WordPress Plugin 核心免费,高级版需许可证 v1.0.0
CRA Vulnerability Monitor

面向 WordPress 的欧盟《网络弹性法案》合规

WordPress 的欧盟《网络弹性法案》合规:构建 CycloneDX SBOM、监控漏洞,并直接在 wp-admin 中导出审计方所需的文档。

WordPress 6.0+ PHP 7.4+

《网络弹性法案》对 WordPress 意味着什么

欧盟《网络弹性法案》要求任何将带有数字元素的产品投放市场者了解其软件由什么构成、跟踪其漏洞,并能够加以证明。对于 WordPress 站点而言,这意味着一份真实的物料清单、持续的漏洞监控,以及为之提供支撑的文书。

不合规代价高昂。《网络弹性法案》(Cyber Resilience Act) 允许处以最高1,500万欧元,或贵公司全球年度总营业额的 2.5%(以较高者为准)的行政罚款,并允许主管机关将不合规产品撤出欧盟市场。

CRA Vulnerability Monitor 将这一切都带入 wp-admin。免费核心版会构建完整的组件清单、导出基于标准的 CycloneDX SBOM,并生成《网络弹性法案》(Cyber Resilience Act) 所要求的 CSAF/VEX 公告和欧盟合格声明,全部在您自己的服务器上完成。添加许可证后,插件会持续将您的组件对照美国国家漏洞数据库 (NVD)、OSV.dev 和 Wordfence Intelligence 进行匹配,以 CVSS、EPSS 和 CISA KEV 信号为其评分,在您所使用的某个组件出现漏洞时第一时间向您告警,并将真实的发现结果填入这些文档。

高级版漏洞数据在我们的服务器上完成匹配,因此绝不会有任何第三方 API 密钥或扫描凭据被附带进这款 GPL 插件中。您的清单发送出去,丰富后的发现结果返回回来。其中不涉及您的任何内容、用户或访客。

这是为 WordPress 站点带来欧盟《网络弹性法案》就绪能力的最快方式。欢迎浏览我们的其他 WordPress 插件,或者如果您更希望由我们代为处理,请查看我们的 WordPress 安全服务

核心免费,并将永久免费

组件清单、CycloneDX SBOM、WP-CLI 以及 CSAF/VEX 和合格声明文档均在您自己的服务器上运行,以 GPL 授权,无需注册账户。许可证则在此基础上增加实时漏洞数据和告警。

正是许可证,让文档真正成为防护

免费核心版只构建一次文书。许可证则让您在每次审计之间始终安全:对照美国国家漏洞数据库 (NVD)OSV.devWordfence Intelligence,对每一个插件、主题及核心进行每日自动扫描,并以 CVSS、EPSS 和 CISA KEV 信号评分,外加邮件、Slack 和 Webhook 告警,在您所使用的某个组件出现漏洞时第一时间通知您。

查看许可证价格

许可证解锁的内容

包含免费核心版的全部功能,再加上持续、丰富的漏洞情报与告警。

功能免费版高级版
组件清单(插件、主题、核心、必装插件、drop-in)
CycloneDX 1.6 SBOM 导出,包含传递依赖
用于清单和 SBOM 的 WP-CLI 命令
插件与主题的健康检查及文件完整性校验
合规文档:CSAF / VEX、合格声明、SECURITY.md
合规报告导出(按组件列出状态、修补时长)
持续漏洞扫描(CVE 匹配)
包含严重程度、EPSS 与 CISA KEV 信号的风险仪表盘
自动告警:邮件、Slack、Webhook 与定时摘要
每日定时扫描及可配置阈值
合规活动审计日志

选择您的许可证

两种方案均包含完整的高级版功能集。请根据您运营的站点数量进行选择。

超值之选

代理机构

最多 100 个站点
$9,900 $899 / 年 立省 91%

相较于 100 份单站点许可证

  • 包含单站点方案的全部功能
  • 用一把密钥在最多 100 个站点上激活
  • 每个站点每年约 9 美元
  • 优先邮件支持
  • 按年续费,可随时取消
获取代理机构许可证
通过 Stripe 安全结账 按域名授权 按年续费,可随时取消

核心功能

完整组件清单

记录每一个插件、主题、WordPress 核心、必装插件和 drop-in,包含名称、slug、版本与供应商,这是任何 CRA 合格文件的基础。

基于标准的 SBOM

生成包含 PURL 标识符与传递依赖的 CycloneDX 1.6 软件物料清单(SBOM),可直接交给审计方或附在合格声明上。

漏洞监控

您的清单会在我们的服务器上与美国国家漏洞数据库 (NVD)、OSV.dev 和 Wordfence Intelligence 进行匹配,再以 CVSS 严重程度、EPSS 利用概率和 CISA KEV 状态加以丰富。插件中不附带任何第三方 API 密钥。

自动告警

当您正在使用的某个组件出现漏洞时,第一时间通过邮件、Slack、Webhook 或定时摘要收到通知,阈值由您自行掌控。

审计就绪文档

直接从仪表盘导出 CSAF / VEX 公告和合格声明,这些正是《网络弹性法案》(Cyber Resilience Act) 真正要求的文书。

合规审计日志

每一次扫描、导出和决策都会记录在可筛选、带日期的审计轨迹中,让您能够证明自己在何时知晓了什么。

隐私即设计

离开站点的只有技术数据:您的组件清单和插件/主题 slug,用于获取漏洞数据、生成合规文档以及对照 WordPress.org 校验文件。不会收集或传输任何文章内容、用户数据或访客数据,插件中也不附带任何第三方 API 密钥。

支持多站点与 CLI

可跨多站点网络运行,并提供每个站点的汇总视图;从清单到 SBOM、扫描以及策略闸门等核心任务,都可通过 WP-CLI 编写脚本,融入您的 CI 流水线。

三步即可上手运行

安装免费核心版

从 WordPress 插件目录安装 CRA Vulnerability Monitor,或在“插件 -> 安装插件 -> 上传插件”中上传 ZIP。像安装其他插件一样将其激活。

构建您的清单和 SBOM

在 wp-admin 中打开 CRA 菜单。您的组件清单会立即就绪,并可直接导出 CycloneDX SBOM,无需注册账户。

添加许可证以解锁监控

在“许可证”界面粘贴您的许可证密钥,即可为该站点开启持续漏洞扫描、风险仪表盘和自动告警。

常见问题

这个插件能让我的 WordPress 站点符合欧盟《网络弹性法案》吗?
它为您提供《网络弹性法案》(Cyber Resilience Act) 对 WordPress 站点所期望的核心技术构件:完整的组件清单、CycloneDX 软件物料清单、持续漏洞监控,以及可随时导出的 CSAF/VEX 与合格声明文档。完整的 CRA 合规还涉及超出任何单一插件范围的流程和义务,但本插件覆盖了 WordPress 方面的证据和文书。
欧盟《网络弹性法案》对 WordPress 有哪些要求?
欧盟《网络弹性法案》(Cyber Resilience Act)((欧盟)2024/2847 号条例)要求带有数字元素产品的制造者了解其软件由什么构成、跟踪并处置漏洞,以及对合规进行记录。对于 WordPress 站点而言,这意味着维护一份最新的 SBOM、对插件、主题和核心进行已知漏洞监控,并保留审计就绪的记录,而这正是本插件所生成的内容。
这个插件免费吗?
是的。核心版免费,并在 WordPress.org 上以 GPL-3.0-or-later 授权:组件清单、CycloneDX SBOM 导出、CSAF/VEX、SECURITY.md、欧盟合格声明和合规报告导出、插件与主题的健康及完整性检查、屏幕内合规仪表盘、审计日志以及 WP-CLI 命令。持续漏洞扫描、风险仪表盘和自动告警则需要高级版许可证;正是这份许可证为免费文档填入了真实的漏洞发现结果。
许可证如何运作?
一份许可证激活一个站点,以其域名作为标识。在许可证有效期内,高级版功能保持启用。您可以在“许可证”界面或会员中心将许可证在站点之间迁移。
生成 SBOM 需要许可证吗?
不需要。组件清单、CycloneDX SBOM 以及每一项文档导出(CSAF/VEX、SECURITY.md、合格声明和合规报告)都在您的服务器本地运行,完全免费,无需注册账户。许可证增加的是实时漏洞数据和告警;在扫描运行之前,这些文档只是不列出任何漏洞而已。
漏洞数据来自哪里?
您的清单会发送至 Mecanik API,由其对照美国国家漏洞数据库 (NVD)、OSV.dev 和 Wordfence Intelligence 进行匹配,并返回经 CVSS、EPSS 和 CISA KEV 信号丰富的发现结果。绝不会发送任何文章内容、用户数据或访客数据,插件中也不捆绑任何上游 API 密钥。
你们有面向代理机构或多站点的方案吗?
有。单站点方案覆盖一个站点;代理机构方案用一把密钥可激活最多 100 个站点。如果您需要超过 100 个站点或有特殊的多站点配置,请通过 [email protected] 与我们联系,我们将为您安排。
有哪些运行要求?
WordPress 6.0 或更高版本,以及 PHP 7.4 或更高版本。高级版功能需要向 api.mecanik.dev 发出出站 HTTPS 请求,以便您的站点能够访问扫描服务。

相关阅读

通过我们的指南和相关安全服务深入了解。