WordPress Plugin 核心免費,進階版需授權 v1.0.0
CRA Vulnerability Monitor

WordPress 適用的歐盟《網路韌性法案》合規方案

WordPress 歐盟《網路韌性法案》合規:在 wp-admin 中建立 CycloneDX SBOM、監控漏洞並匯出稽核員要求的文件。

WordPress 6.0+ PHP 7.4+

《網路韌性法案》對 WordPress 的意義

歐盟《網路韌性法案》(Cyber Resilience Act)要求任何將含數位元素產品投放市場的人,都必須了解自己的軟體由哪些元件構成、追蹤其漏洞,並能加以證明。對 WordPress 網站而言,這代表要有一份真正的物料清單、持續的漏洞監控,以及足以佐證的文件。

不合規的代價高昂。《網路韌性法案》(Cyber Resilience Act) 允許處以最高 1,500萬歐元,或貴公司全球年度總營業額 2.5% 的行政罰鍰,兩者取其高,並授權主管機關將不合規的產品撤出歐盟市場。

CRA Vulnerability Monitor 將上述一切帶入 wp-admin。免費核心版會建立完整的元件清單、匯出符合標準的 CycloneDX SBOM,並產生《網路韌性法案》(Cyber Resilience Act) 所要求的 CSAF/VEX 公告與歐盟符合性聲明,全部在您自己的伺服器上完成。加入授權後,外掛便會持續將您的元件比對美國國家漏洞資料庫 (NVD)、OSV.dev 與 Wordfence Intelligence,以 CVSS、EPSS 與 CISA KEV 訊號加以評分,在您所執行的某項元件出現漏洞的當下警示您,並將實際的發現結果填入這些文件中。

進階版的漏洞資料是在我們的伺服器上比對的,因此這個 GPL 外掛內絕不會夾帶任何第三方 API 金鑰或掃描憑證。您的清單傳出去,擴充後的發現結果傳回來。這完全不涉及您的內容、使用者或訪客的任何資訊。

這是讓 WordPress 網站做好歐盟《網路韌性法案》準備最快的方式。歡迎探索我們其他的 WordPress 外掛,或者若您希望由我們代為處理,請參閱我們的 WordPress 資安服務

核心版免費,且永久免費

元件清單、CycloneDX SBOM、WP-CLI 以及 CSAF/VEX 與符合性聲明文件,全部在您自己的伺服器上執行,採 GPL 授權,無需帳號。授權則會在此基礎上加入即時漏洞資料與警示。

正是授權,讓這些文件化為真正的防護

免費核心版只會一次性建立這些文件。授權則讓您在稽核之間持續保持安全:每日自動掃描每一個外掛、佈景主題與核心,比對美國國家漏洞資料庫 (NVD)OSV.devWordfence Intelligence,並以 CVSS、EPSS 與 CISA KEV 訊號加以評分,同時在您所執行的某項元件出現漏洞的當下,透過電子郵件、Slack 與 webhook 警示通知您。

查看授權定價

授權能解鎖什麼

包含免費核心版的所有功能,再加上持續、擴充的漏洞情報與警示。

功能免費進階版
元件清單(外掛、佈景主題、核心、must-use 外掛、drop-in)
CycloneDX 1.6 SBOM 匯出,含傳遞相依套件
用於清單與 SBOM 的 WP-CLI 指令
外掛與佈景主題健康狀態及檔案完整性檢查
合規文件:CSAF / VEX、符合性聲明、SECURITY.md
合規報告匯出(各元件狀態、修補耗時)
持續漏洞掃描(CVE 比對)
含嚴重程度、EPSS 與 CISA KEV 訊號的風險儀表板
自動化警示:電子郵件、Slack、webhook 與排程摘要
每日排程掃描與可設定的門檻值
合規活動稽核日誌

選擇您的授權

兩種方案皆包含完整的進階功能組合。請依您所經營的站台數量選擇。

最超值

代理商

最多 100 個站台
$9,900 $899 / 年 省下 91%

相較於 100 個單一站台授權

  • 包含單一站台方案的所有功能
  • 以一組金鑰啟用至多 100 個站台
  • 每個站台每年約 $9
  • 優先電子郵件支援
  • 每年續訂,可隨時取消
取得代理商授權
透過 Stripe 安全結帳 依網域授權 每年續訂,可隨時取消

主要功能

完整元件清單

擷取每一個外掛、佈景主題、WordPress 核心、must-use 外掛與 drop-in,並記錄名稱、slug、版本與供應商,這是任何 CRA 符合性文件的基礎。

符合標準的 SBOM

產生含 PURL 識別碼與傳遞相依套件的 CycloneDX 1.6 軟體物料清單,可直接交付稽核員或附加於符合性聲明。

漏洞監控

您的清單會在我們的伺服器上比對美國國家漏洞資料庫 (NVD)、OSV.dev 與 Wordfence Intelligence,再以 CVSS 嚴重程度、EPSS 漏洞利用機率與 CISA KEV 狀態加以擴充。外掛內不會夾帶任何第三方 API 金鑰。

自動化警示

當您所執行的某個元件出現漏洞時,立即透過電子郵件、Slack、webhook 或排程摘要收到通知,門檻值由您掌控。

可供稽核的文件

直接從儀表板匯出 CSAF / VEX 公告與符合性聲明,這正是《網路韌性法案》(Cyber Resilience Act) 實際要求的文件。

合規稽核日誌

每一次掃描、匯出與決策都記錄於可篩選、附有日期的稽核軌跡中,讓您能證明您在何時掌握了哪些資訊。

隱私設計

離開網站的只有技術資料:用於擷取漏洞資料、產生合規文件並對照 WordPress.org 驗證檔案的元件清單與外掛/佈景主題 slug。不會收集或傳送任何文章內容、使用者資料或訪客資料,外掛內也不會夾帶任何第三方 API 金鑰。

支援多站台與 CLI

可跨多站台網路運作,提供彙整每個站台的總覽檢視;從清單、SBOM、掃描到政策閘門等核心工作,皆可透過 WP-CLI 編寫腳本,供您的 CI 流程使用。

三個步驟即可上手

安裝免費核心版

從 WordPress 外掛目錄安裝 CRA Vulnerability Monitor,或在「外掛、安裝外掛、上傳外掛」中上傳 ZIP 檔。如同其他外掛一般啟用即可。

建立您的清單與 SBOM

在 wp-admin 中開啟 CRA 選單。您的元件清單會立即就緒,無需帳號即可馬上匯出 CycloneDX SBOM。

新增授權以解鎖監控功能

在「授權」畫面貼上您的授權金鑰,即可為該站台開啟持續漏洞掃描、風險儀表板與自動化警示。

常見問題

這個外掛能讓我的 WordPress 網站符合歐盟《網路韌性法案》嗎?
它能提供《網路韌性法案》(Cyber Resilience Act) 對 WordPress 網站所期望的核心技術組件:完整的元件清單、CycloneDX 軟體物料清單、持續的漏洞監控,以及可立即匯出的 CSAF/VEX 與符合性聲明文件。完整的 CRA 合規還涉及超出任何單一外掛範圍的流程與義務,但本外掛已涵蓋 WordPress 方面所需的佐證與文件。
歐盟《網路韌性法案》對 WordPress 有哪些要求?
歐盟《網路韌性法案》(Cyber Resilience Act)((歐盟)2024/2847 號條例)要求含數位元素產品的製造者必須了解自己的軟體由哪些元件構成、追蹤並處理漏洞,並記錄符合性。對 WordPress 網站而言,這代表要維護一份最新的 SBOM、監控外掛、佈景主題與核心是否存在已知漏洞,並保存可供稽核的紀錄,而這正是本外掛所產出的內容。
這個外掛是免費的嗎?
是的。核心版為免費,並在 WordPress.org 上以 GPL-3.0-or-later 授權:元件清單、CycloneDX SBOM 匯出、CSAF/VEX、SECURITY.md、歐盟符合性聲明與合規報告匯出、外掛與佈景主題健康狀態及完整性檢查、畫面上的合規儀表板、稽核日誌以及 WP-CLI 指令。持續漏洞掃描、風險儀表板與自動化警示則需要進階版授權;正是這份授權,會將實際的漏洞發現填入這些免費文件中。
授權如何運作?
一份授權可啟用一個站台,以其網域加以識別。只要授權有效,進階功能即持續啟用。您可以在「授權」畫面或您的會員專區中,將授權在不同站台之間移轉。
產生 SBOM 需要授權嗎?
不需要。元件清單、CycloneDX SBOM 以及每一項文件匯出(CSAF/VEX、SECURITY.md、符合性聲明與合規報告)都在您的伺服器上本機執行,且完全免費,無需帳號。授權則會加入即時漏洞資料與警示;在掃描執行之前,文件中就只是不列出任何漏洞。
漏洞資料從何而來?
您的清單會傳送至 Mecanik API,由它比對美國國家漏洞資料庫 (NVD)、OSV.dev 與 Wordfence Intelligence,並回傳以 CVSS、EPSS 與 CISA KEV 訊號擴充後的發現結果。任何文章內容、使用者資料或訪客資料都不會傳送,外掛內也不會綑綁任何上游 API 金鑰。
你們有代理商或多站台方案嗎?
有的。單一站台方案涵蓋一個站台;代理商方案則可以一組金鑰啟用至多 100 個站台。若您需要超過 100 個站台,或有特殊的多站台架構,請透過 [email protected] 與我們聯絡,我們將為您安排。
系統需求為何?
WordPress 6.0 或更新版本,以及 PHP 7.4 或更新版本。進階功能需要對外連至 api.mecanik.dev 的 HTTPS 連線,以便您的網站能存取掃描服務。

延伸閱讀

透過我們的指南與相關資安服務深入了解。