¿Se aplica el CRA a mi producto? / Plugin de WordPress
Cumplimiento del CRA para plugins y temas de WordPress
Los plugins y temas comerciales de WordPress (premium, freemium con niveles de pago, o gratuitos como embudo hacia un servicio de pago) son productos con elementos digitales. WordPress mueve ~40% de la web y las vulnerabilidades de plugins son un vector de ataque de primer orden — las autoridades lo saben.
Qué significa esto en concreto para ti
- ▸La vía wordpress.org puramente gratuita, sin monetización alguna, puede quedar fuera de la «actividad comercial» — pero un plugin gratis que promociona tu SaaS de pago es comercial.
- ▸Tu SBOM cubre las bibliotecas PHP empaquetadas (Composer), el JavaScript empaquetado (el punto débil clásico: viejos plugins de jQuery, librerías de gráficos) y el código copiado a mano.
- ▸Debes poder publicar parches rápido: el canal de wordpress.org o un mecanismo de actualización con licencia cumple el requisito — los plugins premium abandonados en marketplaces, no.
- ▸Una política pública de divulgación coordinada (CVD) cuenta doble en este ecosistema: la mayoría de CVEs de WordPress las encuentran investigadores externos que necesitan cómo contactarte.
La trampa en la que caen la mayoría de los equipos
Bibliotecas JS copiadas y congeladas hace años. Escáneres y auditores las encuentran en minutos — exactamente el patrón que ataca el anexo I parte II.
Los plazos
2026-09-11
Inicio de las obligaciones de notificación: las vulnerabilidades explotadas activamente y los incidentes graves deben notificarse en 24 h / 72 h a través de la plataforma única de la ENISA.
2027-12-11
Aplicación plena: requisitos esenciales, documentación técnica, declaración UE de conformidad y marcado CE serán obligatorios para vender en la UE.
¿Dónde está tu producto exactamente?
El Risk Check gratuito (en inglés) te da en 3 minutos tu veredicto de ámbito, la clase de riesgo, una puntuación de preparación y una lista de acciones priorizada. Sin registro.
O deja que CRAdar se encargue de forma continua — te avisamos en el lanzamiento:
Otros tipos de producto
Guía editorial sobre el Reglamento (UE) 2024/2847 — no es asesoramiento jurídico.