Le CRA s'applique-t-il à mon produit ? / Plugin WordPress
Conformité CRA pour les plugins et thèmes WordPress
Les plugins et thèmes WordPress commerciaux (premium, freemium avec paliers payants, ou plugins gratuits servant d'entonnoir vers un service payant) sont des produits comportant des éléments numériques. WordPress fait tourner environ 40 % du web et les vulnérabilités de plugins sont un vecteur d'attaque majeur — les autorités le savent.
Ce que cela signifie concrètement pour vous
- ▸La voie wordpress.org purement gratuite, sans aucune monétisation, peut rester hors « activité commerciale » — mais un plugin gratuit qui promeut votre SaaS payant est commercial.
- ▸Votre SBOM couvre les bibliothèques PHP embarquées (Composer), le JavaScript embarqué (le point faible classique : vieux plugins jQuery, bibliothèques de graphiques) et le code recopié.
- ▸Vous devez pouvoir livrer des correctifs vite : le canal de mise à jour wordpress.org ou un mécanisme de mise à jour sous licence satisfait l'exigence — pas les plugins premium abandonnés sur les places de marché.
- ▸Une politique publique de divulgation coordonnée (CVD) compte double dans cet écosystème : la plupart des CVE WordPress sont trouvées par des chercheurs externes qui ont besoin d'un canal pour vous joindre.
Le piège dans lequel tombent la plupart des équipes
Les bibliothèques JS recopiées et figées il y a des années. Scanners et auditeurs les trouvent en quelques minutes — c'est exactement le schéma que vise l'annexe I partie II.
Les échéances
2026-09-11
Début des obligations de notification : les vulnérabilités activement exploitées et les incidents graves doivent être signalés sous 24 h / 72 h via la plateforme unique de l'ENISA.
2027-12-11
Application intégrale : exigences essentielles, documentation technique, déclaration UE de conformité et marquage CE deviennent obligatoires pour vendre dans l'UE.
Où en est votre produit, concrètement ?
Le Risk Check gratuit (en anglais) vous donne en 3 minutes votre verdict, la classe de risque, un score de préparation et une liste d'actions priorisée. Sans inscription.
Ou laissez CRAdar s'en charger en continu — soyez prévenu au lancement :
Autres types de produits
Guide éditorial sur le règlement (UE) 2024/2847 — ceci n'est pas un conseil juridique.