CloudflareがWordPressの後継CMS「EmDash」を公開——プラグイン問題を構造から解決
エイプリルフールに発表された本物の新兵器。Cloudflareが、WordPressが20年以上抱えてきたセキュリティの根本問題に、真正面から挑んでいる。
エイプリルフールに発表された本物の新兵器。Cloudflareが、WordPressが20年以上抱えてきたセキュリティの根本問題に、真正面から挑んでいる。
「冗談じゃない」——エイプリルフールに届いた本物の発表
2026年4月上旬。多くの開発者がタイムラインを見て同じことを思った。「また嘘ネタか」と。
だが、Cloudflareが公開したCMS「EmDash」は本物だった。GitHubのリポジトリは実在し、コードは動き、早速デプロイして試した人々が続々と感想を上げ始めた。WordPressで最も普及したSEOプラグイン「Yoast SEO」の創設者であるヨースト・デ・ヴァルクも即座に評価記事を公開するほど、界隈への衝撃は小さくなかった。
Introducing EmDash — the spiritual successor to WordPress.
— Cloudflare Developers (@CloudflareDev) April 1, 2026
Serverless. TypeScript. Securely sandboxed plugins via Dynamic Workers.https://t.co/AQorxEmiKM
エイプリルフールという日付は、結果として発表の話題性を高めた。しかしCloudflareが伝えたかったメッセージは明快だ。「WordPressは24年前のインターネットのために設計された。もうアップグレードの時が来た」。
WordPressのプラグインセキュリティ問題とは何か
WordPressはインターネットの40%以上のウェブサイトを動かしている。その成功は疑いようがない。しかしその設計思想は、AWSのEC2すら存在しなかった時代のものだ。
最大の問題はプラグインにある。WordPressのプラグインはPHPスクリプトとして動作し、サイトのデータベースとファイルシステムに直接アクセスできる。インストールした瞬間から、そのプラグインはほぼすべての情報に触れられる状態になる。開発者が悪意を持っていなくても、コードにバグがあれば攻撃者はそこを突く。
WordPressのセキュリティ問題の96%はプラグインに起因する。2025年には前2年間を合わせた数より多くの深刻な脆弱性がWordPressエコシステムで発見された。(Patchstack調査)
この数字を「誇張だ」と言う人もいるだろう。だが方向性は正しい。プラグインの脆弱性が常態化しているのは、WordPressコミュニティが何十年も向き合い続けてきた現実でもある。
EmDashが採用したアーキテクチャ
EmDashはTypeScriptで書かれたサーバーレスCMSで、フロントエンドにはAstroを採用している。MITライセンスのオープンソースとして、GitHubで公開中だ。
プラグインのセキュリティ問題に対するEmDashの答えは「隔離」だ。各プラグインはCloudflareの「Dynamic Worker」上で独立したサンドボックスとして実行される。プラグインができることは、マニフェストファイルで事前に宣言した権限の範囲だけに厳密に制限される。
たとえば、記事保存後にメールを送るプラグインが必要とする権限は「コンテンツの読み取り」と「メール送信」だけだ。それ以上のアクセスは物理的に不可能になる。この仕組みはOAuthのスコープ付き権限に近い考え方で、インストール前から「このプラグインは何ができるのか」を明確に把握できる。
EmDashプラグインは、マニフェストで明示的に宣言したアクション以外を実行できない。事前に確認し、信頼した上でインストールできる。
| WordPress | EmDash | |
|---|---|---|
| 言語 | PHP | TypeScript |
| アーキテクチャ | サーバー型 | サーバーレス |
| プラグイン実行 | DB/FS直接アクセス | サンドボックス隔離 |
| ライセンス | GPL | MIT |
| フロントエンド | PHP テーマ | Astro |
| MCP対応 | — | 標準搭載 |
| 決済標準 | — | x402 標準搭載 |
| プラグイン数 | 6万本以上 | プレビュー段階 |
| 現バージョン | 安定版(24年の実績) | v0.1.0 プレビュー |
※ WordPressのセキュリティ問題の96%はプラグインに起因(Patchstack調査)。EmDashのプラグインはマニフェスト宣言外の操作を物理的に実行不可とする設計で、この問題に対処する。
テーマも同様だ。WordPressではテーマもfunctions.phpを通じてデータベース操作が可能だったが、EmDashのテーマはデータベース操作を原則的に実行できない。セキュリティの格子が一段上がっている。
AIエージェント時代を見据えた設計
EmDashが単なる「安全なWordPress互換CMS」に留まらない点は、AI対応の設計にある。
各EmDashインスタンスは独自のMCPサーバー(AIエージェントとの通信プロトコル)を内蔵しており、ClaudeやChatGPTのようなAIエージェントが直接サイトのコンテンツ管理・スキーマ設定・プラグイン構成を操作できる。コンテンツはHTMLではなくPortable Textと呼ばれる構造化JSONで保存されるため、AIが「理解」しやすい形式になっている。
さらにEmDashはx402と呼ばれるインターネットネイティブ決済標準を標準搭載している。コンテンツへのアクセスに対して従量課金を設定でき、人間だけでなくAIエージェントからのアクセスにも課金できる仕組みだ。「AIクローラーに無断でコンテンツを使われる問題」への一つの回答として位置づけられている。
期待と現実のあいだ
ヨースト・デ・ヴァルクはEmDashを「2026年のために設計された最初のCMSだ」と高く評価した。一方で現時点の限界も明確だ。
現在のEmDashはv0.1.0のプレビュー版であり、プラグインエコシステムは事実上ゼロに近い。WordPressの6万本以上のプラグインと比較した場合、アーキテクチャがどれだけ優れていても、実用に足る選択肢になるまでには時間がかかる。
既存のWordPressサイトから移行するためのツールも、まだ開発中だ。コンテンツ形式がHTML文字列からPortable Textに変わるため、移行は「エクスポートしてインポートするだけ」とはいかない。
現時点では、既存の99%のWordPressサイトにとって答えは変わらない——適切にメンテナンスし続けること。新規プロジェクトなら、注目する価値はある。(Ben Ryan)
「優れたアーキテクチャ、エコシステムは未成熟」。これがEmDash v0.1.0への正直な評価だろう。
誰に向いているのか
現時点でEmDashを試す意義があるのは、新規にサイトを構築する開発者や、サーバーレス・TypeScript・Astroのエコシステムにすでに慣れているエンジニアだ。WordPressからの乗り換えを今すぐ検討するのは時期尚早だが、Cloudflareというインフラの雄がCMSという土俵に本気で参戦したことの意味は小さくない。
24年の歴史を持つソフトウェアが変われないものを、後発が変える。テクノロジーが繰り返してきたパターンだ。EmDashがそれを成し遂げるかどうかは、エコシステムを育てられるかにかかっている。
参照元
他参照
関連記事
- WordPress創設者がEmDashに反論——「精神的後継」を名乗るなら覚悟しろ
- Claude Codeのソースコード全文が流出、npmの設定ミスで51万行が丸見えに
- Claude Codeソース流出が招いた罠:偽リポジトリがマルウェアを配布
- イランのサイバー部隊がStrykerを壊滅させた手口と、FBIが学んだ教訓
- Claude Code流出で露になった「眠るAI」の全貌
- GrapheneOSが年齢確認を拒否──「売れなくなるなら、それでいい」
- ホワイトハウス公式アプリ、「フィルターなし」の裏で位置情報を追跡か
- AIのバグ報告がゴミから本物へ——Linuxカーネル管理者が語る「謎の転換点」
- Reddit最大のプログラミング板がLLM話題を全面禁止
- Windows 11、24H2ユーザーに25H2への強制アップデートを開始
