WordPressの後継が登場？CloudflareのオープンソースCMS「EmDash」を技術的に徹底解説

2026年4月1日、Cloudflareがとんでもないものをリリースしました。

新しいオープンソースCMS「EmDash」です。

「エイプリルフールでは？」と思いたくなる日付ですが、これは本物のリリースのようです。

Cloudflare公式ブログや世界中のメディアが一斉に報じており、GitHubリポジトリも公開され、すでに試せる状態になっています。

実はこのニュースを見て、私自身にも刺さるものがありました。

というのも、つい最近WordPressを卒業して、Cloudflareに移行したばかりだからだったんです。

一度Cloudflare環境でサイトを構築するともうWordPressには戻れない・・・といいたいところですが、当ブログは未だにWordPressのまま。
いろいろ理由はあるんですが、この記事のように雑記日記を書きたいからというところが強いわけです。

さて、そんなタイミングで飛び込んできたこのニュース、ただニュースをまとめるだけでなく、技術の中身まで掘り下げて解説してみます。

---

EmDashとは何か:

EmDashは、Cloudflareが開発したフルオープンソース（MITライセンス）のCMSです。

Cloudflare自身は「WordPressのスピリチュアル・サクセサー（精神的後継）」と位置付けています。

技術スタックの特徴は以下のとおりです。

• 言語: すべてTypeScriptで記述
• フロントエンドフレームワーク: Astro（コンテンツ駆動型Webサイト向けの高速フレームワーク）
• 実行環境: サーバーレス（Cloudflare Workers / 任意のNode.jsサーバーにも対応）
• ライセンス: MIT（WordPressのGPLより商用利用に柔軟）

---

なぜ今、WordPressの「後継」が必要？

WordPressが誕生したのは2003年。

AWS EC2すら存在しない時代の設計です。

現在ではWebの40%以上を動かす巨大なエコシステムに成長しましたが、その古さゆえの問題も深刻化しているのをご存知でしょうか。

最大の問題はプラグインのセキュリティです。

WordPressサイトにおけるセキュリティ問題の96%はプラグインに起因しているというデータがあります（Patchstack調べ）。

なぜこんなことになるのか、技術的に見てみましょう。

WordPressのプラグインはPHPスクリプトとして動作し、WordPressのコアに直接フック（hook）する仕組みなのです。

つまりプラグインはWordPressのデータベースにもファイルシステムにも、ほぼ無制限にアクセスできます。

「プラグインをインストール＝サイトのほぼすべてへのアクセス権を付与」するようなものになってしまうわけです。

これは悪意あるプラグインはもちろん、開発者のミスひとつでサイト全体が危険にさらされることを意味します。

---

EmDashはどうやってこの問題を解決するの？

サンドボックスとCapabilityモデル:

EmDashがこの問題に対して提示する答えが、Dynamic Workersによるプラグインサンドボックス化です。

Cloudflare Workersは、V8エンジンのisolate（アイソレート）という技術を使って、各処理を完全に独立した環境で実行します。

これはブラウザのタブをそれぞれ独立したプロセスで動かすイメージに近いですが、はるかに軽量かつ高速に起動します。

EmDashでは、各プラグインがそれぞれ独自のisolateで実行されるため、プラグイン同士やCMSのコアデータへの直接アクセスが物理的に遮断されます。

さらに、EmDashプラグインはCapabilityモデルを採用しています。

プラグインは自分が必要とするアクセス権をマニフェストに事前宣言しなければなりません。

公式ブログにあるサンプルコードを見てみましょう。

Copyimport { definePlugin } from "emdash";

export default () =>
  definePlugin({
    id: "notify-on-publish",
    version: "1.0.0",
    capabilities: ["read:content", "email:send"], // ← 使える権限をここで宣言
    hooks: {
      "content:afterSave": async (event, ctx) => {
        if (event.collection !== "posts" || event.content.status !== "published") return;

        await ctx.email!.send({
          to: "[email protected]",
          subject: `New post published: ${event.content.title}`,
          text: `"${event.content.title}" is now live.`,
        });

        ctx.log.info(`Notified editors about ${event.content.id}`);
      },
    },
  });

このプラグインが宣言しているのは read:content（コンテンツ読み取り）と email:send（メール送信）の2つだけです。

たとえコードが何万行あっても、この2つの権限以外のことは一切できません。 

外部ネットワークへのアクセスも原則禁止で、必要な場合は接続先ホスト名まで明示的に宣言する必要があります。

これはスマートフォンのアプリが「位置情報へのアクセスを許可しますか？」と聞いてくるのと同じ発想というわけです。

WordPressが「インストールしたら全部使ってOK」なのに対し、EmDashはインストール前に何ができるか全部わかるという設計になっています。

---

Astroとは何か？

なぜEmDashはAstroを選んだのか？

EmDashのフロントエンドを支えるのが「Astro」というWebフレームワークです。

Astroはコンテンツ駆動型のWebサイト（ブログ、ドキュメント、マーケティングサイトなど）に特化して設計されており、デフォルトでJavaScriptを最小限しかクライアントに送らない「アイランドアーキテクチャ」を採用しています。

従来のReactやNext.jsは、インタラクティブではないページでも大量のJSバンドルをブラウザに送りつけますが、Astroは静的なHTMLを優先的に生成し、インタラクティブな部分だけに必要なJSを添付します。

これによりページの表示速度が圧倒的に速くなります。

もちろんそれは、SEOにも有利です。

EmDashのテーマはAstroプロジェクトとして作成します。

WordPressのテーマがPHPで書かれていたのに対し、フロントエンドエンジニアが普段使う技術でテーマを作れるようになっています。

また、テーマからはデータベース操作が一切できない設計になっており、WordPressの functions.php にありがちな「テーマが何でもできてしまう」問題も解消されています。

---

サーバーレス・スケールゼロの仕組み

WordPressはPHPアプリケーションであり、動かすには常にサーバーが起動している必要があります。

トラフィックが少ない時間でもサーバーは動き続け、コストが発生してしまいますよね。

EmDashはCloudflare Workersのアーキテクチャ上で動作するため、リクエストが来た瞬間に起動し、リクエスト処理が終われば即座に終了（スケールゼロ）します。

課金対象はCPUの実際の処理時間だけです。

このモデルは個人ブログのように「アクセスが多い時間帯とそうでない時間帯の差が激しいサイト」に非常に適しています。

コスト∝実際のリクエスト数×CPU処理時間

アイドル時間のコストはゼロ、という考え方です。

そのほかの注目機能

x402による収益化サポートとして、EmDashにはx402という決済プロトコルのサポートが標準で内蔵されています。

x402は「HTTP 402 Payment Required」ステータスを活用したインターネットネイティブな決済標準で、コンテンツへのアクセスにペイウォールを設けることを、コード一行書かずに設定だけで実現できます。

AIエージェントが人の代わりにWebを閲覧する時代に向けた、コンテンツクリエイターの新しい収益モデルを見据えた機能です。

AIネイティブなCMS管理として、EmDashにはMCPサーバーが標準搭載されており、AIエージェントから直接CMSを操作できます。

CLIもあり、コンテンツの検索・作成・スキーマ管理などをエージェントに委任可能です。

パスキー認証がデフォルトという点も注目です。

パスワードが存在しないため、パスワード流出やブルートフォース攻撃のリスクがゼロになります。

WordPressからの移行ツールも用意されており、WordPressのWXRエクスポートファイルを読み込むか、専用プラグインを使えば、数分でコンテンツとメディアを移行できます。

---

現時点での注意点

EmDashは現在v0.1.0プレビュー（早期開発ベータ）です。

本番環境への導入はまだ時期尚早と言えるでしょう。

プラグインエコシステム、テーマの充実度、長期的なサポート体制など、WordPressに追いつくには相当の時間がかかると予想されます。

Search Engine Journalなどでは「EmDashがWordPressと競合できない6つの理由」という記事も出るほど、現時点での機能差は大きいです。

しかし、設計思想の新しさは本物。

TypeScript・サーバーレス・Astro・サンドボックス型プラグイン・AIネイティブ──これらはすべて2026年現在の最前線の技術です。

WordPressが2003年の設計を引きずったままである限り、EmDashのようなアプローチは遅かれ早かれ必要になります。

---

まとめ

私自身がWordPressからCloudflareへの移行を終えたちょうどそのタイミングで、このニュースが飛び込んできました。

EmDashはまだベータ版ですが、「サーバーレス×サンドボックス×TypeScript×Astro」という技術的な設計は非常に一貫していて説得力があります。

試してみたい方は、トライしてみてはいかがでしょうか。