Cloudflare が最新CMS「EmDash」のリリースを発表

WordPress の完全上位互換に相当するヘッドレスCMSになりそう

2026.04.02

2026年の4月1日に、 Cloudflare が WordPress の完全上位互換となるCMSを発表しました
CDN、WAF、DDoS防御、ゼロトラスト、開発基盤を一手に担う世界的なインターネットインフラ基盤である Cloudflare がこのようなプロダクトを公開したのは、生成AIを悪用したウェブサイトへの攻撃が以前よりはるかに巧妙化し、深刻な問題になっている影響もあるのだと思います

Introducing EmDash — the spiritual successor to WordPress that solves plugin security

https://blog.cloudflare.com/emdash-wordpress/

WordPressと似ているところ

EmDash は、Cloudflare の説明を見る限り、WordPressの主要な価値をちゃんと引き継ごうとしています

たとえば

・CMSとしてコンテンツを管理できる
・テーマで見た目を変える
・プラグインで機能追加する
・公開サイトを運営するための管理UIがある
・オープンソースで使える（MITライセンス）

このあたりはかなり WordPress 的です

Cloudflare が公開した「EmDash」の管理画面、たしかにWordPressっぽい

EmDash の特徴

EmDash は PHP + MySQL + Apache/Nginx の昔ながら構成ではありません

モダンな技術スタックがつかえる

・TypeScript 製
・Astro ベース
・サーバレス前提の設計
・Cloudflare Workers と相性が良い
※ Node.js サーバー上でも動かせる？

なので、イメージとしては
Headless CMS + Astroフロントエンド + 堅牢なプラグイン基盤が実装されたWordPressといったかんじでしょうか

フロントエンドがAstro ベースというのはとてもいいです
WordPress：

・PHPテンプレート
・テーマ依存が強い
・フロントと密結合

EmDash：

・Astro（+ React / Vue / Svelte）
・island architecture
・静的 + 動的のハイブリッド

CMSなのに、フロントは普通のモダンフロント開発ができる

Cloudflare ネイティブであること

EmDash は Cloudflare の基盤に最適化されています

・Workers（サーバレス）でうごく
・KV / D1 / R2 / Durable Objects 等が使える
・低レイテンシなエッジ配信できる

個人的にはここらへんがかなり最高です

開発者体験（DevEx）が完全に開発者向け

ここはかなり方向性が違います

WordPress：

・GUI中心
・ノーコード寄り
・Apache/Nginx サーバーインストール型

EmDash：

・TypeScript
・Git管理
・npm / CLI
・Cloudflare デプロイ前提

Strapiのように、開発者がゴリゴリ触るCMS です

一番大きい違いは「プラグインの安全性」

Cloudflare が一番強く押しているのはここです

WordPress はプログラミング初心者でも使いやすく便利ですが、その便利さと実質的にトレードオフとなっているプラグインの構造的脆弱性については以前からかなり問題視されていました
Cloudflare の記事では、「WordPress のセキュリティ問題の96%がプラグイン由来だ」と説明しています

EmDash では、その対策として

・各プラグインを独立したサンドボックスで動かす
・プラグインに必要な権限だけを宣言させる
・「メール送信だけ」「特定イベントだけ」など、できることを制限する

という設計になっています

これはかなり重要で、WordPressの「1つのプラグインを入れただけで、そのプラグインがウェブサイトのバックエンドをかなり自由に触れてしまう構造的問題」を、設計レベルで潰しにいっています

要するに
WordPress = 拡張性は高いが、プラグインが脆弱性になりやすい設計
EmDash = WordPressの拡張性を取り込み、プラグインの脆弱性を完全に潰す設計
という設計思想です

WordPressのプラグインのなにがヤバかったか

WordPress製のウェブサイトで、乗っ取られてとんでもないことになってるの、見たことある方は結構多いと思います

データベースの中身を読む・書く

WordPress の投稿、ユーザー、設定、権限などはデータベースにあります
WordPress のプラグインは普通に DB API や SQL に触れられるので、理屈上は

・ユーザーのデータを抜く
・メールアドレスを抜く
・管理者アカウントを作る
・投稿内容を書き換える
・サイト設定を変える

みたいなことができてしまいます

つまり
ただのフォーム用のプラグインだと思っていたのに、ユーザー管理までいじられている可能性がある
ということです

ファイルを読む・書く

WordPress は PHP で動いているので、プラグインからサーバー上のファイルにも触れやすいです
たとえば

・テーマファイルを書き換える
・別の PHP ファイルを設置する
・バックドアを埋め込む
・.htaccess や設定ファイルを壊す

などが起こりえます
これはかなり危険で、ここまで行くと、WordPress云々の問題ではなくサーバー侵入に近くなります

プラグインは、WordPress 本体の挙動に割り込める

WordPress はフック（hook）文化が強く、

・init
・admin_init
・save_post
・wp_ajax_*

など、いろんな場所にプラグインが処理を差し込めます

これは便利なのですが、裏を返すと

・ログイン処理に割り込む
・投稿保存時に別処理を入れる
・管理画面に独自処理を埋め込む
・APIのリクエスト/レスポンスを横取りする

みたいなことができます

外部に勝手に通信できる

WordPerssのプラグインは普通に HTTP リクエストも送れます

なので脆弱性を突かれると

・データベースの内容を外部に送信する
・フォーム入力内容を外部に送信する
・管理者のセッション情報を盗聴し送信する
・マルウェア配布元と通信する

みたいなことも構造上可能です

だから EmDash の思想が重要

プラグイン機能を家の外装工事業者に例えるとすると、WordPressのプラグインの場合、
「作業員は家の多くの場所に自由に出入りして内装工事も電話工事もできる」
であるのに対し、EmDashのプラグインは
「作業員は作業をお願いした屋根にしか触れず、使える道具も許可制」
という設計思想です

たとえば、

・「投稿公開時イベント」だけ受け取れる
・メール送信だけできる
・データベース全体は見られない
・他プラグインには触れない
・ファイルシステムには触れない

みたいに権限と能力を小さく区切るわけです

完全に安心はできない

Cloudflare EmDash が設計レベルでプラグインまわりの脆弱性を潰してくれても、開発者が利用した外部パッケージに悪意のあるコードが仕込まれていた場合どうにもできません

最近では npm のリポジトリを奪取して悪意のあるコードを混入させるサプライチェーン攻撃が活発に行われています
つい先日、開発者であれば誰でも一度はお世話になったことがあるであろう超有名な Axios の npm 配布アカウントが侵害され、悪意のあるコードが混入されたバージョンが公開されました

具体的には Axios の

・ v1.14.1
・ v0.30.4

が汚染されたようです（※既に対応済ですが、最近パッケージの更新等した覚えのある方は今すぐ確認と対策が必要です）

これのなにがやばいかって言うと、 Axios を明示的にインストールしてなくても他のパッケージの依存関係に問題のバージョンの修正前の Axios が使われている可能性が否定できないことです
一時的とはいえアルファ級 npm パッケージのリポジトリが汚染されてしまった、これは想像を絶するレベルのセキュリティインシデントで、世界中の開発者を震撼させる問題になっています

結局、開発者側でセキュリティのアンテナを伸ばして自己防衛し続けることが一番肝要です
生成AIの影響で、今後さらにこういった攻撃は多様化・大量化すると思われるので、もはや個人レベルが複数プロダクトの面倒を見ていくのは難しい時代になったのだと思います

まとめ

Cloudflare の EmDash は、生成AI時代に崩れやすい WordPress 的なCMSの信頼モデルを設計から置き換えようとしている、つまり生成AIで多様化・大量化するウェブサイト攻撃や、素人が生成AIと壁打ちしてバイブコーディングで書いたような脆弱な拡張コードに対して、「コードを信用しない前提のアーキテクチャ」で一手を投じるものだと思っています

WordPressの脆弱性攻撃者と開発者の終わりのない「追いかけっこ」にヒヤヒヤしている方は多少のコストを払っても乗り換えるべきだと思います

ちなみに私はWordPress案件は絶対に受けません