Cloudflare が最新CMS「EmDash」のリリースを発表

2026年の4月1日に、 Cloudflare が WordPress の完全上位互換となるCMSを発表しました
ネットワーク基盤・CDN配信・開発基盤・ゼロトラスト・WAF・DDoS防御を一手に担う世界的なインフラ・セキュリティの代名詞みたいな Cloudflare がこのようなプロダクトを公開したのは、生成AIを悪用したウェブサイトへの攻撃が以前よりはるかに深刻な問題になっている影響もあるのだと思います

Introducing EmDash — the spiritual successor to WordPress that solves plugin security

https://blog.cloudflare.com/emdash-wordpress/

WordPressと似ているところ

EmDash は、Cloudflare の説明を見る限り、WordPressの主要な価値をちゃんと引き継ごうとしています

たとえば

• ・CMSとしてコンテンツを管理できる
• ・テーマで見た目を変える
• ・プラグインで機能追加する
• ・公開サイトを運営するための管理UIがある
• ・オープンソースで使える（MITライセンス）

このあたりはかなり WordPress 的です

Cloudflare が公開した「EmDash」の管理画面、たしかにWordPressっぽい

EmDash の特徴

EmDash は PHP + MySQL + Apache/Nginx の昔ながら構成ではありません

モダンな技術スタックがつかえる

• ・TypeScript 製
• ・Astro ベース
• ・サーバレス前提の設計
• ・Cloudflare Workers と相性が良い
  ※ Node.js サーバー上でも動かせる？っぽいです

なので、イメージとしては
Headless CMS + Astroフロントエンド + 堅牢なプラグイン基盤 が実装されたWordPressといったかんじでしょうか

フロントエンドがAstro ベースというのはとてもいいです
WordPress：

• ・PHPテンプレート
• ・テーマ依存が強い
• ・フロントと密結合

EmDash：

• ・Astro（+ React / Vue / Svelte）
• ・island architecture
• ・静的 + 動的のハイブリッド

つまり CMSなのに、フロントは普通のモダンフロント開発 ができる

これは開発者にとって嬉しい部分です

Cloudflare ネイティブであること

EmDash は Cloudflare の基盤に最適化されています

• ・Workers（サーバーレス）でうごく
• ・KV / D1 / R2 / Durable Objects 等が使える
• ・低レイテンシなエッジ配信できる

個人的にはここらへんがかなり最高です

開発者体験（DX）が完全に開発者向け

ここはかなり方向性が違います

WordPress：

• ・GUI中心
• ・ノーコード寄り

EmDash：

• ・TypeScript
• ・Git管理
• ・npm / CLI
• ・Cloudflare デプロイ前提

つまり Strapiのような開発者が触るCMS です

一番大きい違いは「プラグインの安全性」

Cloudflare が一番強く押しているのはここです

WordPress は便利ですが、プラグインの構造的脆弱性については以前から問題視されていました
Cloudflare の記事では、「WordPress のセキュリティ問題の多くがプラグイン由来だ」と説明しています

EmDash では、その対策として

• ・各プラグインを独立したサンドボックスで動かす
• ・プラグインに 必要な権限だけ を宣言させる
• ・「メール送信だけ」「特定イベントだけ」など、できることを制限する

という設計になっています

これはかなり重要で、WordPressの「1つのプラグインを入れただけで、そのプラグインがウェブサイトのバックエンドをかなり自由に触れてしまう構造的問題」を、設計レベルで潰しにいっています

要するに
WordPress = 拡張性は高いが、プラグインが脆弱性になりやすい設計
EmDash = WordPressの拡張性を取り込み、プラグインの脆弱性を完全に潰す設計
という設計思想です

WordPressのプラグインのなにがヤバかったか

WordPress製のウェブサイトで、乗っ取られてとんでもないことになってるの、見たことある方は結構多いと思います

データベースの中身を読む・書く

WordPress の投稿、ユーザー、設定、権限などは データベースにあります
WordPress のプラグインは普通に DB API や SQL に触れられるので、理屈上は

• ・ユーザーのデータを抜く
• ・メールアドレスを抜く
• ・管理者アカウントを作る
• ・投稿内容を書き換える
• ・サイト設定を変える

みたいなことができてしまいます

つまり
ただのフォーム用のプラグインだと思っていたのに、ユーザー管理までいじられている可能性がある
ということです

ファイルを読む・書く

WordPress は PHP で動いているので、プラグインからサーバー上のファイルにも触れやすいです
たとえば

• ・テーマファイルを書き換える
• ・別の PHP ファイルを設置する
• ・バックドアを埋め込む
• ・.htaccess や設定ファイルを壊す

などが起こりえます
これはかなり危険で、ここまで行くと、WordPress云々の問題ではなくサーバー侵入に近くなります

管理者として振る舞う処理を差し込める

WordPress はフック（hook）文化が強く、

• ・init
• ・admin_init
• ・save_post
• ・wp_ajax_*

など、いろんな場所にプラグインが処理を差し込めます

これは便利なのですが、裏を返すと

• ・ログイン処理に割り込む
• ・投稿保存時に別処理を入れる
• ・管理画面に独自処理を埋め込む
• ・APIのリクエスト/レスポンス を横取りする

みたいなことができます

つまり、

プラグインは、WordPress 本体の挙動に割り込める

ということです

外部に勝手に通信できる

WordPerssのプラグインは普通に HTTP リクエストも送れます

なので脆弱性を突かれると

• ・データベース の内容を外部に送信
• ・フォーム入力内容を外部に送信
• ・管理者セッション情報を送る
• ・マルウェア配布元と通信する

みたいなことも可能です

だから EmDash の思想が重要

WordPressのプラグインが、家の内装工事だとすると
「作業員は家の中の多くの場所に自由に出入りして好きなように作業できる」
であるのに対し、EmDashのプラグインは
「作業員は作業をお願いした部屋にしか入れず、使える道具も許可制」
という設計思想です

たとえば、

• ・「投稿公開時イベント」だけ受け取れる
• ・メール送信だけできる
• ・データベース 全体は見られない
• ・他プラグインには触れない
• ・ファイルシステムには触れない

みたいに 能力を小さく区切るわけです

完全に安心はできない

最近では npm のリポジトリを奪取して悪意あるコードを混入させるサプライチェーン攻撃が活発に行われています
つい先日、報道ベースですが、開発者であれば誰でも一度は使ったことがあるであろうあの超有名な Axios の npm 配布アカウントが侵害され、悪意のあるコードが混入されたバージョンが公開されました

具体的には Axios の

• ・ v1.14.1
• ・ v0.30.4

が汚染されたようです（※最近パッケージの更新等した覚えのある方は今すぐ確認と対策が必要です）
これのなにがやばいかって言うと、 Axios を明示的にインストールしてなくても他のパッケージの依存関係に対象のバージョンの Axios が使われている可能性が否定できないことです
これは想像を絶するレベルのセキュリティインシデントで、世界中の開発者を震撼させる問題になっています

結局、開発者側でセキュリティのアンテナを伸ばして自己防衛することが一番肝要です
生成AIの影響で、今後さらにこういった攻撃は多様化・大量化すると思われるので、もはや個人開発者レベルで対応していくのは難しい時代になったのだと思います

まとめ

Cloudflare の EmDash は、AI時代に崩れやすい WordPress 的なCMSの信頼モデルを設計から置き換えようとしている、つまり生成AIで多様化・大量化するウェブサイト攻撃や、素人が生成AIと壁打ちしてバイブコーディングで書いたような脆弱な拡張コードに対して、コードを信用しない前提のアーキテクチャで一手を打ちに来たものだと思っています

WordPressの脆弱性攻撃者と開発者（管理者）の終わりのない「追いかけっこ」にヒヤヒヤしている方は多少のコストを払っても乗り換えるべきだと思います

ちなみに私はWordPress案件は絶対に受けません