EmDashとは？CloudflareがWordPressの課題を解決する新CMSをOSSリリース

WordPressのセキュリティ問題という「構造的課題」

WordPressはWeb全体の40%以上で使われるCMSですが、長年にわたりセキュリティ脆弱性の96%がプラグインに起因するという構造的な問題を抱えてきました。プラグインがPHPのフルアクセス権限でデータベースやファイルシステムに直接触れる設計が、攻撃者にとって格好の標的となっています。

2026年4月1日、Cloudflareはこの課題に正面から取り組む新CMS「EmDash」をオープンソース（MITライセンス）でプレビューリリースしました。

WordPressがPHPベースなのに対し、EmDashは全コードがTypeScriptで書かれています。Astro 6.0のインテグレーションとして動作し、フロントエンドからバックエンドまで一貫した型安全な開発が可能です。

EmDashの最大の特徴は、プラグインのセキュリティモデルです。

各プラグインはCloudflare WorkersのDynamic Worker内で完全に隔離された環境で実行されます。マニフェストファイルで read:content、email:send といった権限を明示的に宣言し、それ以外の操作は一切できません。

EmDashは「AIエージェントがCMSを操作する」ことを前提に設計されています。

MCPサーバー内蔵: 全インスタンスにModel Context Protocolサーバーが付属。AIエージェントが記事の作成・編集・公開を直接実行可能
Portable Text: コンテンツをHTMLではなく構造化JSON形式で保存。AIがパースなしに読み書きできる
Agent Skills: プラグイン開発やWordPressからの移行をAIエージェントが自律的に実行できるドキュメント

npm create emdash@latest

これだけで対話式セットアップが始まり、ローカルのSQLiteデータベースでEmDashが起動します。

Cloudflareダッシュボードからワンクリックデプロイにも対応。D1（SQLite互換データベース）とR2（オブジェクトストレージ）を自動プロビジョニングし、アイドル時はゼロにスケールダウンするサーバーレス構成で運用できます。

Kysely（型安全なSQLクエリビルダー）を採用し、複数のバックエンドに対応しています。

S3互換APIで統一されており、以下のいずれでも動作します。

MITライセンスで、WordPressのGPLよりも寛容です。プラグインやテーマの作者は自身のライセンスを自由に選択できます。

Yoastの創業者 Joost de Valkが自身のサイトをEmDashに移行開始したことは、WordPress界隈で大きな話題となりました。プラグインのセキュリティモデルに対する評価は概ね高く、「WordPressの最大の弱点を正しく解決している」という声が多く見られます。

全体としては「方向性は正しいが、エコシステムが空」という現実的な評価が主流です。

EmDashはv0.1.0のプレビュー段階であり、本番サイトの移行にはまだ早いでしょう。しかし、以下のような開発者には触っておく価値があります。

CMSの選択は事業の根幹に関わる判断です。WordPressと他のノーコードツールの比較についてはノーコードでホームページを作る方法で詳しく解説しています。また、Jamstackアーキテクチャとの比較に興味がある方はJamstack×ヘッドレスCMS導入事例も参考になるでしょう。

emdashcms.com でプレイグラウンドを試すか、npm create emdash@latest でローカル環境を構築して、次世代CMSの手触りを確かめてみてください。