「WordPressのプラグインを入れるたびに、セキュリティが不安になる」——Web制作に関わるなら、一度はそう感じたことがあるはずだ。
2026年4月1日、Cloudflareがその悩みに真っ向から挑む新しいCMSをリリースした。その名はEmDash(エムダッシュ)。自ら「WordPressの精神的後継者(Spiritual Successor to WordPress)」と位置付けるオープンソースプロジェクトだ。
発表がエイプリルフールと重なったため、Hacker Newsでは「ジョークでは?」という反応もあった。しかしこれは本物のプロジェクトであり、GitHubには実際のコードが公開され、ブラウザからすぐに試せるプレイグラウンドも用意されている。
本記事では、EmDashとは何か・何が革新的なのか・WordPressと何が違うのかを実際に調査した情報をもとに解説する。AIを使ったWeb開発に興味のある開発者にとって、見逃せないトピックだ。
この記事の結論
EmDash(エムダッシュ)は2026年4月にCloudflareがリリースしたTypeScript製のサーバーレスCMSで、WordPressの「精神的後継者」を自称しています。最大の革新はプラグインを完全サンドボックス化するセキュリティ設計と、MCPサーバー内蔵のAIネイティブアーキテクチャです。ただし開発者ベータ(v0.1.0)の段階であり、プラグイン・テーマのエコシステムはほぼゼロ。既存WordPressサイトの移行は時期尚早ですが、開発者は今すぐウォッチする価値があります。
検証環境:EmDash v0.1.0 / emdashcms.comプレイグラウンド / Cloudflare公式ブログ・GitHub(2026年4月時点の情報)
EmDashとは何か:24年前のWordPressを現代に作り直したCMS
EmDashは2026年4月1日にCloudflareがリリースした、TypeScript製のフルスタックサーバーレスCMSだ。WordPressが抱えるプラグインセキュリティという構造的問題を根本から解決するために設計された「精神的後継者」であり、MITライセンスでGitHub上に公開されている。
開発を主導したのはCloudflareのMatt TaylorとMatt Kaneの2人。驚くべきことに、このCMSはAIエージェントの支援を受けながらわずか2ヶ月で構築された。
主な仕様は以下のとおりだ。
- 言語:TypeScript(PHP不使用)
- フロントエンドフレームワーク:Astro 6.0
- 実行環境:Cloudflare Workers(Node.jsでも動作)
- ライセンス:MIT(WordPressのGPLより商用利用の制約が少ない)
- 現バージョン:v0.1.0(開発者ベータ)
- コンテンツ形式:Portable Text
名称の「EmDash」は記号「—」(エムダッシュ)に由来する。文章の中で思考の転換や補足を示すこの記号のように、WordPressからの転換点を示す存在として名付けられたと思われる。
なお、Cloudflareは「WordPressのコードは一切使用していない」と明言している。コードベースをゼロから書き直したことで、MIT(WordPressがGPL v2)という自由度の高いライセンスを採用できた。
なぜ今、新CMSが必要なのか:WordPressプラグインの深刻なセキュリティ問題
WordPressのセキュリティ問題の96%はプラグインに起因しており、2025年には過去2年分を合わせた数を超える高深刻度の脆弱性がWordPressエコシステムで発見された。この問題はWordPressのアーキテクチャ上、抜本的な解決が困難だ。
WordPressが誕生したのは2003年。当時はAWS EC2すら存在しなかった。現在ではWebサイトのホスティングはVPSから、グローバル分散ネットワークにコードをアップロードするだけの時代へと変わった。しかしWordPressのアーキテクチャは、本質的に2003年当時の設計を引き継いでいる。
問題の核心はこうだ。WordPressプラグインはPHPスクリプトとしてWordPressのコアと同じ実行プロセス内で動作する。これは、プラグインがデータベースにもファイルシステムにも無制限にアクセスできることを意味する。
「WordPressプラグインをインストールすることは、そのプラグインに対してほぼすべてのアクセス権を信頼することだ。悪意あるあらゆる入力やエッジケースを適切に処理してくれることを信頼しなければならない。」
— Cloudflare公式ブログ(Matt Taylor / Matt Kane)
悪意あるプラグインや脆弱なプラグインが1つあれば、サイト全体が危険にさらされる。この構造的問題に対してWordPressが取れる対策は、WordPress.orgが各プラグインを手動でレビューすることくらいだ。しかし現在、そのレビュー待ちキューには800件以上が溜まっており、待機期間は最低でも2週間に達している。
WordPress.orgのプラグイン審査プロセスについては「WordPress.orgのプラグイン審査に通すための全手順」で詳しく解説しています。
EmDashの主要機能を徹底解説
EmDashの最大の特徴はプラグインを完全に隔離するサンドボックス設計だ。これにより従来のCMSでは解決できなかったプラグインセキュリティ問題を根本から解消している。加えてMCPサーバー内蔵・パスキー認証・サーバーレス設計が組み合わさり、AIネイティブな現代的アーキテクチャが実現している。
① プラグインの完全サンドボックス化(最大の革新)
EmDashがWordPressと最も異なるのが、プラグインの実行方式だ。「Dynamic Workers」と呼ばれるCloudflare Workers上のサンドボックス内でプラグインを動かし、各プラグインは自分のマニフェストに宣言した権限しか使えない。
例えば、プラグインのコードはこのように定義する:
|
1 2 3 4 5 6 7 8 9 |
export default () => definePlugin({ id: "my-plugin", capabilities: ["read:content", "email:send"], hooks: { "content:afterSave": async (event, ctx) => { // 宣言した "read:content" と "email:send" の範囲内でのみ動作する } } }); |
write:contentを宣言していなければ、書き込みアクセスは物理的に不可能だ。「インストール前に何を許可するか正確にわかる」という設計は、WordPressには存在しない安心感をもたらす。
さらに重要な副次効果がライセンスの自由化だ。WordPressプラグインはコアと密結合しているためGPLライセンスの継承が実質的に求められてきた。EmDashではプラグインが独立して動作するため、NPMやPyPiと同様に開発者が自由にライセンスを選べる。
② Astroベースのテーマシステム
EmDashのテーマはすべてAstroプロジェクトとして構築される。ページ・レイアウト・コンポーネント・CSSで構成され、WordPressのfunctions.phpのような「何でもできるが危険な実行環境」は存在しない。
テーマはデータベース操作を一切実行できないという設計上の制約が、そのままセキュリティを担保する。LLMはすでにAstroで十分に学習されているため、AIエージェントがテーマを理解・修正しやすいという副次的なメリットもある。
公式スターターテンプレートは3種類用意されている:
- blog:カテゴリー・タグ・全文検索・RSS・ダークモード対応
- marketing:ヒーローセクション・料金カード・FAQ・お問い合わせフォーム
- portfolio:プロジェクトグリッド・タグフィルター・ケーススタディページ
③ AIネイティブ設計:MCP内蔵でClaudeやChatGPTから直接操作できる
EmDashの大きな差別化ポイントの一つが、AIネイティブという設計思想だ。すべてのEmDashインスタンスに以下が標準搭載される:
- ビルトインMCPサーバー:Claude・ChatGPTなどのAIから直接コンテンツやスキーマを操作できる
- CLI:プログラムによるサイト管理が可能
- Agent Skills:AIコーディングエージェントがEmDashを理解・修正するためのコンテキスト化ドキュメント
コンテンツ移行・カスタムフィールドの形式変換・名前変更といった退屈な単純作業を、AIエージェントが自動で処理できる設計だ。Claude CodeのMCPサーバー経由でEmDashを操作するという使い方も想定されている。WordPress 7.0でもMCPアダプターが導入予定で、この領域は急速に進化している(詳細は「WordPress 7.0の技術的変更点を深掘り」を参照)。
④ パスキー認証でパスワードレスを実現
EmDashはデフォルトでパスキー(WebAuthn)認証を採用する。パスワードが存在しないため、ブルートフォース攻撃やパスワード漏洩のリスクがない。代替手段としてOAuthとマジックリンクも選択できる。
権限レベルは4段階(Administrator・Editor・Author・Contributor)で、WordPressの権限体系に馴染みがあれば違和感なく移行できる。
⑤ サーバーレス・スケールゼロ設計でコストを最小化
EmDashはCloudflare Workers上で動作するため、リクエストがないときはゼロにスケールダウンし、アクティブなCPU時間のみが課金対象となる。アイドル状態のサーバーコストを払い続ける必要がない。
データベース抽象化にはKyselyを採用しており、Cloudflare(D1 + R2)でも自己ホスト(SQLite + ローカルファイル)でも動作する。
⑥ WordPress移行サポート:コンテンツは移行できる
既存のWordPressサイトからの移行は2つの方法に対応している:
- WXRエクスポート:WordPress管理画面からWXRファイルをエクスポートし、EmDashにインポート
- EmDash Exporterプラグイン:WordPressにインストールし、移行用の安全なエンドポイントを作成
投稿・固定ページ・メディア・タクソノミーの移行に対応。GutenbergブロックをPortable Textに変換するgutenberg-to-portable-textパッケージも用意されている。
ただし注意点として、既存のWordPressプラグイン(PHP製)とテーマは移行不可だ。EmDash専用のTypeScript製プラグインが必要になる。
WordPressとEmDashの徹底比較
EmDashはセキュリティ・AIネイティブ設計・ライセンスの自由度でWordPressを大きく上回る。しかしプラグイン数・テーマ数・エコシステムの成熟度ではWordPressが圧倒的だ。2026年時点での一般ユーザーの移行は時期尚早と言わざるを得ない。
| 比較項目 | EmDash | WordPress |
|---|---|---|
| 言語 | TypeScript | PHP |
| フレームワーク | Astro 6.0 | 独自(PHP) |
| プラグイン実行 | 完全サンドボックス(隔離) | コアと同一プロセス |
| プラグイン数 | ローンチ直後(ほぼゼロ) | 60,000以上 |
| テーマ | 公式3種のみ | 数万以上 |
| 認証 | パスキー(デフォルト) | パスワード(デフォルト) |
| ライセンス | MIT(自由度高い) | GPL v2(制約あり) |
| コンテンツ形式 | Portable Text | HTML(DB保存) |
| MCP対応 | 標準内蔵 | 非対応 |
| スケーリング | スケールゼロ(使った分だけ) | 常時起動サーバー |
| Web シェア | ほぼ0%(ベータ) | 約43% |
| 現状の成熟度 | 開発者ベータ v0.1.0 | 24年の実績 |
WordPress 7.0のAI基盤(WP AI Client・Abilities API)やリアルタイム共同編集の詳細は「WordPress 7.0の新機能を完全ガイド」で解説しています。
業界の反応:技術評価は高いが懐疑的な声も多い
WordPressの創設者Mullenweggは「非常に堅実な工学」と認めながらも、Cloudflare環境への依存を指摘した。YoastのファウンダーはEmDashを「数年ぶりに最も興味深いCMS関連の出来事」と高評価する。業界全体では技術的評価は高い一方、エコシステムの逆転には長期間を要するとの見方が主流だ。
賛成派の声
YoastのファウンダーであるJoost de Valk氏はEmDashを「コンテンツ管理において数年ぶりに最も興味深い出来事」と評価した。
WordPressの創設者Matt Mullenwegg氏も製品を「非常に堅実」「優れたエンジニアリング」と認め、移行ツールとAstro統合を称賛。EmDashのAgent Skillsについては「brilliant strategy(素晴らしい戦略)」と述べ、Automatticも同様のアプローチを追求すべきと語った。
懐疑的な声
一方で指摘されている問題点もある。Mullenwegg氏は「Dynamic WorkersによるプラグインアイソレーションはCloudflareの有料ランタイムでしか完全には機能しない」と述べ、他のホストではただのTypeScript CMSになってしまうと指摘した。
Automatticのエンジニア陣からは「Cloudflareは開発者が最も見えやすい問題(インフラ)を解決したが、レストランオーナーやブロガーが実際に気にしているのはSEO・予約・集客であり、そこには答えていない」という批判もある。
Hacker Newsでは「CMSは逆方向——静的ファイルへの回帰——に進むべきで、Cloudflareが自社のWorkersを売りたいだけでは?」という声も多く見られた。
EmDashを今すぐ試す方法
Cloudflareアカウントがなくても、ローカルのNode.js環境があれば今すぐEmDashを動かして試すことができる。まずはemdashcms.comのプレイグラウンドでadmin画面を触ってみるのが最も手軽だ。
試用方法は主に3つある:
方法1:プレイグラウンドをブラウザで試す(最速)
emdashcms.comにアクセスするとadminインターフェースをブラウザ上で確認できる。インストール不要で雰囲気がつかめる。
方法2:ローカル環境で動かす(Cloudflareアカウント不要)
|
1 2 3 4 5 6 |
git clone https://github.com/emdash-cms/emdash.git cd emdash pnpm install pnpm build pnpm --filter emdash-demo seed pnpm --filter emdash-demo dev |
adminパネルは http://localhost:4321/_emdash/admin で開く。SQLite + ローカルファイルで動作するため、Cloudflareアカウントは不要だ。
方法3:Cloudflareアカウントへデプロイ(本格利用)
Cloudflareダッシュボードから直接デプロイが可能。サンドボックスによるプラグイン完全隔離を体験するには有料アカウントが必要になる。
なお、プラグイン開発にはAI支援が非常に有効だ。Claude CodeのMCPサーバー経由でEmDashを操作する用途にも対応している。
EmDashを導入すべき人・まだ様子を見る人
TypeScript・Astroをすでに使っていて新規プロジェクトを立ち上げる開発者には今すぐウォッチを推奨する。既存のWordPressサイトを運用している一般ユーザーやエコシステムに依存したサイト運営者は、プラグイン・テーマが充実するまで様子見が賢明だ。
今すぐウォッチ・試用を推奨する人
- TypeScript・Astroをすでに使っている開発者
- Cloudflare Workers上で新規CMSプロジェクトを立ち上げたい人
- WordPress運営サイトのプラグインセキュリティに本気で悩んでいる開発者・企業
- AIエージェントにサイト管理を委ねたい人
- MCPサーバーやClaudeとの連携に興味のある開発者
まだ移行・検討が早い人
- 既存のWordPressサイトを安定運用しているブロガー・中小企業
- 特定のWordPressプラグインに強く依存したサイト運営者
- CLIやGitHub設定なしで使えるシンプルさを求める非エンジニア
- 本番環境への即投入を検討している人(v0.1.0は開発者ベータ)
まとめ:EmDashは「今日のWordPress代替」ではなく「明日のCMSの設計図」
EmDashは今すぐWordPressを置き換えるものではない。しかしTypeScript・Astro・サンドボックスプラグイン・AIネイティブ設計というアーキテクチャの正しさは疑いようがなく、エコシステムの成熟次第で数年後に有力な選択肢になり得る存在だ。
CloudflareがWordPressのシェアを一気に奪うとは考えにくい。しかし、この発表がWordPressに対して「セキュリティ改善」「AIネイティブ対応」へのプレッシャーをかける効果は確実にあるだろう。Kinsのコミュニティマネージャーが述べたように、「これはWordPressプロジェクトが目指すべきバーを引き上げる」出来事だ。
開発者にとってEmDashは今すぐ触れる価値がある。プレイグラウンドは無料で試せるし、GitHubのコードを読むだけでも2026年のCMS設計のトレンドが見えてくる。まずは公式プレイグラウンドを開いてみることから始めてほしい。
WordPressの「後継者」を自称するEmDashが実際に後継者となれるかは、これからのコミュニティの動きにかかっている。引き続き注目していきたい。
関連リンク:
- Cloudflare公式ブログ:Introducing EmDash — the spiritual successor to WordPress
- GitHubリポジトリ:emdash-cms/emdash(MIT License)
- プレイグラウンド:emdashcms.com
コメント